U5 - 11 - Switch-En Administrazioa 2 - Segurtasuna

U5: Switch-en kudeaketa (II)
Segurtasuna
CCNA routing y switching

Introducción a redes v6.0
Urruneko sarbide segurua
Nola funtzionatzen duen SSH-k
▪ Secure Shell (SSH) komando lerroan oinarritutako urruneko gailuarekin
konexio segurua (enkriptatua) eskaintzen duen protokoloa da.
▪ SSHk Telnet ordezkatu beharko luke kudeaketa konexioetarako, izan ere,
Telnetek ez bezala, transmisioa enkriptatzen du.
▪ SSH-k TCP-ren 22. ataka erabiltzen du lehenespenez (Telnet TCP 23).
▪ Catalyst 2960 switch-etan SSH gaitzeko, ezaugarri eta gaitasun
kriptografikoak (enkriptatuak) biltzen dituen IOS softwarearen bertsioa
behar da.
▪ Ohar: show version komandoa erabil dezakezu switch-ak ze IOS bertsio exekutatzen ari den ikusteko.
Testua biltzen duen IOS fitxategi izena "k9”Enkriptatzea onartzen du.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
SSH-ren konfigurazioa
1. Egiaztatu SHH-rekiko
bateragarritasuna:
show ip ssh.
2. Konfiguratu ostalaria eta IP

domeinua
3. Sortu RSA gako (clave)

bikoteak
4. Konfiguratu erabiltzailearen
autentifikazioa
5. Konfiguratu vty ataka.
6. SSH-ren 2. bertsioa aktibatu
SSH-ren egiaztapena
▪ Windows-en, PuTTY
bezalako SSH bezero bat
erabil dezakegu switch-era
konektatzeko.
▪ Linux-ek SSH bezeroa
barne dauka:
(ssh <user> @ <dir-ip>)
▪ PacketTracer-en,
ordenagailuek Telnet /
SSH bezero bat barne
dute PC terminalean:
(ssh -l <user> <IP-dest>)
SSH-ren egiaztapena (jarraipena)
Switch-en ataken segurtasuna
Erabilitako Ataken segurtasuna
▪ Erabili gabeko atakak
desaktibatuta egon
beharko lirateke
● Banan-banan:
sw(config)# interface fa0/1

sw(config-if)# shutdown
● Taldeka:
sw(config)# interface range fa0/1-8

sw(config-range)# shutdown
Ataken segurtasuna: funtzionamendua
▪ Gailu legitimoen MAC helbideetarako sarbidea baimentzen da, beste MAC
helbide batzuk baztertzen diren bitartean.
▪ MAC helbide ezezagunen konexio saiakerak segurtasun urraketa eragingo
du.
▪ MAC helbide seguruak hainbat modutan konfigura daitezke:
▪ MAC helbide seguru estatikoak: eskuz konfiguratu eta exekutatzen ari den
konfigurazioari gehitzen dira.
(switchport port-security mac-address <MAC-dir>)
▪ MAC helbide seguru dinamikoak: switch-ak ikusten duena ikasten du eta switch-
a berrabiaraztean ezabatzen da
▪ MAC helbide seguru iraunkorrak: switch bidez ikasi eta exekutatzen ari den
konfigurazioari gehitzen zaizkio
(switchport port-security mac-address sticky)
Segurtasuna urratzeko moduak
▪ IOSek segurtasun urraketa bat dela uste du interfaze horretako MAC taulan
gehienezko MAC helbide seguruak gainditu direnean eta MAC helbide taulan
helbidea ez duen gailu batek interfazera sartzen saiatzen denean.
▪ Arau-hauste bat hautematen denean, MAC horren trafikoa gelditzen da eta
hiru erantzun posible daude:
▪ Babesteko: arazoa ez da jakinarazten
▪ Mugatzeko: segurtasun urraketaren berri ematen da sistemaren
erregistroan
▪ Itzali ataka. (Birgaitzeko shutdown eta no shutdown)
▪ Bata edo bestea komandoarekin konfiguratu egiten da:
switchport port-security violation {protect|restrict|shutdown}
Ataken segurtasuna: Segurtasuna urratzeko
moduak (jarraipena)
Ataken segurtasuna: konfigurazioa
Ataken segurtasuna: egiaztapena
Ataken segurtasuna: egiaztapena
(jarraipena)
Spanning Tree Protocol
(STP)
Espantzio-zuhaitza
Erredundantzia OSI ereduko 1. eta 2. geruzetan
▪ Sare kommutatuak, orokorrean, ibilbide eta lotura erredundanteak dituzte
bi gailuren artean.
• Bide erredundanteak akats puntu bakarra ekiditzen du
fidagarritasuna eta erabilgarritasuna hobetzeko.
• Bide erredundanteak 2. geruzako begiztak(bucle) sor ditzake
fisikoak eta logikoak.
▪ Espantsio-zuhaitzaren protokoloa (STP, Spanning

