A Cisco Security

[Edit] Biztonsági Link Layer

[Edit] CAM tábla túlcsordulás

használni. kapcsolási táblát lakott, majd a kapcsoló úgy működik, mint egy csomópont.

Ez azt jelenti, hogy a támadás után, hogy csatlakozzon bármelyik porthoz a kapcsolót, akkor lehet, hogy elfogják az összes forgalom a szórási tartomány, amely birtokolja a port.

A támadás végezhetjük, például keresztül macof segédprogram, amely tartalmazza a dsniff.

A támadás önmagában nem befolyásolja a VLAN működését. de ez lehet az alapja a későbbi támadások a VLAN vagy más típusú támadások.

[Rule] egy példaképpeni kiviteli alakja támadás

Először is, három kapcsoló, kapcsoló, hogy tiszta az asztal:

Ezután indítsa el a támadást. Támadás a macof segédprogram, amely szerepel dsniff:

Ezt követően a kapcsoló működik, mint egy hub.

Ha pinganut egy diák gép gép vagy egy másik router, a forgalom által látott minden ugyanabban szórási tartomány.

[Edit] Védelem a támadások ellen

kikötői biztonsági funkciót.

[Rule] STP Manipulation

Küldés BPDU gyökér kapcsoló:

[Rule] BPDU Guard

Fordítás PortFast hozzáférési mód portok:

Részletek összefoglaló információkat tartalmazza jellemzői:

Hátha PortFast engedélyezve van a port:

Engedélyezése bpduguard PortFast minden porton:

[Rule] Root Guard

A gyökér őr gondoskodik arról, hogy a port, amelyen gyökér őr engedélyezve van a kikötőben. Általában, gyökér híd portok minden kijelölt kikötők, kivéve, ha két vagy több port a gyökér híd egymással össze vannak kötve. Ha a híd megkapja kiváló STP Bridge Protocol Data Unit (BPDU) egy gyökér őr-kompatibilis port, gyökér őr mozog ez a port egy gyökér-inkonzisztens STP állapotban. Ez a gyökér-inkonzisztens állapotban gyakorlatilag egyenlő a hallgatási állapotban. Nem forgalmat az egész ez a port. Ily módon, a gyökér őr érvényesíti a helyzet a gyökér híd.

Ha a felület nem jelenik meg a root kapcsoló üzenetét, akkor be lehet állítani Root Guard:

[Edit] közötti különbségek STP BPDU Guard és STP Root Guard

BPDU őr és a gyökér őr hasonlóak, de a hatásuk más. BPDU őr megbénítja a portot upon BPDU vétel esetén PortFast engedélyezve van a kikötőben. A fogyatékosság foszt eszközök mögött ilyen kikötőkben való részvételét STP. Manuálisan kell újra engedélyezni a portot hogy kerül errdisable állami vagy konfigurálni errdisable-timeout.

Root őr lehetővé teszi az eszköz, hogy részt vegyenek az STP, amíg a készülék nem próbálja meg, hogy a gyökér. Ha a root őr blokkolja a port, későbbi hasznosításra automatikus. Recovery következik, amint a jogsértő készülék megszűnik küldeni kiváló BPDU.

[Rule] DHCP támadás

DHCP éhezés DHCP hamisítást

[Rule] DHCP Snooping

[Rule] ARP-spoofing (ARP-mérgezés)

[Edit] VLAN Iszap jegyzőkönyv

[Edit] Cisco Network Foundation védelem

[Rule] vezérlési sík

[Rule] vezérlési sík védelem

Összesített COPP - bekapcsoláskor CPPR, COPP beállítások maradnak. COPP valamennyi forgalmat. A CPPR osztja forgalmat osztályok, és megfelelően dolgozza fel (ha ez SOPP kimaradt). CPPR lehetővé teszi, hogy finom beállításokat. A CPPR bármelyike subinterface lehet alkalmazni COPP.

CPPR kapcsán három subinterface:

Control sík fogadó subinterface
Control sík tranzit subinterface
Control sík CEF-kivétel subinterface

COPP
Port Filter - lehetővé teszi, hogy a korai felismerés és dobja a forgalom, hogy megy a zárt kapuk. Használt, például, hogy megakadályozzák DoS-támadás a készüléket.
Sor Thresholding - funkció megakadályozza túlterhelését a bejövő forgalom sorban egy protokollt.

Mi forgalom esik ezen a felületen

Funkciók CPPR, amelyet alkalmazni lehet

[Edit] konfigurálása Copp

Támogatott ilyen besorolás kritériumainak class-térkép:

normál és kiterjesztett ACL,
mérkőzés ip DSCP,
egyezik ip elsőbbséget,
egyezik protokoll arp.

A politikai térkép, mellyel a COPP, az ilyen korlátozások:

tevékenységek:
- csepp
- rendőrség (adási)?
A politika alkalmazását a kimenő irányba csak összesített COPP.
A bejövő irányt a politika lehet alkalmazni subinterface és aggregált COPP.

A politikai és a host-subinterface:

[Edit] Set Port Filter Policy

A kritériumok class-map típusú port-szűrő:

osztály-térkép beállításait szűrés portok Példa:

Állítsa politikai térkép (csak akció drop):

A politikai és a host-subinterface:

Létrehozása ellenőrzési szabályok:

Alkalmazás egészségügyi szabályok a felületet:

[Edit] beállítás időzítő

Az alapértelmezett értékek időzítők:

A várakozási idő beállítása TCP-kapcsolat (alapértelmezett 30 másodperc):

Várva a befejezése TCP-kapcsolat (alapértelmezett 5 másodperc):

A várakozási idő befejezéséig az alvás TCP-kapcsolat (alapértelmezett 5 másodperc):

Korlátozások függőben lévő kapcsolatot. Ha a szám nem teljes kapcsolatok több, mint a felső (magas) küszöbérték 800, akkor lesz eltávolítani, amíg el nem érik az alsó küszöbértéket 600 (alacsony):

Korlátozások a befejezetlen vegyületet a fogadó.

[Edit] CBAC és Java

ACL, és rámutat arra, milyen hálózatok mehetnek Java:

Beállítás ellenőrzési szabályok:

[Edit] Cisco IOS Firewall Classic

[Rule] Cisco IOS Zone-Based Policy tűzfal

Zóna-Based Policy Firewall - egy új megközelítés, hogy konfigurálja a Cisco tűzfal szabályt a router. Ez alapján az elosztó router biztonsági zóna interfészek. Miután valamennyi szabályt be van állítva a kölcsönhatások a zónák között.

Ez a megoldás megkönnyíti beállítani tűzfal szabályait. Amellett, hogy a Zone-Based Policy Firewall a Cisco Policy nyelv (CPL), amely nagyobb rugalmasságot tesz lehetővé, mint a korábbi verziók a tűzfal, konfigurálja szabályokat, hogy kiszűrje a forgalmat.