Professional Documents
Culture Documents
Segurtasuna
▪ Ohar: show version komandoa erabil dezakezu switch-ak ze IOS bertsio exekutatzen ari den ikusteko.
Testua biltzen duen IOS fitxategi izena "k9”Enkriptatzea onartzen du.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
Urruneko sarbide segurua
SSH-ren konfigurazioa
1. Egiaztatu SHH-rekiko
bateragarritasuna:
show ip ssh.
4. Konfiguratu erabiltzailearen
autentifikazioa
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 3
Urruneko sarbide segurua
SSH-ren egiaztapena
▪ Windows-en, PuTTY
bezalako SSH bezero bat
erabil dezakegu switch-era
konektatzeko.
▪ Linux-ek SSH bezeroa
barne dauka:
(ssh <user> @ <dir-ip>)
▪ PacketTracer-en,
ordenagailuek Telnet /
SSH bezero bat barne
dute PC terminalean:
(ssh -l <user> <IP-dest>)
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 4
Urruneko sarbide segurua
SSH-ren egiaztapena (jarraipena)
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 5
Switch-en ataken segurtasuna
Erabilitako Ataken segurtasuna
▪ Erabili gabeko atakak
desaktibatuta egon
beharko lirateke
● Banan-banan:
● Taldeka:
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 6
Switch-en ataken segurtasuna
Ataken segurtasuna: funtzionamendua
▪ Gailu legitimoen MAC helbideetarako sarbidea baimentzen da, beste MAC
helbide batzuk baztertzen diren bitartean.
▪ MAC helbide ezezagunen konexio saiakerak segurtasun urraketa eragingo
du.
▪ MAC helbide seguruak hainbat modutan konfigura daitezke:
▪ MAC helbide seguru estatikoak: eskuz konfiguratu eta exekutatzen ari den
konfigurazioari gehitzen dira.
(switchport port-security mac-address <MAC-dir>)
▪ MAC helbide seguru dinamikoak: switch-ak ikusten duena ikasten du eta switch-
a berrabiaraztean ezabatzen da
▪ MAC helbide seguru iraunkorrak: switch bidez ikasi eta exekutatzen ari den
konfigurazioari gehitzen zaizkio
(switchport port-security mac-address sticky)
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 7
Switch-en ataken segurtasuna
Segurtasuna urratzeko moduak
▪ IOSek segurtasun urraketa bat dela uste du interfaze horretako MAC taulan
gehienezko MAC helbide seguruak gainditu direnean eta MAC helbide taulan
helbidea ez duen gailu batek interfazera sartzen saiatzen denean.
▪ Arau-hauste bat hautematen denean, MAC horren trafikoa gelditzen da eta
hiru erantzun posible daude:
▪ Babesteko: arazoa ez da jakinarazten
▪ Mugatzeko: segurtasun urraketaren berri ematen da sistemaren
erregistroan
▪ Itzali ataka. (Birgaitzeko shutdown eta no shutdown)
▪ Bata edo bestea komandoarekin konfiguratu egiten da:
switchport port-security violation {protect|restrict|shutdown}
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 8
Switch-en ataken segurtasuna
Ataken segurtasuna: Segurtasuna urratzeko
moduak (jarraipena)
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 9
Switch-en ataken segurtasuna
Ataken segurtasuna: konfigurazioa
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 10
Switch-en ataken segurtasuna
Ataken segurtasuna: egiaztapena
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 11
Switch-en ataken segurtasuna
Ataken segurtasuna: egiaztapena
(jarraipena)
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 12
Spanning Tree Protocol
(STP)
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 13
Espantzio-zuhaitza
Erredundantzia OSI ereduko 1. eta 2. geruzetan
▪ Sare kommutatuak, orokorrean, ibilbide eta lotura erredundanteak dituzte
bi gailuren artean.
• Bide erredundanteak akats puntu bakarra ekiditzen du
fidagarritasuna eta erabilgarritasuna hobetzeko.
• Bide erredundanteak 2. geruzako begiztak(bucle) sor ditzake
fisikoak eta logikoak.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 14
Espantzio-zuhaitza
1. geruzako erredundantzia arazoak - MAC datu-basearen ezegonkortasuna
▪ Ethernet tramek ez dute bizitzeko denbora (TTL) eremua
3. geruzako IP goiburuak bezala. Horrek esan nahi du Ethernet-ek ez duela
etengabe hedatzen diren tramak baztertzeko mekanismorik.
Horrek ezegonkortasuna sor dezake MAC datu basean.
1. PC1-ek difusio trama bat bidaltzen du S2-ra.
2. S2-k MAC helbidearen taula eguneratzen du 11. ataka den PC1-en MAC
helbidearekin.