Tree Protocol) lotura erredundanteak daudenean laguntzen
duen 2. geruzako protokoloa da batez ere.
▪ 2. geruzako begizta(bucle) arazoak:

• MAC datu basearen ezegonkortasuna: trama beraren kopiak ataka desberdinetan jasotzen dira.
• Difusio ekaitzak - Difusioak etengabe eta modu masiboan bidaltzen dira, sareko arazoak sortuz.
• Trama anitzeko transmisioa - Unicast tramaren kopia ugari helmuga berera entregatzen dira.
Espantzio-zuhaitza
1. geruzako erredundantzia arazoak - MAC datu-basearen ezegonkortasuna
▪ Ethernet tramek ez dute bizitzeko denbora (TTL) eremua
3. geruzako IP goiburuak bezala. Horrek esan nahi du Ethernet-ek ez duela
etengabe hedatzen diren tramak baztertzeko mekanismorik.
Horrek ezegonkortasuna sor dezake MAC datu basean.
1. PC1-ek difusio trama bat bidaltzen du S2-ra.
2. S2-k MAC helbidearen taula eguneratzen du 11. ataka den PC1-en MAC
helbidearekin.
3. S2-k trama ataka guztietara berbidaltzen du trama sortu zen atakara izan ezik. S1
eta S3-k lotura nagusian(troncal) batean jasotzen dute trama eta beren MAC helbide
taulak eguneratzen dituzte PC1 lotura nagusiaren ataka bidez sartzeko.
4. S1 eta S2-k trama ataka guztietara bidaltzen dute sartu denatik kenduta.
5. S1-k trama 2. atakara (3. lotura nagusia(troncal)) bidaltzen duenean, S3-k MAC
helbide taula eguneratzen du PC1 orain 1. ataka bidez sar daitekeela islatzeko.
• Sareko begizta batean harrapatutako ostalaria ez dago eskuragarri beste ostalari
batzuentzat.
• MAC helbide taulan etengabe aldatzen direnez, S3 eta S1 switch-ek ez dakite zein
atakara berbidali behar diren tramak.
Espantzio-zuhaitza
1. geruzako erredundantzia arazoak: Difusio ekaitzak
▪ Difusio ekaitza - Geruza 2 begiztako emisio trama gehiegiek erabilgarri dagoen banda zabalera
guztia erabiltzen dute eta ezinezkoa egiten dute sareko trafiko legitimoa sarea erabiltzea.
• Zerbitzua ukatzea eragiten dute (DoS).
• Segundo batzuetan garatu eta sarea desaktibatu dezake.
Espantzio-zuhaitza
1. geruzako erredundantzia arazoak: Unicast trama bikoiztuak
▪ Unicast trama ezezaguna gertatzen da switch-ak
MAC helbide taulan MAC helmuga ez duenean eta
trama ataka guztietara igorri behar duenean trama
jaso den atakara izan ezik (sarrera ataka).
▪ Unicast trama ezezagunak begizta sare batera

