Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parAndré Chrétien Modifié depuis plus de 7 années
1
Sécurisation des équipements de commutation de
TP - Sécurisation des équipements de commutation de couche 2 CFI_Site_Paris
2
Schéma du réseau - Objectifs
Adresses passerelles HSRP VLAN 1: /24 VLAN 100: /24 VLAN 200: /24 DLS1 DLS2 Fa0/11 Fa0/11 Fa0/6 Fa0/12 Fa0/12 Serveur DHCP Fa0/9 Fa0/9 Fa0/7 Fa0/8 Fa0/8 Fa0/7 Fa0/10 Fa0/10 Fa0/9 Fa0/9 Fa0/7 Fa0/8 Fa0/8 Fa0/7 Fa0/10 Fa0/10 Fa0/11 Fa0/11 Fa0/12 Fa0/12 ALS1 ALS2 Tous les connexions entre les commutateurs sont des trunks 802.1Q Utilisateurs sur Fa0/15-0/24 VLAN 100: STAFF Utilisateurs sur Fa0/15-0/24 VLAN 200: STUDENTS - Objectifs Sécuriser le réseau de couche 2 contre les attaques d'inondation MAC Eviter les attaques d'usurpation DHCP Eviter les accès au réseau non autorisés en utilisant AAA et dot1x - Scénario Un de vos amis administrateur réseau que vous connaissez et auquel vous faites confiance vous a invité à déjeuner. Au cours du déjeuner, il vous a raconté comment deux de ces collègues de travail ont été arrêtés pour avoir utilisé différentes attaques de couche 2 afin de rassembler des informations sur d'autres utilisateurs pour leur profit personnel. Vous avez été très surpris car votre ami est très attentif au sujet de la sécurité. Cette histoire vous a fait réaliser que votre réseau d'entreprise est très sécurisé contre les attaques exter- nes, sécurité des couches 3 à 7, pare-feu à l'entrée mais mal protégé pour la sécurité de couche 2 et la protection interne du réseau Quand vous êtes retourné à votre bureau, vous avez rencontré votre directeur pour avoir une discussion à ce sujet. Après avoir revu les politiques de sécurité de la société, vous avez commencé à travailler sur la politique de sécurité de couche Vous définissez d'abord quelles sont les menaces réseau qui vous concernent et ensuite vous établissez un plan d'action pour limiter ces menaces. Pendant que vous recherchez ces menaces, vous apprenez que des menaces potentielles pour les commutateurs de cou- che 2 qui ne paraissent pas malicieuses peuvent menacer gravement la stabilité du réseau. Vous décidez d'inclure ces menaces dans les politiques de sécurité. CFI_Site_Paris
3
D'autres mesures de sécurité ont besoin d'être mises en place pour sécurité un peu plus
le réseau mais vous commencer par configurer les commutateurs contre un petit nombre d'attaques spécifiques, incluant les attaques d'inondation MAC, l'usurpation DHCP et l'accès non autorisé au réseau. Vous avez planifié de tester la configuration dans un envi- ronnement de lab avant de la placer en production. - Etape 1 Mettez les commutateurs sous tension et utilisez la procédure standard pour établir une connexion console Hyperterminal à partir d'une station Préparez le Lab en retirant tous les VLANs et toutes les information de configuration si nécessaire. - Etape Câblez le Lab selon le schéma du réseau. Configurez les adresses IP d'administration dans le VLAN 1, le nom de host, le mot de passe et l'accès Telnet sur les quatre commutateurs. HSRP va être utilisé plus tard aussi fixer l'adressage IP pour le VLAN 1sur DLS1 et DLS Comme sera la passerelle virtuelle par défaut pour ce VLAN, utilisez .3 et pour les adresses IP respectives sur DLS1 et DLS Vous devez également configurer la passerelle par défaut sur les commutateurs d'accès. Les commutateurs de la couche distribution agissent comme des équipements de couche 3 et n'ont pas besoin de passerelle par défaut. Etablissez le trunking 802.1Q entre les commutateurs d'après le schéma du réseau. Le trunking par défaut sur le commutateur 2960 est dot1q aussi vous n'avez pas besoin de le préciser. Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname ALS1 ALS1(config)#enable secret cisco ALS1(config)#line vty 0 15 ALS1(config-line)#password cisco ALS1(config-line)#login ALS1(config-line)#exit ALS1(config)#interface vlan 1 ALS1(config-if)#ip address ALS1(config-if)#no shutdown ALS1(config-if)#exit ALS1(config)#ip default-gateway ALS1(config)#interface range fastethernet 0/7 - 12 ALS1(config-if-range)#switchport mode trunk ALS1(config-if-range)#end ALS1# CFI_Site_Paris
4
