Aging time что это
Перейти к содержимому

Aging time что это

Технологии безопасности сети на 2-ом уровне OSI. Часть 1

Казалось бы, получив доступ во внутреннюю сеть, злоумышленник может относительно беспрепятственно исследовать соседние узлы, собирать передаваемую информацию и в общем уже все потеряно.

Тем не менее при корректном подходе к контролю уровня доступа можно существенно осложнить упомянутые процедуры. При этом грамотно подготовленная сетевая инфраструктура, заметив зловредную аномалию, об этом своевременно сообщит, что поможет снизить ущерб.

Под катом перечень механизмов, которые помогут выполнить данную функцию.

Хотелось бы привести общую выжимку без лишних Вики-обоснований, но с описанием вариаций конфигурации, тем не менее иногда отступаю в ликбез, что бы стороннему читателю статья показалась более дружелюбной.

Статья выходила объемной, и, по-моему, слишком большие статьи не читаются, а складываются в долгий ящик с мыслью «как-нибудь осилю». Поэтому материал пришлось разделить, и при должном успехе составлю вторую часть с менее распространенными (по крайней мере у нас) технологиями.

Предполагаю, что данный вендор самый процентуально распространенный, да и самый информационно богатый, и вызывает бОльшую заинтересованность у начинающих изучать подобные темы.

Тем не менее, уверен, что после усвоения каждой конкретной технологии на циске, корректно составить конфигурацию у другого вендора не составит труда, если у Вас есть 30 мин. и обычный User Guide.

Считаю, что информация не дублирует уже существующую на хабре, хотя что-то похожее можно встретить тут и тут.

Port Security
Описание

Технология предназначена для контроля подключенных к коммутатору устройств и предотвращения аномалий или атак, нацеленных на переполнения таблицы MAC-адресов (CAM table overflow).

С помощью Port Security устанавливается максимальное количество MAC адресов на конкретный свитчпорт (сетевой порт, оперирующий на 2-ом уровне OSI) или VLAN, и контролируется доступ по заданным MAC-адресам.

Способы работы с MAC-адресами:
  • Dynamic — пропускает и запоминает (на заданный период времени) любые MAC-адреса, пока не достигнет разрешенного максимума;
  • Static — пускает только заранее введенный руками MAC-адрес (может быть использовано вместе с Dynamic типом);
  • Sticky — учит новые MAC-адреса, записывая их в конфигурацию;
Действия в случае превышения полномочий:
  • Potect — в случае лишних или не заданных МАС-адресов не пускает новые, не генерирует сислог или SNMP трап, не роняет интерфейс;
  • Restrict — то же, что и Protect, но плюс лог и/или SNMP трап. А еще отчитывается в счетчик под show port-security interface <name> :

Конфигурация

Port-Security может быть активирован только, если тип свитчпорта явно задан (т.е. или Access, или Trunk). Если порт динамический (что уже неправильно), Port-Security на нем включить не получиться.

Access порты

Технология задается посредством команды switchport port-security… в режиме конфигурации конкретного интерфейса, доступные опции:

  • aging — задается временной интервал, после которого динамический МАС-адрес может быть переписан;
  • mac-address — дает доступ к следующей ветке:

В результате все выглядит примерно так:

Trunk порты

То же самое, только можно указывать поведение не относительно физического интерфейса, а конкретного VLAN’а. Для этого к каждой из предыдущих команд в конце добавляется vlan .

Проверка

Не прибегая к show run информация касательно Port-Security может быть найдена:

  • show port-security — отображает суммарно информацию об интерфейсах, их статус, количество адресов;
  • show interface <name> switchport — более детальная информация (счетчики, отдельные опции);
  • show mac address-table .. плюс опция, список ниже:

Команда проводит проверку актуальной информации о таблице MAC-адрессов. Например, нынешнее количество записей в таблице для конкретного VLAN’a и объем доступных записей проверяется посредством show mac address-table count vlan <id> :

DHCP snooping
Описание

Технология предотвращает использование не авторизированного DHCP сервера в сети, что позволяет например произвести атаку человек-посередине (man-in-the-middle, MITM). Еще защищает сеть от атак на истощение DHCP (DHCP starvation/exauction), которая имхо не особо актуальна.

