セキュリティ@BCMSN
風邪で喉と頭がガンガンいってますが
せっかく会社の休憩時間つぶして作ってきたのでアレです。
①攻撃の種類と対処
(1)MACアドレスフラッディング
【内容】
送信元MACアドレス偽装
→ SwitchのMACアドレステーブルが飽和
→ 本来の送信フレームがフラッディング
【対処方法】
①port-security
②VLANフィルタマップ
(2)VLANホッピング
【内容】
通常:
スイッチに接続 → トランクリンク確立
2重タグ付け:
<native vlan のヘッダ + 他のVLANのヘッダ + データ>
⇒スイッチはnativeのヘッダを確認
→nativeなので、取り外して転送
→転送先スイッチでは、【他のVLANのヘッダ + データ】を見るので、
その【他のVLAN】宛てのものだと思いこむ
→その結果、間接攻撃が可能となる
【対処方法】
①未使用ポートを全てaccessポートにする(デフォルトではtrunk)
②未使用ポートを全てshutdown
③未使用VLANをポートにマッピング
④native vlanをデータVLANと区別する(nativeが1なら、他のクライアントの所属をVLAN 2~にする)
⑤switchport nonegotiate
⑥switchport allowed vlan ~で許可VLANを限定
(3)DHCPスプーフィング
【内容】
1.DHCPリクエストに対して、偽のデフォルトゲートウェイ、DNSのアドレスで応答
2.以後、その偽物を教えられたクライアントは、そこに向かってデータ送信
【対処方法】
・DHCPスヌーピング
このへん参照
・ルートガード
(config-if)# spanning-tree guard root
・DAI(Dynamic ARP Inspection)
詳しくはこのへん参照
・各ポートに信頼状態を対応付ける
⇒ ホストは信頼×、Switchは信頼○
・信頼できないポートの着信をチェックして、破棄なり。
②port-securityの設定
(config-if)#switchport mode access
(config-if)#switchport port-security
(config-if)#switchport port-security mac-address 0000.0000.0000
//静的にMACアドレスを登録
(config-if)#switchport port-security mac-address sticky
//スティッキーラーニングを有効
//stickyは、接続⇒学習⇒staticだと見なして、running-configに保存
//再起動で消えるが、その前にcopy run startしておけば手動登録と全く同じ
//また、stickyラーニングしたものは、show runにて、
// switchport port-security mac-address sticky 0000.0000.0000
// のように表示される
(config-if)#switchport port-security maximum 5
//↑では最大で5個までMACアドレスを覚えることに。未記入(デフォ)で1。
(config-if)#switchport port-security violation shutdown
//shutdownがデフォ。protect > restrict > shutdownの順に強化
(config-if)#switchport port-security aging time 10
//MACアドレステーブルの保持時間を「10分」。↑1行省略で、0=永続
(config-if)#switchport port-security aging type inactivity
//inactivity:「最後に接続されてから」、または、absolute「設定されてから」
(config-if)#switchport port-security aging static
//静的に学習したMACアドレスに対して。↑でいう、0000.0000.0000.0000
③AAA(認証・認可・アカウンティング)
まず、以下の3点が必要:
①認証サーバ(RADIUS、TACACS+など)が必要
※なお、IEEE802.1xではRADIUSのみサポート
②Supplicant(クライアント)
③Authenticator(スイッチ)
設定は以下の通り:
*------------------*
(config)#aaa new-model
(config)#radius-server host 192.168.1.1 key abc
//認証サーバのIP(192.168.1.1)と、サーバへのアクセスキー(abc)設定
//radius-serverとtacacs-serverを選択
//以下、ログイン時認証
(config)#aaa authentication login default enable krb5
//認証リスト作成。ここではenableパスワードでログインを試みるが、出来ない場合はKerberos 5での認証を試みる
(config)#login authentication default
//続いてポートベース認証
(config)#dot1x system-auth-control
(config-if)#switchport mode access
//access、voice vlan、ルーテッドポートにのみ、認証を設定できる
(config-if)#dot1x port-control force-authorized
//①force-authorized(デフォ)、②force-unauthorized、③autoから選択
// ①ポートベース認証を無効
// ②認証させず、無許可ステートに。送受信不可。
// ③当初無許可⇒EAPOLのみOK⇒それが認証突破⇒以後許可ステート
*------------------*
無許可ステート:
EAPOL、CDP、BPDU(STPのアレ)は、無許可ステートでも許可される
動作確認:
#show dot1x all
とか、
#debug dot1x packets
など。
動作や設定の詳細については、こっちが圧倒的に分かり易いので参照のホド。
----------
残すところは黒本第八章的にはあと1/3。
項目的には、VLANアクセスマップ、プライベートVLAN、
BPDUガード、フィルタリング、
ルートガード、ループガード、UDLD。
後半はSpanning-treeとも大いに関係していますね。
ping-tでもその辺で出てきていたような。
とにかく、身体で覚えることですねー。
地震以後の日本国、苦労している方々も大勢いる中、
こんな安穏とした北の大地で風邪なんぞに負けてはいられません。
つか、子どもにうつったら大変だ('A`;;;
わかっちゃいるんだけども、ついつい遊んでしまう罠。なんというトラップ。
ふと貼ってみるジミーサム。
彼の楽曲はホントにすごいと思うんですよ。
札幌のapple storeにてトークショー?あったとき、わざわざ観に行ったんだぜ……!