Edgecore SKA 3.1 certifiering



Relevanta dokument
EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav

HP ProCurve SKA 3.1 Certifiering

Slutrapport SKA fas två. Godkänd: Rev: Maj. Rapport SKA 1(8)

Svar till SSNf angående projekt SKA 3.1, Säker Kund Anslutning. 12 Mars 2008 Version 3.0

SKA v6. Godkänd: Rev: April. SKA v6 1(19)

Önskemål kring Studentstadens bredband och UpUnet-S

SEC. Godkänd: Rev: Augusti SEC 1(14)

Att sätta upp trådlöst med Cisco Controller 2100 series och Cisco AP 1200 series

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Krav på kundens LAN och gränssnitt DataNet

IPv6 och säkerhet.

Hjälpprotokoll till IP

Krav på kundens LAN och gränssnitt ProLane

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

IPv6 i Stadsnät. Anders Löwinger, PacketFront

CCNP Switchbibeln. Oskar Löwendahl 2/26/2014 1

============================================================================

Övningar - Datorkommunikation

Planering och RA/DHCPv6 i detalj

Handbok för nätverk. För säker och korrekt användning, läs igenom säkerhetsinformationen i "Handbok för kopiator" innan du använder maskinen.

PUNKT TILL PUNKT-ANSLUTNING. Version 10/10. Att ansluta en PC till Controller 1

Fjärruppkoppling med MRD Industriell 3G-Router KI00282A

5 Internet, TCP/IP och Tillämpningar

HDMI Extender över Ethernet

Instuderingsfrågor ETS052 Datorkommuniktion

IP Från användare till användare Vägval DNS Jens A Andersson (Maria Kihl) Att skicka data över flera länkar. Nätprotokoll

Installation av digitala enheter

Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald

DI a/11g Dualband 108Mbps trådlös router

Waystream SKA/SEC Certifiering

Installationsmanual för Tyfon ADSL

Totalt antal poäng på tentamen: 50 För att få respektive betyg krävs: U<20, 3>=20, 4>=30, 5>=40

Nätverksteknik A - Introduktion till VLAN

Linuxadministration I 1DV417 - Laboration 4 Nätverk, DHCP, säkerhetskopiering, processhantering, Samba och NFS

Handbok Remote Access TBRA

BiPAC 7402R2. ADSL2+ VPN Firewall Router. Snabbstartsguide

HDMI Extender över Ethernet

Konkurensneutrala fastigehetsanslutningar. SOF

Nätverksteknik A - Introduktion till Routing

IPv6 EN GOD BÖRJAN GER ETT GOTT SLUT. LÅT OSS BÖRJA.

Installationsanvisningar

Ethernet kommunikation med hjälp av optionskortet OPT-CI

Snabbguide Installation Linkmanager och ansluta till SiteManager

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.3.1

Konfigurera Xenta från Point

Introduktion Lync-/SfB-Infrastruktur Cellips infrastruktur Brandväggskrav Lync/SfB Server PSTN Gateway...

1. Beskrivning av ingående komponenter

Switch- och WAN- teknik. Intro, kapitel 1, 2

Ethernet-anslutning. För mer information om skrivarens Ethernet-funktion klickar du på avsnittet nedan: Ethernet-lampor. nätverkskonfigurationssida

Produktspecifikation Bitstream DSL Consumer

LAN Port: 4 X RJ45 10/100BASE-TX Fast Ethernet med Auto MDI/MDIX. Resetknapp: Återställer enheten till fabriks inställningar

Anvisning. Felsökningsanvisning för Service Provider i Öppen Fiber

DIG IN TO Administration av nätverk- och serverutrustning

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Nät med flera länkar. Vägval. Enklaste formen av kommunikation:

ELMIA WLAN (INTERNET)

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

SSnF ÅRSKONFERENS Linköping mars 2012

Setup Internet Acess CSE-H55N

Signalställverk modell 95 och 11 Riktlinjer för benämning av IP-anslutningar

2 Testa Internet utan routern först!

SurfinBird IX78 kopplad till PBX och kundens egen brandvägg

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

MRD Industriell 3G-Router KI00283C

Datakommunikation vad är det?