Технология следит за DHCP коммуникацией в сети, которая (в основном) состоит из четырех пакетов:

  • DHCP Discover — отправляет только клиент, запрос на получения IP по DHCP;
  • DHCP Offer — отправляет только сервер, предложение конфигурации от DHCP сервера;
  • DHCP Request — отправляет только клиент, выбор конкретной конфигурации и сервера;
  • DHCP ACK — отправляет только сервер, окончательное подтверждение;

Очень немаловажно, что после активации DHCP snooping, коммутатор начинает следить за DHCP коммуникацией в сети и отождествлять выданные IP адреса с MAC-адресами запрашивающих устройств, складируя данную информацию в таблицу DHCP snooping binding.

Конфигурация

Под доверенным интерфейсом вводится команда ip dhcp snooping trust :

Для предотвращения DHCP starvation под не доверенными интерфейсами указывается частота получаемых клиентских запросов с помощью ip dhcp snooping limit rate <nr> :

Важно не занизить данную характеристику, чтобы не порезать валидный трафик. Циска советует использовать число «10».

После этого указываем конкретный VLAN для работы DHCP snooping’a и включаем непосредственно саму технологию командой без опций:

Проверка
  • show ip dhcp snooping — отображает доверенные порты и VLAN’ы, на которых включен DHCP snooping;
  • show ip dhcp snooping binding — показывает ту самую таблицу, где фигурирует привязка IP-MAC внутри VLAN’ов с включенным DHCP snooping’ом:

Dynamic ARP inspection
Описание

Технология предназначена для предотвращения ARP spoofing/poisoning атак, которая является базовым способом организации перехвата трафика (опять же атака человек-посередине/MITM), находясь в одном широковещательном домене с жертвой.

Конфигурация

Что бы эффективно предотвратить ARP spoofing, коммутатор должен иметь информацию о связке MAC-адрес/IP-адрес. Как упоминалось выше, данная информация хранится в таблице DHCP snooping. По этому корректная конфигурация эти две технологии практически всегда использует вместе.

При совместном использовании с DHCP snooping, технология активируется в режиме глобальной конфигурации командой:

После этого в данном VLAN’е будет разрешен трафик только тех устройств, которые фигурируют в таблице DHCP snooping.

В случае, если устройства НЕ используют DHCP, необходимо проводить дополнительные меры. ARP inspection позволяет использовать статические записи. Для этого создаются списки доступа ARP, создается который из режима глобальной конфигурации командой:

Синтаксис отдельной записи ниже:

помимо указания единичного MAC-адреса, в arp access-list’е можно указать диапазон. И это делается посредством !обратных ARP! масок:

Под таким arp access-list’ом указываются все необходимые статические записи. Далее технология активируется не как прежде, а с опцией filter:

Отдельный интерфейс(ы) можно пометить как доверенные. На этих интерфейсах ARP inspection проводиться не будет:

Практически всегда доверенными устанавливаются Trunk порты (главное об этом не забыть перед активированием всего механизма). Но в этом случае важно поднять установленный по умолчанию лимит ARP сообщений — он равен 15, и может быть слишком узким, особенно для транка. Советую поставить 100-ку:

Опционально можно добавить дополнительные проверки на соответствие MAC адресов в заголовках ARP и Ethernet. Делается это командой ip arp inspection validate <option> :

Функционал по каждой опции отдельно можно прочитать тут.

Проверка

Проверить статус технологии, включена ли, использует ли список доступа, статус проверки дополнительных опций и т.п. информацию:

Полезные опции у предыдущей команды (добавить в конце строки) — statistics (показывает счетчики дропов и т.п.) и interfaces (доверенные интерфейсы, лимиты ARP сообщений).

Source Guard
Описание

В случае, если нет нужды проверять всю подсеть по ARP inspection, но хотелось бы защитить от подобных угроз пару-тройку узлов, можно использовать Source Guard. На практике их функционал дублирует друг друга, хотя и есть нюансы.

Технология привязывает заданные IP-MAC к конкретному физическому интерфейсу. В результате тоже предотвращает ARP спуфинг, а также один узел сети не сможет отправить трафик от имени другого, подменив IP и MAC адреса источника (в случае ARP inspection это возможно, хотя и не является критичным).

Конфигурация

Source Guard тоже использует таблицу DHCP snooping. Она содержит не только связку IP-MAC, но и еще интерфейс, за которым находится конкретный узел.

Если узлы опять же не используют DHCP, в режиме глобальной конфигурации создается мануальная запись:

Source Guard активируется непосредственно на интерфейсе:

Проверка

Проверка записей, которые использует технология, проводится командой:
show ip source binding
Что полезно, команда выводит как мануальные записи, так и взятые из таблицы DHCP snooping.
Список интерфейсов, на которых Source Guard активирован, выводится командой:
show ip verify source

aging time

Aging out — is popular culture vernacular used to describe anytime a youth leaves a formal system of care designed to provide services below a certain age level. There are a variety of applications of the phrase throughout the youth development field.… … Wikipedia

Aging in dogs — covers the impact of aging in the domestic dog (Canis lupus familiaris), common medical and clinical issues arising, and life expectancy. Older dogs, like this 10 year old Neapolitan Mastiff, often grow grey hairs on their muzzles; some dogs go… … Wikipedia

Time Out — is a publishing company based in London, England. The company s best known product is the Time Out weekly listings magazine. The original magazine, with listings for London, was published in 1968 by Tony Elliott. The first issues had a print run… … Wikipedia

Time (TV series) — Time is a 2006 documentary television series first broadcast on BBC Four in the United Kingdom. It is written and presented by Michio Kaku.Episode list#Daytime exploring human perception of time in day to day life. #Lifetime the effect of aging… … Wikipedia

Aging — Ag ing, n. the process by which objects or materials acquire desirable qualities by being left undisturbed for some time under specific conditions. It is used mostly for foods snd beverages, but also for other materials. [Also spelled .]… … The Collaborative International Dictionary of English

aging — ag·ing (āʹjĭng) n. 1. The process of growing old or maturing. 2. An artificial process for imparting the characteristics and properties of age. * * * Gradual change in an organism that leads to increased risk of weakness, disease, and death. It… … Universalium

Aging of wine — Bottles of wine in an underground cellar aging The aging of wine, and its ability to potentially improve wine quality, distinguishes wine from most other consumable goods. While wine is perishable and capable of deteriorating, complex chemical… … Wikipedia

Aging offender — An aging offender or an elderly offender in an individual over the age of 55 who breaks the law or is in prison. [Newman, Newman Gewirtz Is Special Treatment Needed For Elderly Offenders? p. 4] It is also a term than can refer to the concept of… … Wikipedia

Aging — The process of becoming older, a process that is genetically determined and environmentally modulated. Research into aging: To sum up the state of research into aging is well beyond the confines of this space (and this writer s talents). However … Medical dictionary

Aging of Europe — The aging of Europe, also known as the greying of Europe, is a social phenomenon in Europe characterized by a decrease in fertility, an increase in mortality, and a higher life expectancy.cite web|author=Giuseppe Carone and Declan… … Wikipedia

aging — A report or schedule of all outstanding accounts payable or accounts receivable that lists all account debtors or creditors by name, shows the total amount due to each debtor, and shows how much of the amount due to each debtor is due within… … Financial and business terms

Port security

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:

  • несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
  • атак направленных на переполнение таблицы коммутации.

Содержание

[править] Port security на коммутаторах ProCurve

[править] Режимы запоминания адресов

Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:

  • Continuous — устройство с любым MAC-адресом может без ограничений работать через порт коммутатора.
  • Static — от 0 до 8 MAC-адресов могут быть статически заданы, остальные могут быть динамически выучены.
  • Configured — от 1 до 8 MAC-адресов могут быть статически заданы, динамически адреса выучены быть не могут.
  • Limited-continuous — от 1 до 32 MAC-адресов могут быть динамически выучены.
  • Port-access — используется вместе с 802.1X для того, чтобы временно выучить MAC-адрес аутентифицированной сессии 802.1X.

[править] Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

  • максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов, и хост, чей MAC-адрес не записан в таблице адресов, пытается получить доступ через интерфейс.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

  • none — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
  • send-alarm — когда количество безопасных MAC-адресов достигает максимального ограничения, настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляются SNMP trap и сообщение syslog.
  • send-disable — нарушение безопасности приводит к тому, что интерфейс переводится в заблокированное состояние и выключается немедленно. Отправляются SNMP trap и сообщение syslog. Когда порт в заблокированном состоянии — вывести его из этого состояния можно, введя команду port-security <port-id> clear-intrusion-flag, и затем вручную включить интерфейс, введя в режиме настройки интерфейса enable.

[править] Eavesdrop Prevention

Eavesdrop Prevention — функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).

Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.

Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention.