bidaltzen badira, trama bikoiztuak helmugako gailura
irits daitezke.
1. PC1-ek PC4ra zuzendutako trama bidaltzen du.
2. S2-k ez du PC4-ren MAC helbidea MAC helbide
taulan, beraz, trama ataka guztietara berbidaltzen
du, S1 eta S3-ra lotura nagusiak barne. S1-k trama
PC4ra bidaltzen du. S3-k tramaren kopia bat ere
bidaltzen dio S1-ri, eta horrek trama bera PC4-ri
entregatzen dio berriro.
STP Eragiketa
Espantsio zuhaitzaren algoritmoa: Sarrera
▪ Espantsio-zuhaitzaren protokoloa (STP, Spanning
Tree Protocol) bide logikoa sortzen du switch
sarearen bidez (sareko helmuga guztiak).
• Blokeatzen ditu begizta (bucle) bat sor dezaketen
ibilbide erredundanteak.
• STP-k zubi-protokoloko datu-unitateak bidaltzen ditu
(BPDU, Bridge Protocol Data Units ) 2. geruzako
gailuen artean bide logikoa sortzeko.
▪ S2-ko ataka blokeatuta dago trafikoa bi gailuren
artean noranzko batetik igarotzeko.
▪ 1. lotura nagusiak huts egiten duenean, S2

blokeatutako ataka desblokeatu egiten da eta
trafikoa S2 eta S3 artean igaro daiteke.
LAN segurtasuna
LAN segurtasun erasoak
LAN eraso arruntak
▪ Router-en ohiko segurtasun irtenbideak,
suebakiak, sistemak erabiliz Intrusioen
Prebentzio Sistemak (IPS) eta VPN gailuek
3tik 7ra bitarteko geruzetarako babesa
eskaintzen dute.
▪ 2. geruza ere babestu behar da.
▪ 2. geruzako eraso arrunten artean honako

hauek daude:
• CDP errekonozimendu erasoa
• Telnet erasoak
• MAC helbide taulako saturazio erasoa
• VLAN erasoak
• DHCP erasoak
CDP errekonozimendu erasoa
▪ Cisco Discovery Protocol (CDP) 2. geruza
loturak detektatzeko patentatuko protokolo
bat da, defektuz aktibatuta dago.
▪ CDP-k automatikoki antzeman ditzake CDP

aktibatutako beste gailu batzuk.
▪ CDP informazioa erasotzaile batek erabil

dezake.
▪ Erabili konfigurazio komando globala

no cdp run CDP globalki desgaitzeko.
▪ Erabili interfazea konfiguratzeko komandoa

no cdp enable ataka batean CDP
desgaitzeko.
Telnet erasoak
▪ Bi Telnet eraso mota daude:
• Indar gordinaren(fuerza bruta) pasahitz erasoa:
Administrazio pasahitza lortzeko erabilitako proba eta
errore metodoa.
• Telnet DoS erasoa: Erasotzaile batek etengabe Telnet
konexioak eskatzen dit, beraz vty interfaz guztiak
agortzen ditu.
▪ Eraso horiek arintzeko urratsak:

• SSH erabili.
• Erabili pasahitz sendoak eta aldatu maiz.
• Mugatu vty linearako sarbidea sarbide kontrol zerrenda
(ACL) erabiliz.
• Erabili AAA, TACACS + edo RADIUS protokoloekin.
MAC helbide taulako saturazio erasoa
▪ LAN switch-en eraso bat MAC helbide taularen

saturazio erasoa da.
• Erasotzaileak switch-aren MAC helbide taula
gainezka egiten duten jatorrizko MAC helbide
faltsuak bidaltzen ditu.
• Orduan, switch-ak trama guztiak ataka
guztietatik transmititzen ditu, Hub baten
moduan. Honek ahalbidetzen du, erasotzaileak
trama guztiak harrapatzea.
▪ Konfiguratu atakako segurtasuna eraso horiek
arintzeko.
DHCP erasoak
▪ DHCP ordezteko erasoa: Erasotzaile batek
sareko DHCP zerbitzari maltzur bat
konfiguratzen du bezeroei IP helbideak
bidaltzeko.
▪ DHCP nekearen erasoa: Erasotzaile batek

DHCP zerbitzaria DHCP eskaera okerrez
gainezka egiten du eta eskuragarri dauden IP
helbide guztiak hartzen ditu. Emaitza zerbitzua
ukatzea (DoS) erasoa da, bezero berriek ezin
baitute IP helbiderik lortu.
▪ DHCP erasoa arintzeko metodoak:

