Svar till SSNf angående projekt SKA 3.1, Säker Kund Anslutning. 12 Mars 2008 Version 3.0



Relevanta dokument
HP ProCurve SKA 3.1 Certifiering

Edgecore SKA 3.1 certifiering

EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP

IPv6 i Stadsnät. Anders Löwinger, PacketFront

Hjälpprotokoll till IP

Inlämningsuppgift 12b Router med WiFi. Här ska du: Installera och konfigurera en trådlös router i nätverket.

Att sätta upp trådlöst med Cisco Controller 2100 series och Cisco AP 1200 series

Nätverksteknik A - Introduktion till VLAN

Att Säkra Internet Backbone

SKA v6. Godkänd: Rev: April. SKA v6 1(19)

Denial of Services attacker. en översikt

Slutrapport SKA fas två. Godkänd: Rev: Maj. Rapport SKA 1(8)

IPv6 och säkerhet.

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

DIG IN TO Nätverkssäkerhet

CCNP Switchbibeln. Oskar Löwendahl 2/26/2014 1

Kapitel 6, 7, o 8: ARP Vägval Från användare till användare. Jens A Andersson (Maria Kihl)

Hur gör man ett trådlöst nätverk säkert?

DIG IN TO Nätverksteknologier

============================================================================

Övningar - Datorkommunikation

Systemkrav och tekniska förutsättningar

SSnF ÅRSKONFERENS Linköping mars 2012

IP Från användare till användare Vägval DNS Jens A Andersson (Maria Kihl) Att skicka data över flera länkar. Nätprotokoll

DATALAGRINGSDIREKTIVET

Switch- och WAN- teknik. F4: Repe55on switching

Säker IP telefoni? Hakan Nohre, CISSP

Önskemål kring Studentstadens bredband och UpUnet-S

Introduktion - LAN Design och switching concepts Basic Switch Concepts and Configuration Frågor? Referenser. Nätverksteknik 2

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

TCP/IP och Internetadressering

Hjälp! Det fungerar inte.

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

DIG IN TO Administration av nätverk- och serverutrustning

Kapitel 6, 7, o 8: IP DNS. Från användare till användare. Jens A Andersson

Från användare till användare. (Maria Kihl)

Datakommunika,on på Internet

Instuderingsfrågor ETS052 Datorkommuniktion

Tips och råd om trådlöst

Switch- och WAN- teknik. F7: ACL och Teleworker Services

God nätverksdesign och distribuerade brandväggar. Patrik Fältström

Rättningstiden är i normalfall 15 arbetsdagar och resultat anslås sedan i Ladok inom en vecka (under förutsättning att inget oförutsett inträffar).

Planering och RA/DHCPv6 i detalj

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

DA HT2011: F18. Länklagret och uppkopplingstekniker Ann-Sofi Åhn

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Lösningar till tentan i ETS052 Datorkommunikation

Tentamen i Datorkommunikation den 10 mars 2014

Totalt antal poäng på tentamen: 50 För att få respektive betyg krävs: U<20, 3>=20, 4>=30, 5>=40

DIG IN TO Administration av nätverk- och serverutrustning

5 Internet, TCP/IP och Applikationer

Startanvisning för Bornets Internet

Tentamen i ETSF15 Kommunikationssystem och Nätverk

Föreläsning 5: Stora datanät Från användare till användare ARP

Din guide till en säkrare kommunikation

Produktspecifikation Bitstream FTTx

Kihl & Andersson: Kapitel 6 (+ introduktioner från kap 7, men följ slides) Stallings: 9.5, 14.1, 14.2, Introduktion i 14.3, 16.1

TCS Threaded Case Study

Konkurensneutrala fastigehetsanslutningar. SOF

Kapitel 6, 7, o 8: IP DNS Vägval Från användare till användare Jens A Andersson (Maria Kihl) Att skicka data över flera länkar.

Installationsanvisning För dig som har dynamisk IP-Adress

Biometria Violweb. Installation kundportalaccess - för IT-administratörer. Mars 2019

LAN Port: 4 X RJ45 10/100BASE-TX Fast Ethernet med Auto MDI/MDIX. Resetknapp: Återställer enheten till fabriks inställningar

Hur fungerar en IP uppkoppling till ETS? KNX Sweden KNX: The worldwide STANDARD for home & building control

Switch- och WAN- teknik. Intro, kapitel 1, 2

Konceptutveckling Välfärdsbredband Arbetsdokument version 0.9

Switch- och WAN- teknik. F2: Kapitel 3 och 4

Kapitel 5: Lokala nät Ethernet o 802.x. Lokala nät. Bryggan. Jens A Andersson (Maria Kihl)

Brygga HUB. Brygga. Switch

Läs detta innan du sätter igång!

