Konfiguracja przełączników HP ProCurve Cz. IV – Konfiguracja zabezpieczeń przed podszywaniem

  Konfiguracja zabezpieczeń przed podszywaniem. Tę część należy zacząć od konfiguracji mechanizmu zwanego DHCP-snoopingiem, który śledzi dzierżawy DHCP. Wycina wszystkie serwery DHCP prócz zdefiniowanych jako zaufane i do tego znajdujące […]

 

Konfiguracja zabezpieczeń przed podszywaniem.

Tę część należy zacząć od konfiguracji mechanizmu zwanego DHCP-snoopingiem, który śledzi dzierżawy DHCP. Wycina wszystkie serwery DHCP prócz zdefiniowanych jako zaufane i do tego znajdujące się na określonych fizycznych portach.
Mechanizm bardzo ważny podstawowa obrona w sieci przed atakami typu Man-in-the-middle. Jeżeli komuś uda się w sieci przedstawić się jako serwer DHCP może on np. podać swój IP, jako IP bramy lub serwera DNS. W ten sposób przejmie kontrolę nad całym ruchem generowanym przez daną stację roboczą.

Aby włączyć ochronę należy (po myślnikach komentarze do poleceń):

(config)# dhcp-snooping authorized-server a.b.c.d  - IP serwera DHCP
(config)# dhcp-snooping authorized-server a.b.y.x
(config)# dhcp-snooping vlan 77  - Dla każdego VLANu trzeba włączyć mechanizm
(config)# dhcp-snooping vlan 101
(config)# dhcp-snooping trust 7  - Porty uplinków lub serwera na którym działa dhcp
(config)# dhcp-snooping trust 1-10
(config)# dhcp-snooping trust Trk12
(config)# dhcp-snooping - Na koniec trzeba globalnie włączyć

Przełączniki potrafią już powiązać MAC, numer portu, VLAN, przydzielony adres IP i czas dzierżawy. Problem pojawia się w momencie gdy mamy strukturę sieciową zbudowaną z wielu przełączników. W momencie gdy przełącznik pośredniczący pomiędzy przełącznikiem A i B zostanie nieoczekiwanie uruchomiony ponownie. Dane zebrane przez w/w mechanizm zostaną utracone i hosty tracą połączenie z siecią do czasu wygaśnięcia dzierżawy. Problem ten rozwiązuje zdalna kopia bazy via TFTP.
W celu konfiguracji tego mechanizmu musimy zapewnić działający na stałe w sieci serwer TFTP

(config)# dhcp-snooping database file tftp://a.b.c.d/file
(config)# dhcp-snooping database delay 90
(config)# dhcp-snooping database timeout 10

Linia pierwsza określa adres serwera tftp i nazwę pliku z bazą danych .
Linie druga opóźnienie przed zapisem w sekundach.
Linia trzecia to timeout na zakończenie transferu w sekundach.

Dla każdego przełącznika musimy podać unikalna nazwę pliku. W innym przypadku plik będzie nadpisywany przez każdy przełącznik z osobna.
Podszycie się pod serwer DHCP, teoretycznie, nie jest już możliwe. Konfigurację i pracę mechanizmu można podejrzeć za pomocą poleceń:

# show dhcp-snooping stats


 Packet type  Action   Reason                        Count
 -----------  -------  ----------------------------  ---------
 server       forward  from trusted port              4
 client       forward  to trusted port                529717
 server       drop     received on untrusted port     0
 server       drop     unauthorized server            0
 client       drop     destination on untrusted port  0
 client       drop     untrusted option 82 field      151
 client       drop     bad DHCP release request       0
 client       drop     failed verify MAC check        0
.
# show dhcp-snooping - pokazuje konfigurację
# show dhcp-snooping binding  - pozwala śledzić czas dzierżawy

Mechanizmem rozbudowującym DHCP-snooping jest ARP-protect znany jako Dynamic MAC lockdown, który nie wpuszcza do sieci adresu MAC, który nie pobierze adresu IP z serwera DHCP, który wcześniej został przez nas dokładnie określony.
Mechanizm ten zapobiega próbom podszywania się czy ręcznego ustawienia konfiguracji IP karty sieciowej. Osoba, która tego spróbuje zostanie odłączona od sieci.

(config)# arp-protect vlan 77 – trzeba określić VLAN, w którym ma działać mechanizm
(config)# arp-protect trust 1-5 – porty ze statycznym IP
(config)# arp-protect trust Trk1
(config)# arp-protect – włączamy globalnie mechanizm

Należy nadmienić, że w każdym z wymienionych mechanizmów, porty uplinków przełączników wpierających podane metody winny zostać oznaczone jako zaufane (trust)

Atak man-in-the-middle z wykorzystaniem arp-spoofingu jest już, teoretycznie, niemożliwy. Konfigurację i statystyki mechanizmu można podejrzeć z pomocą poleceń:

show arp-protect – pokazuje konfiguracje
show arp-protect stat 77 – statystyki określonego VLANu

Następnym mechanizmem rozbudowującym DHCP-snooping jest Dynamic IP lockdown. ARP-protect przepuszcza tylko te MACe, które pobrały adres IP z serwera DHCP. Dynamic IP lockdown dodatkowo weryfikuje czy wychodzący adres MAC jest powiązany z odpowiednim adresem IP. Należy nadmienić, że mechanizm ten nie sprawdza się w przypadku, gdy adres MAC dostaje zawsze ten sam adres IP. Mechanizm blokuje pobranie określonego adresu IP nawet aktualnie powiązanemu adresowi MAC do czasu wygaśnięcia dzierżawy. HP zaleca stosowanie nawet tygodniowego czasu dzierżawy,

ip source-lockdown all – włącza mechanizm na wszystkich możliwych portach
ip source-lockdown – globalne włączenie mechanizmu

Konfigurację i dzierżawy można śledzić za pomocą komend:

show ip source-lockdown status – aktywność mechanizmu na portach
show ip source-lockdown bindings – pokazuje śledzone dzierżawy

Z podobnych mechanizmów istnieje jeszcze MLD-snooping, ale IPv6 w przypadku sieci lokalnych/korporacyjnych jest dla mnie tematem tabu. Nie istnieje argument, który mnie przekonuje do tego, by pozwolić się bawić użytkownikom IPv6.
O uciszaniu IPv6 w sieci szerzej napiszemy w przyszłości.