• Konfiguratu DHCP snooping.
• Konfiguratu atakako segurtasuna.
LAN segurtasuneko praktika egokiak
LAN babesa
▪ Sarearen 2. geruza babesteko estrategiak: IP jatorria babesteak MAC eta
IP helbideak faltsutzea ekiditen
du.
• Erabili beti protokolo hauen aldaera
seguruak, hala nola SSH, SCP eta SSL.
• Erabili pasahitz sendoak eta aldatu maiz.
• Gaitu CDP zenbait atakatan soilik. ARP dinamikoa (Helbidea
ebazteko protokoloa) ikuskatzeak
• Ez erabili Telnet. falsifikazioa ekiditen du
eta ARP pozoitzea
• Erabili kudeaketarako VLAN dedikatu bat.
DHCP aurkikuntzak DHCP
• Erabili ACL nahi ez dituzun sarbideak helbideen agortzea eta DHCP
spoofing erasoak eragozten
iragazteko. ditu.
Ataken segurtasunak eraso ugari ekiditen ditu,

DHCP helbideen agortzea eta MAC helbideen
saturazioa barne.
MAC helbide-taularen saturazioagatiko erasoak arintzea
▪ Gaitu ataka segurtasuna MAC helbide
taulako saturazio erasoak ekiditeko.
▪ Ataka segurtasunak, administratzaileari hau

egitea ahalbidetzen dio:
• Zehaztu ataka baten MAC helbideak
estatikoki.
• Baimendu switch-ak MAC helbide kopuru
mugatua modu dinamikoan lortzea.
• MAC helbide gehienera iristen denean, MAC
ezezagun baten beste konexio saiakerak
segurtasun urraketa eragiten du.
DHCP erasoak arintzea
▪ DHCP erasoak ekiditeko, erabili DHCP detekzioa.
▪ Interfaze batean DHCP aurkikuntza (detección

DHCP) aktibatuta dagoenean, switch-ak ukatuko
ditu honako ezaugarriak dituzten paketeak:
• DHCP mezuak, ataka ez-fidagarri batetik datozenak,
baimenik gabeko zerbitzarietatik etorriko direlako.
• DHCP bezeroaren baimenik gabeko mezuakDHCP
detekzio-esteken datu-basea ez betetzea edo abiadura
mugak betetzen ez dituztenak.
▪ DHCP detekzioak bi ataka mota ezagutzen ditu:

• DHCP fidagarriak diren atakak:- Bertan, baimendutako
DHCP zerbitzariak egongo dira, eta haien mezuak onartu
egingo dira.
• Fidagarriak ez diren atakak: Ataka hauetan egongo
diren ostalariak, DHCP eskaerak bidali ahalko dituzte,
baina ez DHCP zerbitzariaren mezuak.

U5 - 11 - Switch-En Administrazioa 2 - Segurtasuna

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

U5 - 11 - Switch-En Administrazioa 2 - Segurtasuna

Uploaded by

Copyright:

Available Formats

U5: Switch-en kudeaketa (II)

CCNA routing y switching

2. Konfiguratu ostalaria eta IP

3. Sortu RSA gako (clave)

5. Konfiguratu vty ataka.

6. SSH-ren 2. bertsioa aktibatu

sw(config)# interface fa0/1

sw(config)# interface range fa0/1-8

▪ Espantsio-zuhaitzaren protokoloa (STP, Spanning

▪ 2. geruzako begizta(bucle) arazoak:

▪ Unicast trama ezezagunak begizta sare batera

▪ 1. lotura nagusiak huts egiten duenean, S2

▪ 2. geruza ere babestu behar da.

▪ 2. geruzako eraso arrunten artean honako

▪ CDP-k automatikoki antzeman ditzake CDP

▪ CDP informazioa erasotzaile batek erabil

▪ Erabili konfigurazio komando globala

▪ Erabili interfazea konfiguratzeko komandoa

▪ Eraso horiek arintzeko urratsak:

▪ LAN switch-en eraso bat MAC helbide taularen

▪ DHCP nekearen erasoa: Erasotzaile batek

▪ DHCP erasoa arintzeko metodoak:

Ataken segurtasunak eraso ugari ekiditen ditu,

▪ Ataka segurtasunak, administratzaileari hau

▪ Interfaze batean DHCP aurkikuntza (detección

▪ DHCP detekzioak bi ataka mota ezagutzen ditu:

You might also like