Nätskiktet. Nätskiktet och Internet Protocol. End-to-end -argumentet. IP-pakethuvudet. IP och länkskiktet <#>

DI-714P+ Innan du börjar. Kontrollera förpackningens innehåll. 2.4GHz trådlös router och printerserver. DI-714P+ 2.4GHz trådlös router

TCS Threaded Case Study

Beskrivning av hur du ansluter en E-terminal från Beijer Electronics till HC900 via Ethernet så att denna kan visa och manipulera data i HC900.

IF96015 är kompatibel med Nemo 96 HD HD+ HDLe. Läs informationen nedan och spara din dyrbara tid!

SMC Barricade Routers

Kapitel 6, 7, o 8: ARP Vägval Från användare till användare. Jens A Andersson (Maria Kihl)

Onslip360 Att komma igång Bambora-terminal

Access Direct Bredband

Funktioner. Parametrar

5 Internet, TCP/IP och Applikationer

Startanvisning för Bornets Internet

Tentamen CDT102 Datakommunikation i nätverk I 7,5hp

Brandväggar. Brandväggar. Netlter/iptables. Grupp 13 Andreas Önnebring Markus Månsson 21 februari 2008

Installation av. Vitec Online

Internetdagarna Petter Claesson Systems Engineer introduktion. Ljudkvalitet

Ver Guide. Nätverk

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

DIG IN TO Nätverkssäkerhet

VAKA 10 Passersystem Driftsättning & Snabbstart

Vilka är vi. Magnus Ahltorp KTHLAN Ragnar Sundblad KTHLAN & NADA

Kihl & Andersson: , Stallings: , , DHCP beskrivs även bra på

Rättningstiden är i normalfall 15 arbetsdagar och resultat anslås sedan i Ladok inom en vecka (under förutsättning att inget oförutsett inträffar).

IP201 Svenska. Installationsanvisning

4 p o r t s 1 0 / m b p s

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

DATALAGRINGSDIREKTIVET

FIBER. Installationshandbok. Rev

Grundläggande nätverksteknik. F3: Kapitel 4 och 5

Handbok för installation av programvara

Mini Dome-kamera för nätverk

En IPv6-installation. Tunnlad anslutning med SIXXS Jörgen Eriksson,.SE Torbjörn Eklöv, Interlan

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Transkript:

Edgecore SKA 3.1 certifiering 8 augusti 2008 Dokumetet beskriver hur Edgecore s ES3528 segement skall sättas upp för att klara SSNf s SKA 3.1 certifiering

2 1 Innehållsförteckning 1.1 SSNFS KRAV FÖR SKA 3.1... 3 1.2 EDGECORE S SÄKERHETSFUNKTIONER... 4 1.2.1 DHCP snooping... 4 1.2.2 DHCP snooping option 82... 4 1.2.3 Ip source guard och ip arp inspection... 4 1.2.4 Private vlan... 5 1.3 EXEMPEL PÅ SWITCH OCH DHCP-KONFIGURERING... 6 1.3.1 Switchkonfigurering... 6 1.3.2 DHCP-server... 7 Sverige 2

3 1.1 SSnFs krav för SKA 3.1 Kraven nedan är kopierade från SSNF s SKA v3.1 rapport och dokumentet beskriver sedan hur testen utförts och hur switcharna konfigureras. 1 Så kallad DHCP-snooping ska finnas på accessportarna, d v s. en kund ska inte kunna vara DHCP-server åt någon annan kund. 2 Det ska inte gå att sätta en fast IP-adress och komma vidare från porten som kunden är ansluten i. 3 När kunden fått en eller flera adresser via DHCP ska bara den eller de adresserna kunna skicka trafik ut från den porten. 4 Om inte adressen förnyas via DHCP-servern ska den adressen stängas av I switchporten. 5 Alla typer av spoofing/poisoning ska förhindras för TCP/IP och ARPprotokollen. Dvs. de av DHCP godkända adresserna är de enda adresserna som skaförekomma som sourceaddress i TCP/IP och ARP paket. 6 Alla försök till spoofing/poisoning bör kunna loggas till t.ex syslogserver för att trojaner/virus och hackare ska kunna spåras. 7 Spårbarhet ska läggas in i DHCP-förfrågningarna i L2-läge, accessswitchen skall inte vara DHCP-relay. 8 Det bör finnas filtreringsmöjligheter mellan kundportar så att t.ex godtyckliga TCP/UDP-portar kan filtreras bort mellan kunder 9 Om fasta IP-adresser används ska switchporten bara tillåta den för porten definierade IP-adressen som source-adress i TCP/IP och ARP-paket. 10 UPnP ska alltid vara spärrat mellan acessportar. 11 IPv6 ICMP6 router advertisment och IPv6 DHCP-servrar ska spärras mellankundportar. Sverige 3