Produktspecifikation Bitstream DSL Consumer

IPv6 Jonas Aronsson 3TEa

Installation och setup av Net-controller AXCARD DS-202

LexCom Home. LexCom Home Datafunktion kombinera trådbunden och trådlös internetaccess. Inkommande Fiber. konverteringsenhet.

Föreläsning 5: ARP (hur hitta MAC-adress) Från applikation till applikation

Lathund Beställningsblankett AddSecure Control

IPv6 - Råd och Rön Myter och skrönor. Torbjörn

Setup Internet Acess CSE-H55N

Installationsanvisningar fiberstream (LAN) Version 1.0

Vad är PacketFront. Regional Samtrafik Behövs det? Hur skapar man det? Presentation. Svenskt företag, bildat 2001

Ver Guide. Nätverk

KomSys Hela kursen på en föreläsning ;-) Jens A Andersson

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

Protokoll i flera skikt Fragmentering Vägval DNS. Jens A Andersson

SkeKraft Bredband Installationsguide

Allt handlar om att kommunikationen måste fungera, utan avbrott.

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

Datakommunikation vad är det?

Nätverk Hemma. Ur filmen Tre Glada Tokar m. bl.a Nils Poppe Preforbia.se 1

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

5. Internet, TCP/IP tillämpningar och säkerhet

DA 2012: F13. Nätverk 2 Ann-Sofi Åhn

Konfigurering av Intertex SurfinBird IX78 tillsammans med IP-växlar och Telia SIP-anslutning

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Hur man ändrar från statisk till automatisk tilldelning av IP i routern.

Innehåll. 1 Om detta dokument. 1 Om detta dokument 1. 2 Kundnytta Introduktion till BACnet 2

DIG IN TO Administration av nätverk- och serverutrustning

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Transkript:

Svar till SSNf angående projekt SKA 3.1, 12 Mars 2008 Version 3.0

Innehållsförteckning 1 Bakgrund 2 Lösningar 2.1 DAI 2.2 PVLAN 2.3 PVLAN Edge, Protected Port 2.4 Per Interface Sticky ARP 2.5 PACL 3 Andra säkerhetsrisker och hur man skyddar sig mot dem. 3.1 IP-hijacking: 3.2 Användarport-konfiguration: 3.2.1 CDP: 3.2.2 STP: 3.2.3 Switchport block multicast: 3.2.4 Switchport block unicast: 4 Filtrering,UPnP och IPv6 4.1 Filtrering i Access switchar 4.1.1 Filterrings exempel 4.2 UPnP skydd i Stadsnätet 4.2.1 UPnP filtrering 4.3 IPv6 4.3.1 IPv6 filtrering Cisco Systems Proprietary and Confidential Page 2

1 Bakgrund Cisco har alltid varit myckget fokuserat på säkerhet och säkerhetsfrågor. Vi jobbar nära våra kunder och lägger alltid högsta prioritet på att förebygga och åtgärda eventuella säkerhetsproblem i våra kunders nät. Cisco satsar även mycket på att förstå och analysera nätverksteknologier och lösningar med avseende på säkerhet och säkerhetsrisker, allt för att minimera att våra kunder skall drabbas av allvarliga problem. Den säkerhetsrisk som nu uppmärksammats av SSNf, i form av ARP-spoofing, har vi känt till sedan vi började bygga ETTH nätverk i början av år 2000. Vi har ett flertal sätt att lösa problematiken på, så att de kunder som väljer att bygga sina ETTH nätverk med produkter från Cisco, inte skall behöva vara oroliga för att slutanvändarna skall bli hackade på grund av bristande funktionalitet i nätverket. Nytt för denna version (3.0) är att även protokollen UPnP och IPv6 skall skyddas/filtreras. 2 Lösningar 2.1 DAI Det allra bästa sättet att skydda sig mot denna säkerhetsrisk är att se till att det protokoll som primärt används för attacken skyddas/kontrolleras mot falsk information. Protokollet i det här fallet är ARP (Adress Resolution Protocol). ARP är standardiserat men saknar egen inbyggd skyddsmekanism som gör att falska paket ej kan skickas. I detta fall måste nätet ebjuda användare skydd mot falska ARP paket. Cisco har därför i sina intelligenta access switchar en inbyggd funktion som skyddar mot bland annat sådana falska ARP paket, funktionen heter DAI (Dynamic ARP Inspection), läs mer om den på länken nedan: (med CCO login): http://www.cisco.com/en/us/partner/products/ps6580/products_configuration_guide_cha pter09186a0080513330.html#wp1041210 (utan CCO login): http://www.cisco.com/en/us/products/ps6580/products_configuration_guide_chapter091 86a0080513330.html Om man använder DAI i access switcharna i sitt bredbandsnät är man helt skyddad mot ARP-spoofing attacker eftersom alla ARP-paket kontrolleras av switchen innan de skickas vidare in i nätet och alla ARP-paket som är falska kastas direkt av switchen. De swichar som supportar funktionen DAI är: Cisco ME 3400 (Metro Access SW Licence) Cisco Catalyst 3750 Cisco Catalyst 3560 Cisco Catalyst 3550 Cisco Catalyst 4500 Cisco Systems Proprietary and Confidential Page 3