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname ALS2 ALS2(config)#enable secret cisco ALS2(config)#line vty 0 15 ALS2(config-line)#password cisco ALS2(config-line)#login ALS2(config-line)#exit ALS2(config)#interface vlan 1 ALS2(config-if)#ip address ALS2(config-if)#no shutdown ALS2(config-if)#exit ALS2(config)#ip default-gateway ALS2(config)#interface range fastethernet 0/7 - 12 ALS2(config-if-range)#switchport mode trunk ALS2(config-if-range)#end ALS2# Switch(config)#hostname DLS1 DLS1(config)#enable secret cisco DLS1(config)#line vty 0 15 DLS1(config-line)#password cisco DLS1(config-line)#login DLS1(config-line)#exit DLS1(config)#interface vlan 1 DLS1(config-if)#ip address DLS1(config-if)#no shutdown DLS1(config-if)#exit DLS1(config)#interface range fastethernet 0/7 - 12 DLS1(config-if-range)#switchport trunk encapsulation dot1q DLS1(config-if-range)#switchport mode trunk DLS1(config-if-range)#end Switch(config)#hostname DLS2 DLS2(config)#enable secret cisco DLS2(config)#line vty 0 15 DLS2(config-line)#password cisco DLS2(config-line)#login DLS2(config-line)#exit DLS2(config)#interface vlan 1 DLS2(config-if)#ip address DLS2(config-if)#no shutdown CFI_Site_Paris
5
Vérifiez le fonctionnement du trunking et du spanning-tree en utilisant les commandes show interfaces trunk et show spanning-tree Quels trunks sont marqués designated pour ALS1? Est-ce que la négociation de trunk est utilisée ici? Dans quel mode sont les trunks? - Etape Créez les VLAN d'après le schéma du réseau. Deux VLANs sont utilisés: un pour les étu- diants et l'autre pour la faculté et le personnel. Ces VLANs ont été crées sur DLS1 qui est configuré comme serveur VTP. DLS2 est dans son mode VTP par défaut qui est le mode serveur. ALS1 et ALS2 sont configurés comme clients VTP Les ports d'accès utilisateurs doivent être configurés pour ces VLANs sur ALS1 et ALS Configurez ces ports comme des ports d'accès statiques et configurez portfast pour le spanning-tree. Référez-vous au schéma pour configurer ces ports HSRP est une exigence pour le réseau et les VLANS 100 et 200 sont configurés pour utili- ser HSRP et fournir de la redondance à la couche 3. Utilisez la commande priority pour faire de DLS1 le routeur actif pour les VLANs 1 et 100 et de DLS2 le routeur actif pour le VLAN Ceci est un exemple du changement en mode client VTP pour ALS1 et ALS2: ALS1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. ALS1(config)#vtp mode client Setting device to VTP CLIENT mode. ALS1(config)#interface range fa0/ ALS1(config-if-range)#switchport mode access ALS1(config-if-range)#switchport access vlan 100 ALS1(config-if-range)#spanning-tree portfast %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION %Portfast will be configured in 10 interfaces due to the range command but will only have effect when the interfaces are in a non-trunking mode. ALS1(config-if-range)#end ALS1# CFI_Site_Paris
6
ALS2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. ALS2(config)#vtp mode client Setting device to VTP CLIENT mode. ALS2(config)#interface range fa0/ ALS2(config-if-range)#switchport mode access ALS2(config-if-range)#switchport access vlan 200 ALS2(config-if-range)#spanning-tree portfast %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION %Portfast will be configured in 10 interfaces due to the range command but will only have effect when the interfaces are in a non-trunking mode. ALS2(config-if-range)#end ALS2# Ce qui suit sont des exemples de configuration pour les VLANs et HSRP: DLS1#configure terminal DLS1(config)#vtp domain SWPOD DLS1(config)#vlan 100 DLS1(config-vlan)#name Staff DLS1(config-vlan)#exit DLS1(config)#vlan 200 DLS1(config-vlan)#name Student DLS1(config)#ip routing DLS1(config)#interface vlan 1 DLS1(config-if)#standby 1 ip DLS1(config-if)#standby 1 preempt DLS1(config-if)#standby 1 priority 150 DLS1(config-if)#exit DLS1(config)#int vlan 100 DLS1(config-if)#ip add DLS1(config-if)#standby 1 ip DLS1(config-if)#no shutdown DLS1(config)#int vlan 200 DLS1(config-if)#ip add DLS1(config-if)#standby 1 ip DLS1(config-if)#standby 1 priority 100 DLS1(config-if)#end CFI_Site_Paris
7
