Cisco сигурност

[Редактиране] сигурност Link Layer

[Edit] CAM маса преливник

използвате. таблица на превключване се попълва, а след преминаването функционира като център.

Това означава, че след нападението, за да се свържете и да е порт на ключа, че е възможно да се намеси на целия трафик в домейна излъчване, която е собственик на пристанището.

Атаката може да се осъществи, например, чрез macof програма, която е включена в Dsniff.

Самата атака не се отразява на VLAN работа. но тя може да бъде основа за следващите атаки срещу VLAN или други видове атаки.

[Член] Примерно изпълнение на атака

На първо място, три ключове, които преминават за почистване на масата:

След това започнете атаката. Атака с помощта macof полезност, която е включена в Dsniff:

След преминаването действа като център.

Ако pinganut с машина един студент машина или друг рутер, трафикът се вижда от всички в една и съща предаването домейн.

[Редактиране] Защита срещу атаки

порт функция сигурност.

[Член] STP манипулация

Изпращането BPDU корен превключвател:

[Член] BPDU Guard

Преводи на portfast режим на пристанищата за достъп:

Преглед на обобщена информация за включените характеристики:

Виж, ако portfast е активиран на пристанище:

Разрешаването bpduguard portfast върху всички пристанища:

[Член] Root Guard

Предпазителят на корен гарантира, че на пристанището, на които е разрешено корен охрана е определено пристанище. Обикновено, корен мост пристанища са всички определени пристанища, освен ако два или повече портове на корен моста са свързани заедно. Ако мостът получава превъзходно STP мост протокол данни Units (BPDUs) на корен пазач-съвместим порт, корен охрана движи този порт на корен-непоследователна STP състояние. Този корен-състояние на несъвместимост е ефективно, равна състояние слушане. Без трафик се пренасочва през този порт. По този начин, в главната охраната налага позицията на корен моста.

Ако интерфейсът не трябва да се появи корен ключ мнения, то тогава е възможно да настроите Root Guard:

[Edit] Разликите между STP BPDU охрана и STP Root Guard

BPDU охрана и охрана корен са подобни, но тяхното въздействие е различен. BPDU охрана забранява пристанището при BPDU рецепция ако PortFast е активиран на пристанището. Инвалидността ефективно отрича устройства, които стоят зад тези пристанища от участие в STP. Трябва ръчно да активирате отново на пристанището, която е пусната в errdisable държавна или изберете errdisable-изчакване.

Root охрана позволява на устройството да участват в STP, докато устройството не се опитва да се превърне в корена. Ако корен охрана блокове на пристанището, последващо възстановяване е автоматично. Възстановяването се случва веднага след като устройството нарушител престава да изпрати най-високо BPDUs.

[Член] DHCP атака

DHCP DHCP глад изигравам

[Член] DHCP Snooping

[Член] ARP-спуфинг (ARP-отравяне)

[Редактиране] VLAN Trunking протокол

[Редактиране] Cisco Network защита Фондация

[Член] контрол равнина

[Член] контрол защита равнина

Агрегат COPP - при включване CPPr, настройки COPP остават. COPP се отнася за целия трафик. А CPPr разделя трафика на класове, и по подходящ начин да преработва (ако SOPP пропусна). CPPr ви позволява да направите фини настройки. С CPPr и да е от subinterfaces може да се приложи COPP.

CPPr идентифицира три subinterface:

Контрол равнина гостоприемник subinterface
Контрол самолет транзит subinterface
Контрол самолет CEF-изключение subinterface

COPP
Порт филтър - позволява ранно откриване и изхвърлете трафик, който отива в затворените пристанища. Използва се, например, за да се предотврати DoS-атака на устройството.
Опашката на прагови стойности - функция предотвратява претоварване на входящия трафик опашка един протокол.

Какво трафик попада в този интерфейс

Функции CPPr, която може да се приложи

[Edit] Конфигурация Copp

С подкрепата на такива критерии за класифициране в клас-карта:

стандартен и разширен ACL,
мач IP DSCP,
съвпада с IP предимство,
съвпада с протокол ARP.

В политиката карта, която се използва за COPP, такива ограничения са:

действия:
- капка
- полиция (предава)?
Една политика, може да се приложи в изходяща посока само Агрегат COPP.
В входящо посоката на политиката може да се приложи и subinterfaces Агрегат COPP.

Използването на политиката на приемните Subinterfaces:

[Редактиране] Set Порт Филтър политика

Критериите за клас-карта тип порт-филтър:

настройки клас-карта за филтрация пристанища Пример:

Конфигуриране на политика-карта (единственият възможен спад действие):

Използването на политиката на приемните Subinterfaces:

Създаване на правила за инспекция:

инспекция Application правила на интерфейса:

[редактиране] Определяне на таймери

Стойностите по подразбиране на таймери:

чакащите за определяне времето TCP свързвания (по подразбиране 30 секунди):

Докато чакате завършването на TCP-връзки (по подразбиране 5 секунди):

Времето за изчакване до приключване на TCP-връзката сън (по подразбиране 5 секунди):

Ограничения за висящи връзки. Ако броят на непълни връзки е повече от горния (високо) прага на 800, а след това те ще бъдат премахнати, докато не достигнат по-ниският праг 600 (ниско):

Ограничения за недовършената съединението от хост.

[Редактиране] CBAC и Java

ACL, и то посочва какви мрежи имат право да преминават Java:

Създаване правила за инспекция:

[Edit] Cisco IOS Firewall Classic

[Член] Cisco IOS основана на зоната Firewall политика

Основана на зоната Firewall политика - нов подход за конфигуриране правило Cisco защитна стена на рутера. Тя се основава на интерфейсите зона за сигурност на разпределение на маршрутизатора. След това всички правила са определени за взаимодействията между зоните.

Този подход е по-лесно да настроите правила за защитната стена. В допълнение към основана на зоната защитната стена на политиката с помощта на Cisco политика Language (CPL), която дава възможност за по-голяма гъвкавост, отколкото в предишните версии на защитната стена, конфигурирате правила за филтриране на трафика.

Основана на зоната Firewall политика се появи, тъй като IOS 12.4 (6) Т.