Cisco Catalyst 6500 Cisco 7600 2.2 PVLAN Ett annat sätt att skydda sig mot ARP-spoofing är att använda funktionen PVLAN, (Private Virtual LAN). Med PVLAN funktionen så Layer-2 isolerar man samtiliga användare som tillhör samma L2 broadcast domän från varandra så att inga paket kan skickas direkt mellan två användare utan att passera en router. Detta gör att protokoll som ARP inte kan nyttjas för att lura användare att skicka sin trafik fel väg genom nätet. PVLAN fungerar mellan switchar och kan användas i både ring- och stjärn-designer. Tillsammans med funktionen Sticky ARP (beskriven nedan) i routrarna så skyddas användarnas trafik i båda riktningar. För mer information om PVLAN se vidare på: (med CCO login): http://www.cisco.com/en/us/partner/products/ps6580/products_configuration_guide_cha pter09186a008051337d.html#wp1038379 (utan CCO login): http://www.cisco.com/en/us/products/ps6580/products_configuration_guide_chapter091 86a008051337d.html Switchar som supportar funktionen PVLAN är: Cisco ME 3400 (Metro Base SW License) Cisco Catalyst 3750 Cisco Catalyst 3560 Cisco Catalyst 4500 Cisco Catalyst 6500 Cisco 7600 2.3 PVLAN Edge, Protected Port I nät med äldre eller lite enklare access switchar från Cisco finns funktionen Protected Port / PVLAN Edge att tillgå för att säkra användarna mot ARP-spoofing. Protected Port funktionen fungerar likt funktionen PVLAN beskriven ovan men med den begränsningen att Layer-2 isoleringen endast fungerar inom en switch eller i en ej redundant länk av switchar. Vill man nyttja funktionen Protected Port i en ring-design månste varje switch i ringen ha ett eget VLAN för att inte Layer-2 paket (inkl ARP) skall kunna skickas mellan användare. Att VLAN-separera på switch nivå brukar dock inte vara några problem för Cisco Systems Proprietary and Confidential Page 4

Operatörer/Stadsnät och Cisco har flera mycket stora kunder som nyttjar detta för att säkra upp sina nät mot bland annat ARP-spoofing. Tillsammans med funktionen Sticky ARP (beskriven nedan) i routrarna så skyddas användarnas trafik i båda riktningar. Det är ej att rekomendera att använda funktionen Protected Port om man har accessswitchar i sitt bredbandsnät som klarar av någon av de funktioner som beskrivits ovan då de ger ett bättre och mer flexibelt skydd mot ARP-spoofing. För mer information om Protected Port se vidare på: (med CCO login): http://www.cisco.com/en/us/partner/products/hw/switches/ps646/products_configuration _guide_chapter09186a00804760e7.html#wp1158863 (utan CCO login): http://www.cisco.com/en/us/products/ps6580/products_configuration_guide_chapter091 86a00805133b0.html#wp1029319 Switchar som endast supportar funktionen Protected Port / PVLAN Edge är: Catalyst 2950 Catalyst 3500xl 2.4 Per Interface Sticky ARP Funktionen Sticky ARP förhindrar att en användare kan förvanska/förfalska den tabell en router använder för att få information om hur den hittar en klient på ett Ethernet LAN, dvs ARP-tabellen. Om informationen i denna tabell är förfalskad genom att en hacker utnyttjat ARP-protokollets svagheter och gjort en så kallad ARP-spoofing attack mot routern kommer routern att skicka samtliga datapaket tänkt till en viss användare som är attackerad till hackerns dator och kan där analyseras efter tex lösenord mm. Med hjälp av funktionen Sticky ARP ser routern till att en användares information i en ARP-tabell inte kan bli förfalskad och därigenom kommer routern aldrig att skicka information tänkt till en viss användare till en hackers dator. För mer information om Sticky ARP se vidare på: (med CCO login): http://www.cisco.com/en/us/partner/products/sw/iosswrel/ps1838/prod_bulletin0900aec d80327e21.html (utan CCO login): http://www.cisco.com/en/us/products/hw/switches/ps708/products_configuration_guide _chapter09186a0080435872.html#wp1139323 Cisco Systems Proprietary and Confidential Page 5