3. S2-k trama ataka guztietara berbidaltzen du trama sortu zen atakara izan ezik. S1
eta S3-k lotura nagusian(troncal) batean jasotzen dute trama eta beren MAC helbide
taulak eguneratzen dituzte PC1 lotura nagusiaren ataka bidez sartzeko.
4. S1 eta S2-k trama ataka guztietara bidaltzen dute sartu denatik kenduta.
5. S1-k trama 2. atakara (3. lotura nagusia(troncal)) bidaltzen duenean, S3-k MAC
helbide taula eguneratzen du PC1 orain 1. ataka bidez sar daitekeela islatzeko.
• Sareko begizta batean harrapatutako ostalaria ez dago eskuragarri beste ostalari
batzuentzat.
• MAC helbide taulan etengabe aldatzen direnez, S3 eta S1 switch-ek ez dakite zein
atakara berbidali behar diren tramak.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 15
Espantzio-zuhaitza
1. geruzako erredundantzia arazoak: Difusio ekaitzak
▪ Difusio ekaitza - Geruza 2 begiztako emisio trama gehiegiek erabilgarri dagoen banda zabalera
guztia erabiltzen dute eta ezinezkoa egiten dute sareko trafiko legitimoa sarea erabiltzea.
• Zerbitzua ukatzea eragiten dute (DoS).
• Segundo batzuetan garatu eta sarea desaktibatu dezake.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 16
Espantzio-zuhaitza
1. geruzako erredundantzia arazoak: Unicast trama bikoiztuak
▪ Unicast trama ezezaguna gertatzen da switch-ak
MAC helbide taulan MAC helmuga ez duenean eta
trama ataka guztietara igorri behar duenean trama
jaso den atakara izan ezik (sarrera ataka).
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 17
STP Eragiketa
Espantsio zuhaitzaren algoritmoa: Sarrera
▪ Espantsio-zuhaitzaren protokoloa (STP, Spanning
Tree Protocol) bide logikoa sortzen du switch
sarearen bidez (sareko helmuga guztiak).
• Blokeatzen ditu begizta (bucle) bat sor dezaketen
ibilbide erredundanteak.
• STP-k zubi-protokoloko datu-unitateak bidaltzen ditu
(BPDU, Bridge Protocol Data Units ) 2. geruzako
gailuen artean bide logikoa sortzeko.
▪ S2-ko ataka blokeatuta dago trafikoa bi gailuren
artean noranzko batetik igarotzeko.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 18
LAN segurtasuna
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 19
LAN segurtasun erasoak
LAN eraso arruntak
▪ Router-en ohiko segurtasun irtenbideak,
suebakiak, sistemak erabiliz Intrusioen
Prebentzio Sistemak (IPS) eta VPN gailuek
3tik 7ra bitarteko geruzetarako babesa
eskaintzen dute.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 20
LAN segurtasun erasoak
CDP errekonozimendu erasoa
▪ Cisco Discovery Protocol (CDP) 2. geruza
loturak detektatzeko patentatuko protokolo
bat da, defektuz aktibatuta dago.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 21
LAN segurtasun erasoak
Telnet erasoak
▪ Bi Telnet eraso mota daude:
• Indar gordinaren(fuerza bruta) pasahitz erasoa:
Administrazio pasahitza lortzeko erabilitako proba eta
errore metodoa.
• Telnet DoS erasoa: Erasotzaile batek etengabe Telnet
konexioak eskatzen dit, beraz vty interfaz guztiak
agortzen ditu.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 22
LAN segurtasun erasoak
MAC helbide taulako saturazio erasoa
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 23
LAN segurtasun erasoak
DHCP erasoak
▪ DHCP ordezteko erasoa: Erasotzaile batek
sareko DHCP zerbitzari maltzur bat
konfiguratzen du bezeroei IP helbideak
bidaltzeko.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 24
LAN segurtasuneko praktika egokiak
LAN babesa
▪ Sarearen 2. geruza babesteko estrategiak: IP jatorria babesteak MAC eta
IP helbideak faltsutzea ekiditen
du.
• Erabili beti protokolo hauen aldaera
seguruak, hala nola SSH, SCP eta SSL.
• Erabili pasahitz sendoak eta aldatu maiz.
• Gaitu CDP zenbait atakatan soilik. ARP dinamikoa (Helbidea
ebazteko protokoloa) ikuskatzeak
• Ez erabili Telnet. falsifikazioa ekiditen du
eta ARP pozoitzea
• Erabili kudeaketarako VLAN dedikatu bat.
DHCP aurkikuntzak DHCP
• Erabili ACL nahi ez dituzun sarbideak helbideen agortzea eta DHCP
spoofing erasoak eragozten
iragazteko. ditu.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 26
LAN segurtasuneko praktika egokiak
DHCP erasoak arintzea
▪ DHCP erasoak ekiditeko, erabili DHCP detekzioa.