Безпека на layer 2 комутаторах cisco

DHCP snooping

Атака полягає в тому, що атакуючий створює в локальній мережі свій DHCP сервер і роздає настройки мережевих протоколів. При цьому він зазвичай вказує себе як default gateway і отримує весь трафік.

DHCP snooping дозволяє:

Для правильної роботи DHCP snooping, необхідно вказати які порти комутатора будуть довіреними (trusted), а які - ні (untrusted, в подальшому - ненадійними):

  • Ненадійні (Untrusted) - порти, до яких підключені клієнти. DHCP-відповіді, що приходять з цих портів відкидаються комутатором. Для ненадійних портів виконується ряд перевірок повідомлень DHCP і створюється база даних прив'язки DHCP (DHCP snooping binding database).
  • Довірені (Trusted) - порти комутатора, до яких підключений інший комутатор або DHCP-сервер. DHCP-пакети отримані з довірених портів, не відкидаються.

Налаштування DHCP snooping

Dynamic ARP Inspection (DAI)

  1. Хост В відсилає ARP запит «який MAC у роутера А 10.1.1.1?»
  2. Роутер А відповідає своїм MAC і хост В зберігає його в кеші
  3. Але хост С (зловмисник) відправляє GARP на хост В, який вказує що 10.1.1.1 доступний по MAC З
  4. Хост В оновлює в кеші інформацію і відправляє всі пакети в інші підмережі нема на роутер А, а на хост З

Опція Dynamic ARP Inspection на комутаторі дозволяє:

  • захистити клієнтів в мережі від атак з використанням протоколу ARP,
  • регулювати які повідомлення протоколу ARP відкидати, які перенаправляти.

Для правильної роботи Dynamic ARP Inspection, необхідно вказати які порти комутатора будуть довіреними (trusted), а які - ні (untrusted, в подальшому - ненадійними):

  • Ненадійні (Untrusted) - порти, до яких підключені клієнти. Для ненадійних портів виконується ряд перевірок повідомлень ARP.
  • Довірені (Trusted) - порти комутатора, до яких підключений інший комутатор. Повідомлення протоколу ARP отримані з довірених портів, не відкидаються

Налаштування Dynamic ARP Inspection

IP Source Guard

IP Source Guard - функція комутатора, яка обмежує IP-трафік на інтерфейсах 2го рівня, фільтруючи трафік на підставі таблиці прив'язок DHCP snooping і статичних відповідностей. Функція використовується для боротьби з IP-spoofingом.

Налаштування IP Source Guard

Описувати технологію не стану, кому цікаво - можна почитати тут: Cisco IOS Quick Reference Guide for IBNS