2.5 PACL Funktionen PACL (Port Access Control List) kan filtrera datapaket som skickas in eller ut från en användarport. Att använda access filter är inte en lösning för problemet med ARP-spoofing eftersom man ej kan filtrera bort ARP-paket helt och hållet eftersom de behövs för att kommunikation över ett Ethernet baserat nät skall fungera. Eventuellt kan man nyttja PACL:er som en kortsiktig workaround för problmet eftersom det stoppar möjligheten att utföra långvaraiga man-in-the-middle attacker så som de hacker verktyg som finns tillgängliga idag nyttjar problemet, dock har man inte ett skydd mot ARPspoofing med PACL:er eftersom felaktiga ARP-paket kan skickas till andra användare i nätet och även om inte attacken fungerar som den är tänkt så stoppar man kommunikationen (DOS, Denial of Service) för de användare man försöker ARP-spoofa. För mer information om PACL:er se vidare på: (med CCO login): http://www.cisco.com/en/us/partner/products/ps6580/products_configuration_guide_cha pter09186a00805133bf.html#wp1140852 (utan CCO login): http://www.cisco.com/en/us/products/ps6580/products_configuration_guide_chapter091 86a00805133bf.html Cisco Systems Proprietary and Confidential Page 6

3 Andra säkerhetsrisker och hur man skyddar sig mot dem. Vi vill gärna ta tillfället i akt att poängtera att ARP-spoofing bara är ett av de allvarliga säkerhetsproblem som måste hanteras när man bygger IP-nät. Nedan beskrivs några andra viktiga säkerhetsproblem som också måste beaktas: 3.1 IP-hijacking: Eftersom en användares identitet på Internet består av en IP-adress är det viktigt för en operatör eller stadsnätsägare att alltid veta vem som är ansvarig för den IP-adressen vid en given tidpunkt för att kunna lösa spårbarhet om det skulle vara så att myndigheterna behöver veta vem det är som tex har hackat eller gjort andra brott på Internet. Eftersom ett IP-nummer ofta är det enda som identifierar en användare är det viktigt att nätet inte tillåter att tex en hacker kapar eller tar över en IP-adress från en annan användare och därför utger sig för att vara någon annan när han tex begår ett brott via internet. En funktion som löser detta väldigt effektivt och samtidigt är väldigt enkel och dynamisk är IPSG, IP Source Gurad. IPSG skapar automatiskt filter listor i access-switcharna som endast tillåter de IP-adresser som en användare fått tilldelats sig. Eftersom allting i funktionen IPSG sker dynamiskt behöver inte mer tid läggas för att operationellt styra nätet än tidigare samtidigt som man har fått ett betydligt bättre skydd mot så kallad IPhijacking. IPSG tillsammans med DAI ger en väldigt bra säkerhet för användare i bredbandsnät eftersom de hindrar hackare och andra brottslingar från att både stjäla en användares identitet (IP-hijacking) och agera som en MiM (Man-in-the-Middle) nod. När en klients DHCP Lease tid har gått ut rensar switchen gamla IP-addresser via en process som körs automatiskt i bakgrunden, switchens kontroll av MAC-adressen samt DHCP servrarnas sk. grace period är en del av skyddet. 3.2 Användarport-konfiguration: Man bör noga överväga vilken typ av information som skall vara tillgängling på användarportsnivå. Cisco rekommenderar att blockera information som kan användas i skadligt syfte och som inte fyller någon funktion för normala slutanvändare. 3.2.1 CDP: Det har sedan länge varit en rekomendation från Cisco att stänga av CDP, Cisco Discovery Protocol på användar-portar då informationen i CDP Cisco Systems Proprietary and Confidential Page 7

paket kan avslöja en hel del för en hackare om vilken utrustning han är inkopplad på mm. Cisco Systems Proprietary and Confidential Page 8

