Захист мереж штатними засобами, щоденник мережевого фахівця

Захист мереж штатними засобами

Storm control (broadcast supression)

Технологія дозволяє встановити граничне навантаження бродкаста на порт комутатора. Якщо в мережі з'явився зловмисник або десь зламалася мережева карта і починає атакувати мережу, то це завжди можна обмежити. Приклад.

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) # storm-control broadcast level 70
Switch.1028-2 (config-if) # storm-control action trap

Встановлюємо рівень бродкаста 70% (можна встановити абсолютне значення в бітах за секунду або пакетах за секунду) і вказуємо відсилати трапи. Або такий варіант.

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) # storm-control broadcast level 90
Switch.1028-2 (config-if) # storm-control action shutdown

Встановлюємо максимальний рівень бродкаста 90% і закриваємо порт при перетині даного значення.

Access control list (acl)

Дана технологія дозволяє на комутаторах третього рівня розмежувати доступ до подсетям або з підмереж, а також налаштувати на комутаторах другого рівня доступ на менеджмент по ssh або telnet. Приклад для настройки менеджменту з адмінській мережі.

Switch.1028-2 (config) # access-list 10 permit 10.100.0.0 0.0.255.255
Switch.1028-2 (config) #line vty 0 4
Switch.1028-2 (config-line) # access-class 10 in

З терміналу vty вказуємо, що на вхід даного терміналу можна підключатися тільки з мережі 10.100.0.0/16. Таким чином, не з адмінській мережі до вашого комутатора вхід буде неможливим. Це убезпечить вас від спроб несанкціонованого доступу до обладнання інших користувачів мережі.

Будьте обережні зі списками контролю доступу. На своїй практиці я бачив, як не до кінця продумані алгоритми змушували перезавантажувати віддалене обладнання або взагалі скидати в дефолт конфиг.

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) #switchport port-security mac-address H.H.H

Switch.1028-2 (config-if) #switchport port-security maximum 1
Switch.1028-2 (config-if) #switchport port-security violation restrict
Switch.1028-2 (config-if) #switchport port-security aging time 1
Switch.1028-2 (config-if) #switchport port-security aging type inactivity

Потім вказуємо власне той час, протягом якого інформація про джерело старіє і можна з'єднати з пристроєм не порушивши правило. У нас це значення дорівнює 1 хвилині.

Ну, і остання команда вказує в якому разі застаріває інформація про джерело. У нашому випадку, якщо він був неактивний. Якщо ми хочемо, щоб кожну хвилину інформація про джерело оновлювалася незалежно від його активності, то потрібно використовувати значення absolute. наприклад,

Switch.1028-2 (config-if) #switchport port-security aging type absolute

Технологія захистить вас від створення логічних кілець у вашій мережі. Для її активації необхідно включити протокол stp на комутаторі. При визначенні рута в мережі, як відомо, відсилаються службові пакети bpdu. Якщо рут вже визначено, то що завадить перебудувати топологію мережі включивши в неї ще один пристрій з найменшим пріоритетом? Якщо так зробити, то мережу почне перебудовуватися і рутом може виявитися зовсім слабенька залізяка, яка просто не витягне роботу мережі і мережу впаде. Запобігти цьому можна, якщо вказати на портах комутаторів доступу bpduguard. Отже.

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) # spanning-tree bpduguard enable

Після спроби підключення до порту пристрою, який відсилає bpdu, цей порт заблокується, таким чином, залишивши топологію мережі незмінною.

Але, якщо ви впевнені, що до Порту не будуть підключатися подібні пристрої, то йому можна наказати відразу форвард пакети без вивчення топології. При цьому сам пристрій вас попередить про можливі наслідки таких дій. Робиться такою командою.

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) # spanning-tree portfast

Захист магістральних з'єднань

1. Закривати адміністративно невикористовувані порти

2. Вимкнення автоузгодження магістрального (транкового) з'єднання на портах

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) #switchport nonegotiate

або ручна (статична) настройка портів в режим доступу

Switch.1028-2 (config-if) #switchport mode access

3. Призначення порту в невикористовувану мережу.

Switch.1028-2 (config) #int fastEthernet 0/46
Switch.1028-2 (config-if) #switchport access vlan 4094

4. Включення прозорого режиму vtp на комутаторі

Switch.1028-2 (config) #vtp mode transparent

5. Налаштування vtp пароля

Switch.1028-2 (config) #vtp password PASSWORD

6. Налаштування технології відсікання трафіку за технологією vtp