[править] Настройка port security

Настройка port security:

Параметры команды port-security:

  • learn-mode — режим запоминания MAC-адресов. По умолчанию все порты в режиме continuous.
  • action — действие, которое будет выполняться при нарушении:
    • none — не выполнять никаких действий
    • send-alarm — отправить сообщение о нарушении (SNMP, log)
    • send-disable — отправить сообщение о нарушении и выключить порт
    • Применяется к режимам static, configured и limited-continuous
    • Для static и configured значения от 1 до 8
    • Для limited-continuous — от 1 до 32
    • По умолчанию для всех режимов разрешен 1 MAC-адрес
    [править] Отмена настройки port security

    Отмена настройки port security:

    [править] Включение порта после его блокировки

    Включение порта после того, как он был выключен port security:

    [править] Настройка Eavesdrop Prevention
    [править] Настройка port security с аутентификацией 802.1X

    Необходимо настроить port security в режиме запоминания port-access:

    Установить при настройке аутентификации 802.1X режим контроля auto:

    Port security и режим контроля аутентификации 802.1X:

    • Если аутентификация 802.1X настроена в режиме контроля auto (режим по умолчанию), то коммутатор запоминает MAC-адрес хоста с которого подключился аутентифицированный пользователь как безопасный,
    • Если аутентификация 802.1X настроена в режиме контроля authorized, то коммутатор запоминает MAC-адрес первого появившегося хоста как безопасный.

    [править] Port security на коммутаторах Cisco

    [править] Безопасные MAC-адреса

    Коммутатор поддерживает такие типы безопасных MAC-адресов:

    • Статические MAC-адреса:
      • задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса,
      • хранятся в таблице адресов,
      • добавляются в текущую конфигурацию коммутатора;
      • динамически выучиваются,
      • хранятся только в таблице адресов,
      • удаляются при перезагрузке коммутатора;
      • могут быть статически настроены или динамически выучены,
      • хранятся в таблице адресов,
      • добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.

      [править] Режимы реагирования на нарушения безопасности

      Нарушением безопасности для port security считаются ситуации:

      • максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс,
      • адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN’е.

      На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

      • protect — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
      • restrict — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение — отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter).
      • shutdown — нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown. Это режим по умолчанию.

      Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения.

      [править] Настройки по умолчанию

      На коммутаторах Cisco такие настройки по умолчанию для функции port security:

      • Port security — выключен.
      • Запоминание sticky-адресов — выключено.
      • Максимальное количество безопасных MAC-адресов на порту — 1.
      • Режим реагирования на нарушения — shutdown.
      • Время хранения адресов:
        • отключено. Значение aging time — 0,
        • для статических адресов — отключено,
        • тип времени — абсолютное.

        [править] Настройка port security

        Port security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access:

        Включение port security на интерфейсе (после этого включены настройки по умолчанию):

        Так как после команды switchport port-security, сразу включается Port security с настройками по умолчанию, то ее стоит давать вначале только если настройки по умолчанию подходят.

        Если требуется исправить какие-то параметры, то сначала нужно их исправить, а затем включить функцию.

        [править] Максимальное количество безопасных MAC-адресов

        Максимальное количество безопасных MAC-адресов на интерфейсе или в VLAN:

        Например, на интерфейсе разрешить 2 MAC-адреса, а остальные настройки по умолчанию:

        Заданием опционального параметра vlan, при указании максимального количества безопасных MAC-адресов, можно ограничить количество MAC-адресов для VLAN или перечня VLAN (добавлено с версии IOS 12.2.37SE).

        Например, настроить транк и разрешить 20 MAC-адресов в VLAN 7:

        Если на интерфейсе fa0/3 возникнет нарушение безопасности в VLAN 7, например, появится 21 адрес, то заблокирован будет только трафик этого VLAN.

        Просмотр информации о настройках port-security для VLAN 7:

        Если вы запишите на порт меньше безопасных адресов, чем указано в значении switchport port-security maximum, то оставшееся количество свободных адресов дополнится динамическими адресами по принципу «кто первый встал того и тапки».

        Если компьютер подключен к сети через PC-порт ip телефона Cisco, и у вас отдельный vlan для телефонии, то телефон продублирует свой mac-адрес в двух vlan’ах. Настройка port-security в таком случае будет выглядеть следующим образом:

        [править] Настройка безопасных MAC-адресов

        Включение sticky запоминания адресов:

        [править] Настройка режима реагирования на нарушения безопасности

        Режим реагирования на нарушения безопасности (по умолчанию shutdown):

        Если порт был настроен (или оставлен по умолчанию) режиме реагирования shutdown, то при нарушении порт перейдет в состояние error-disabled.

Добавить комментарий

Ваш адрес email не будет опубликован.