3.2.2 STP: Det har sedan länge varit en rekomendation från Cisco att stoppa all utgeånde och filtrera bort all inkommande STP, Spanning Tree Protocol, trafik. Det finns inga skäl att skicka ut STP information till en användare och inte heller vill man att en användare skall kunna generera STP trafik som switchen skall agera på. 3.2.3 Switchport block multicast: En användar-port bör ej skicka ut data paket som inte är skickat till en specificerad användare. Det gäller både multicast och unicast trafik (se nedan). All trafik som skickas ut på en användar port kan analyseras av en eventuell hacker för att ge information om vilka tjänster, användare, funktioner, applikationer mm som nyttjas i nätet. Med denna information kan sedan en hacker försöka lansera attacker mot osäkra användare och system. Med funktionerna Switchport block multicast och Switchport block unicast ser switchen till att endast trafik riktad till en specificerad användare skickas ut på den användarens access-port. All annan trafik, samt trafik till okända användare (så kallad flooding) stoppas av switchen. 3.2.4 Switchport block unicast: Se Switchport block multicast ovan. Cisco Systems Proprietary and Confidential Page 9

4 Filtrering och UPnP 4.1 Filtrering i Access Switchar Normalt sätt används automatiska filterings funktioner i Access switchar för Stadsnät och Bredbandsnät. Dessa funktioner är PVLAN ( Private VLAN) eller Protected Port. Den funktionen som de ger är full filtrering/blockering av all Layer- 2 trafik mellan användare inom samma VLAN (för Protected Port, inom samma VLAN inom samma switch). Med all trafik menas både Layer-2 unicast och multicast trafik. Denna filtrering/blockering av Layer-2 trafik mellan två användare skyddar mot all typ av attack mellan användare i stadsnätet samt skyddar det mot öppna protokoll som är tänkta att hjälpa användare inom sitt hemma nät, UPnP är ett sådant exempel. Skulle man ej vilja använda de automatiska filtrerings funktioner enligt ovan så supportar Cisco i sina rekomenderade Access Switchar för stadsnät och bredbandsnät filtrerings funktioner per port (Port access lista) och per VLAN (VLAN access lista). Med hjälp av dessa filterfunktioner kan en administratör själv bestämma vilken trafik som skall tillåtas från en användarport. Dessa filter kan filtrera på både Layer-2 och Layer-3 information och självklart hanteras både Unicast och Mulitcast trafik. Det går självklart att kombinera dessa filter med andra skydd mot t.ex. ARP-spoofing mm. Exempel på hur ett sådant filter skulle se ut för en port ansluten mot en bredbandsanvändare finns under punkt 4.1.1 nedan. 4.1.1 Filtreringsexempel ip access-list extended BLOCK-UNWANTED-IP-TRAFFIC permit igmp any any deny ip any 224.0.0.0 15.255.255.255 permit ip any any 4.2 UPnP skydd i Stadsnätet UPnP är ett protokoll för att förenkla visionen om det digitala hemmet. För att personer med ringa eller som helt saknar kunskaper om data nätvärk och hur man säkert och effektivt ansluter enheter med varandra enkelt skall kunna köpa och installera utrustning behövs hjälpmedel som t.ex. UPnP protokollet. Dessa protokoll är utvecklade för att endast kommunicera med enheter ägda av samma person och/eller företag. På grund av detta är det mycket viktigt att inte dessa protokoll skickas via Stadsnätet och Bredbandsnätet mellan användare som på grund av det kan komma att koppla samman sina privata enheter, som t.ex. nätverks skrivare och nätverks hårddiskar med okända användare på samma stadsnät och råka ut för obehagligheter pga detta. 4.2.1 UPnP filtrering Cisco Systems Proprietary and Confidential Page 10

4.3 IPv6 Att filtrera UPnP är mycket enkelt i Access Switchar från Cisco. Rekomenderade funktioner som PVLAN stoppar UPnP automatiskt från att sprida sig mellan användare inom stadsnätet. Vill man själv skapa filters för att stoppa dessa protokoll så kan port access listor enligt ovan användas. Dessa filter fungerar tillsammans med andra skyddsmekanismer mot ARP-spoofing etc för att få ett komplett skydd i Stadsnätet. Ipv6 är idag inte speciellt vanligt förekommande på det publika internet och är helt avstängt i de flesta svenska bredbandsnät. IPv6 trafik är därför EJ något som man vill att kunder skickar in i bredbandsnäten pga ökade risker för hacking mellan användare. Nyare persondatorer har ofta en IPv6 protokollstack förinstallerad och därför kan ett extra skyddslager i bredbandsaccessen vara nödvändigt för att skydda kunderna mot attacker mot den stacken. 4.3.1 IPv6, Skydd mot avlyssning etc Genom att använda de funktioner som beskrivits ovan stoppas all möjlighet för en kund att genom IPv6 komma åt information från andra kunder i bredbandsnätet oavsett om en kund avsiktligt eller oavsiktligt startat IPv6 på sin dator. Cisco Systems Proprietary and Confidential Page 11

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss