Siguranța pe stratul 2 comutatoare cisco

DHCP Snooping

Atacul este că un atacator creează un server DHCP de rețea locală și distribuie setările protocolului de rețea. În acest caz, de obicei, se indică faptul ca gateway-ul implicit și primește tot traficul.

DHCP Snooping poate:

Pentru DHCP IGMP să funcționeze corect, trebuie să specificați care comutați porturile sunt de încredere (de încredere), și ceea ce - nu (nu este de încredere, în continuare - fiabile):

  • Nefiabile (Nesigur) - porturi, care sunt conectate la clienți. DHCP-răspunsuri care provin din aceste porturi sunt aruncate de către comutatorul. Pentru porturile neautentificate efectuează o serie de mesaje controale DHCP DHCP și creează baze de date (DHCP IGMP bază de date cu caracter obligatoriu) de legare.
  • Trusted (Trusted) - porturile comutatorului la care este conectat un alt comutator sau DHCP-server. DHCP-pachetele sunt primite de la porturile de încredere nu sunt eliminate.

Configurarea DHCP Snooping

Dinamică de inspecție ARP (DAI)

  1. Gazda trimite o solicitare de ARP „un MAC în router A 10.1.1.1?»
  2. Un router răspunde cu propriile sale MAC și B gazdă îl stochează în memoria cache
  3. Dar gazda C (atacator) trimite o GARP pe gazdă B, indicând faptul că 10.1.1.1 este disponibil pe MAC
  4. Gazda actualizează informațiile stocate în memoria cache, și trimite toate pachetele către alte subrețele nu este pe router-A și C gazdă

Opțional dinamic de inspecție ARP pe comutator vă permite să:

  • proteja clienții de pe rețeaua de atacurile prin utilizarea protocolului ARP,
  • care reglementează mesajul ARP este aruncat, care redirecționează.

Pentru o funcționare corectă, dinamică de inspecție ARP, trebuie să specificați care porturile switch sunt de încredere (de încredere), și ceea ce - nu (nu este de încredere, în continuare - fiabile):

  • Nefiabile (Nesigur) - porturi, care sunt conectate la clienți. Pentru porturile neautentificate efectuează o serie de mesaje controale ARP.
  • Încredere (Trusted) - porturile comutatorului, care este conectat la un alt comutator. Mesajele ARP primite de la porturile de încredere nu sunt eliminate

Configurarea dinamică de inspecție ARP

IP Guard Sursa

IP Sursa Guard - comutator de funcții, care limitează trafic IP pe interfețe nivelul 2a prin filtrarea traficului bazat pe DHCP IGMP tabelul de legare și mapări statice. Această funcție este utilizată pentru a face față cu IP-spoofingom.

Configurarea IP Source Guard

Descrie tehnologia nu voi, care sunt interesați - puteți citi aici: Ghid de Cisco IOS de referință rapidă pentru IBNS

Pagina anterioară

Pagina următoare