DLS2#config t Enter configuration commands, one per line. End with CNTL/Z. DLS2(config)#ip routing DLS2(config)#interface vlan 1 DLS2(config-if)#standby 1 ip DLS2(config-if)#standby 1 preempt DLS2(config-if)#standby 1 priority 100 DLS2(config-if)#exit DLS2(config)#int vlan 100 DLS2(config-if)#ip add DLS2(config-if)#standby 1 ip DLS2(config-if)#no shutdown DLS2(config)#int vlan 200 DLS2(config-if)#ip add DLS2(config-if)#standby 1 ip DLS2(config-if)#standby 1 priority 150 DLS2(config-if)#end Vérifiez vos configurations en utilisant les commandes show vlan, show vtp, show standby et show ip route. 3. Quel est le routeur actif pour les VLANs 1 et 100? Quel est le routeur actif pour le VLAN ? Combien de VLANs sont actifs dans le domaine VTP? - Etape Le tableau suivant montre les méthodes de vérification appropriées et les approches pour limiter les types d'attaques spécifiées dans la colonne de gauche: Type d'attaque Vérification Limitation Inondation ou usurpation d'adresse MAC show cam dynamic sécurité MAC de port Usurpation DHCP Voir les incohérences de baux DHCP Configurer DHCP Snooping Accès LAN non autorisé La vérification est très difficile pour ce type d'attaque Configurer l'authentification avec AAA CFI_Site_Paris
8
- Etape 5 Pour se protéger contre les attaques d'inondation ou d'usurpation MAC, configurez la sé-
curité de port sur les ports d'accès des VLANs 100 et 200. Comme les deux VLANs servent pour des besoins différents, configurez les ports en fonction de ces besoins Le VLAN student doit permettre que les adresses MAC affectées à un port puissent chan- ger car la majorité des étudiants ont un ordinateur portable et se déplacent dans le réseau. Etablissez la sécurité de port pour qu'une seule adresse MAC soit autorisée sur un port à un moment donné. (Ce type de configuration ne fonctionne pas sur les ports qui doivent servir des IP Phones avec un PC attaché. Dans ce cas il devra y avoir deux adresses MAC autorisées). Ceci peut être accompli en utilisant la commande switchport port-security maximum <# of MAC addresses>. Les adresses MAC du VLAN Staff ne changent pas souvent car le personnel utilise des sta tions de travail fournies par le département Réseaux & Informatique. Dans ce cas vous pouvez configurer le VLAN Staff pour que les adresses MAC apprises sur un port soient ajoutées à la configuration du commutateur comme si les adresses MAC avaient été confi- gurées avec la commande switchport port-security mac-address. Cette fonctionnalité, qui est appelée "sticky learning", est disponible sur certaines plateformes de commuta- teurs. Elle combine les fonctionnalités des addresses apprises dynamiquement et des addresses statiques configurées. Les ports du VLAN staff doivent également autoriser au maximum deux adresses MAC dynamiques par port Ce qui suit est un exemple de configuration pour les ports d'accès du VLAN student sur ALS2: ALS2#config t Enter configuration commands, one per line. End with CNTL/Z. ALS2(config)#interface range fastethernet 0/ ALS2(config-if-range)#switchport port-security maximum 1 ALS2(config-if-range)#end Notez que le nombre maximum d'adresses MAC autorisées sur FastEthernet 0/15 – 24 est une. Vérifiez votre configuration pour ALS2 en utilisant la commande show port-security interface. ALS2#show port-security interface fa0/15 Port Security : Disabled Port Status : Secure-down Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : :0 Security Violation Count : 0 CFI_Site_Paris
9
Ce qui suit est un exemple de configuration pour le VLAN Staff sur ALS1:
ALS1#config t Enter configuration commands, one per line. End with CNTL/Z. ALS1(config)#interface range fastethernet 0/ ALS1(config-if-range)#switchport port-security maximum 2 ALS1(config-if-range)#switchport port-security mac-address sticky ALS1(config-if-range)#end Cette fois-ci deux adresses MAC sont autorisées. Les deux seront apprises dynamiquement et seront ajoutées à la configuration courante. Vérifiez votre configuration en utilisant la commande show port-security interface. ALS1# show port-security int fa0/15 Port Security : Disabled Port Status : Secure-down Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : :0 Security Violation Count : 0 - Etape L'usurpation DHCP est une attaque du type "man-in-the-middle" qui est que l'attaquant obtient l'accès à des informations prévues pour une autre destination. L'attaquant répond à des requêtes DHCP, affirmant avoir les informations de passerelle et de DNS valides. Un serveur DHCP valide peut également répondre à la requête mais si la réponse de l'atta- quant atteint le demandeur en premier, l'information incorrecte venant de l'attaquant est utilisée. L'équipement attaquant reçoit ensuite les données avant quelles soient transmises à la destination prévue. Pour aider à protéger le réseau contre une telle attaque, vous pouvez utiliser "DHCP Snoo ping". DHCP Snooping est une fonctionnalité du Catalyst Cisco qui détermine quels ports sont autorisés à répondre aux requêtes DHCP. Les ports sont identifiés comme "trusted" ou "untrusted". Les ports marqués "trusted" peuvent être à l'origine de tous les messages DHCP tandis que les ports marqués "untrusted" peuvent uniquement source de requêtes. Les ports marqués "trusted" hébergent un serveur DHCP ou peuvent être une liaison amont vers un serveur DHCP. Si un équipement non autorisé ou un port marqué untrus- ted tente de transmettre une réponse DHCP dans le réseau, le port est bloqué. Du point de vue DHCP snooping, les ports d'accès marqués "untrusted" ne doivent jamais transmettre de réponses DHCP telles que DHCPOFFER, DHCPACK, DHCPNAK La première étape pour configurer DHCP snooping est de valider DHCP Snooping globale ment sur tous les commutateurs en utilisant la commande ip dhcp snooping En second vous configurez les interfaces "trusted" avec la commande ip dhcp snooping trust. Par défaut tous les ports sont considérés comme "untrusted" sauf s'ils sont confi- CFI_Site_Paris
10
figurés statiquement pour être "trusted"
figurés statiquement pour être "trusted". Pour ce réseau, configurez tous les ports trunks comme "trusted" comme également le port FastEthernet 0/6 de DLS1 sur lequel est con- necté le serveur DHCP pour le réseau Ensuite vous allez configurer la limite du taux de requêtes DHCP sur les ports d'accès utili- sateurs pour limiter le nombre de requêtes DHCP autorisées par seconde. Cela est confi- guré avec la commande ip dhcp snooping limit rate <rate in pps>. Ceci est utilisé pour éviter les attaques DoS en limitant le taux de requêtes DHCP sur les ports "untrusted" Finalement configurez les VLANs qui vont utiliser DHCP Snooping. DHCP Snooping sera utilisé sur les deux VLANs student et staff. DLS1#config t Enter configuration commands, one per line. End with CNTL/Z. DLS1(config)#ip dhcp snooping DLS1(config)#interface fastethernet 0/6 DLS1(config-if)#ip dhcp snooping trust DLS1(config-if)#exit DLS1(config)#interface range fastethernet 0/7 - 12 DLS1(config-if-range)#ip dhcp snooping trust DLS1(config-if-range)#exit DLS1(config)#ip dhcp snooping vlan 100,200 DLS1(config)#end Vérifiez votre configuration en utilisant la commande show ip dhcp snooping. DLS1# show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 100,200 Insertion of option 82 is enabled Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) FastEthernet0/ yes unlimited FastEthernet0/ yes unlimited FastEthernet0/ yes unlimited FastEthernet0/ yes unlimited FastEthernet0/ yes unlimited FastEthernet0/ yes unlimited FastEthernet0/ yes unlimited DLS1# Configurez DLS2 pour valider l'information DHCP sur les liaisons trunks, validez DHCP snooping de manière globale et définissez les VLANs qui vont utiliser DHCP snooping pour ce commutateur. CFI_Site_Paris
11
DLS2#config t Enter configuration commands, one per line. End with CNTL/Z. DLS2(config)#ip dhcp snooping DLS2(config)#interface range fastEthernet 0/7 - 12 DLS2(config-if-range)#ip dhcp snooping trust DLS2(config-if-range)#exit DLS2(config)#ip dhcp snooping vlan 100,200 DLS2(config)#end Configurez ALS1 et ALS2 pour valider l'information DHCP sur les ports trunk uniquement et limiter le taux avec lequel les requêtes sont reçues avec la commande ip dhcp snooping limit rate. ALS1#config t ALS1(config)#ip dhcp snooping ALS1(config)#interface range fastethernet 0/7 - 12 ALS1(config-if-range)#ip dhcp snooping trust ALS1(config-if-range)#exit ALS1(config)#interface range fastethernet 0/ ALS1(config-if-range)#ip dhcp snooping limit rate 20 ALS1(config)#ip dhcp snooping vlan 100,200 ALS1(config)#end ALS2#config t ALS2(config)#ip dhcp snooping ALS2(config)#interface range fastethernet 0/7 - 12 ALS2(config-if-range)#ip dhcp snooping trust ALS2(config-if-range)#exit ALS2(config)#interface range fastethernet 0/ ALS2(config-if-range)#ip dhcp snooping limit rate 20 ALS2(config)#ip dhcp snooping vlan 100,200 ALS2(config)#end Vérifiez les configurations sur ALS1 et ALS2 avec la commande show ip dhcp snooping. ALS2# show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 100,200 Insertion of option 82 is enabled Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) FastEthernet0/ yes unlimited FastEthernet0/ yes unlimited FastEthernet0/ yes unlimited FastEthernet0/ yes unlimited FastEthernet0/ yes unlimited CFI_Site_Paris
12
FastEthernet0/12 yes unlimited
FastEthernet0/ no FastEthernet0/ no FastEthernet0/ no FastEthernet0/ no FastEthernet0/ no FastEthernet0/ no FastEthernet0/ no 5. Est-ce que les réponses DHCP seront autorisées sur les ports d'accès affectés au VLAN ? Combien de paquets de requêtes DHCP par seconde seront autorisés sur FastEthernet 0/16? - Etape La partie authentification de AAA requiert qu'un utilisateur soit authentifié avant d'être au- torisé à accéder au réseau. L'authentification est configurée en définissant une liste de méthodes pour l'authentification et en appliquant cette liste à des interfaces particulières. Si ces listes ne sont pas définies, une liste par défaut est utilisée Pour ce réseau, il a été décidé que AAA utilise 802.1X pour contrôler l'accès au VLAN staff en utilisant u ne liste locale de noms d'utilisateurs et de mots de passe. Une fois que le serveur RADIUS est ajouté au réseau, tous les ports utilisateurs, incluant ceux du VLAN student, seront également ajoutés à la configuration Le standard IEEE 802.1X définit un contrôle d'accès basé sur le port et un protocole d'au- thentification pour empêcher les stations non autorisées de se connecter au LAN au travers d'un port de commutateur accessible publiquement. Le serveur d'authentification authen- tifie chaque station connectée à un port de commutateur avant de rendre disponibles tous les services offerts par le commutateur ou le LAN Jusqu'à ce que les stations soient authentifiées, le contrôle d'accès 802.1X autorise uni- quement le trafic du protocole EAPOL (Extensible Authentication Protocol Over LAN) sur le port sur lequel la station est connectée. Un fois que l'authentification est réussie, le trafic normal peut passer par le port Utilisez la commande aaa new-model pour activer l'authentification AAA sur ALS1. La commande aaa authentication dot1x default local indique au commutateur d'utiliser sa base de données locale de noms d'utilisateurs et de mots de passe pour authentifier les utilisateurs. Les utilisateurs sont affectés à la base de données en utilisant la commande username username password password. Les interfaces FastEthernet utilisées pour l'accès au VLAN 100 staff sont configurées pour en utilisant la commande dot1x port-control auto. Le mot-clé auto permet au port de dé- but à l'état non autorisé, d'autoriser la négociation entre le client et le serveur pour au- thentifier l'utilisateur. Une fois authentifié, l'utilisateur peut accéder aux ressources du réseau. CFI_Site_Paris
13
Ce qui suit est un exemple de configuration pour ALS1:
ALS1#config t Enter configuration commands, one per line. End with CNTL/Z. ALS1(config)#username janedoe password 0 cisco ALS1(config)#username johndoe password 0 cisco ALS1(config)#username joesmith password 0 cisco ALS1(config)#aaa new-model ALS1(config)#aaa authentication dot1x default local ALS1(config)#int range fa 0/ ALS1(config-if-range)#dot1x port-control auto ALS1(config-if-range)#end Vérifiez votre configuration AAA avec la commande show dot1x interface. ALS1# show dot1x interface fa0/15 Supplicant MAC <Not Applicable> AuthSM State = N/A BendSM State = N/A PortStatus = N/A MaxReq = 2 MaxAuthReq = 2 HostMode = Single PortControl = Auto QuietPeriod = 60 Seconds Re-authentication = Disabled ReAuthPeriod = 3600 Seconds ServerTimeout = 30 Seconds SuppTimeout = 30 Seconds TxPeriod = 30 Seconds Guest-Vlan = 0 7. Si un utilisateur avec le nom d'utilisateur frankadams tente de se connecter aux ports d'accès du VLA staff, sera-t-il autorisé? Est-ce que cet utilisateur aura un accès autorisé aux ports du VLAN student? 8. Que faut-il changer dans la configuration quand un serveur RADIUS est ajouté dans le réseau? CFI_Site_Paris
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.