4 1.2 Edgecore s säkerhetsfunktioner I Edgecores ES3528 finns ett antal säkerhetsfunktioner som gör att switcharna uppnår SKA 3.1 och på så sätt ger kunderna som ansluts en säker och trygg anslutning. Funktionerna nedan är det som används för att nå SKA version 3.1 certifiering. DHCP snooping DHCP snooping option 82 Ip source guard Ip arp inspection Private vlan 1.2.1 DHCP snooping DHCP snooping används för att inte slutkunder skall kunna sätta upp en DHCP-server och dela ut IP-adresser åt andra kunder. 1.2.1.1 Konfigurering av DHCP snooping DHCP-snooping ställs in globalt per vlan. ip dhcp snooping ip dhcp snooping vlan 1 Uplinkporten mot DHCP-server måste sättas i läget trust så att DHCP-förfrågningar kan passera till/från servern. interface ethernet 1/28 ip dhcp snooping trust 1.2.2 DHCP snooping option 82 DHCP snooping option 82 används för att DHCP-servern skall kunna logga vilka IPadresser som tilldelats på respektive port och switch. 1.2.2.1 Konfigurering av DHCP option 82 Option 82 ställs in globalt i switchen. ip dhcp snooping information option 1.2.3 Ip source guard och ip arp inspection ip source guard och ip source guard garanterar att kundens MAC-adress och IPadressen som tilldelats av DHCP-servern i är source adresserna i IP och ARP-paket för att förhindra ARP och IP Spoofing. 1.2.3.1 Konfigurering av IP source guard och ip arp inspection Sverige 4

5 Ip arp inspection ställs in global och per vlan och tillåten IP och MAC-adress registreras på respektive port efter att en IP-adress tilldelats via DHCP. ip arp inspection ip arp inspection vlan 1 Ställ sedan in ip source-guard/interface interface ethernet 1/2 ip source-guard sip-mac Uplinkporten mot DHCP-server ställs i läge trust för arp inspection interface ethernet 1/28 ip arp inspection trust 1.2.3.2 Ip Source guard med fast IP-adress Om man använder fast IP-adress måste man ställa in vilken IP och MAC-adress som skall finnas på respective port. Ip source guard binding 00-11-22-44-44-55 vlan 1 192.168.187.187 interface Ethernet 1/13 1.2.4 Private vlan Private VLAN används för att filtrera bort UPNP och Ipv6-trafik mellan slutkundsportar. 1.2.4.1 Uppsättning av Private VLAN Portarna 1/1-10 kan inte prata direkt med varandra utan de måste upp via uplinkporten 1/28 för att nå varandra. Default gateway bör proxy-arpa mellan kunderna på port 1-10 för att de ska kunna kommunicera med varandra. PVLAN pvlan up-link ethernet 1/28 down-link ethernet 1/1-10 Sverige 5

6 1.3 Exempel på switch och DHCP-konfigurering 1.3.1 Switchkonfigurering ip dhcp snooping ip dhcp snooping vlan 1 ip dhcp snooping information option ip arp inspection ip arp inspection vlan 1 interface ethernet 1/1 ip source-guard sip-mac switchport allowed vlan add 1 untagged switchport native vlan 1 interface ethernet 1/2 ip source-guard sip-mac switchport allowed vlan add 1 untagged switchport native vlan 1 interface ethernet 1/28 ip dhcp snooping trust ip arp inspection trust switchport allowed vlan add 1 untagged switchport native vlan 1 PVLAN pvlan up-link ethernet 1/28 down-link ethernet 1/1-10 Sverige 6

7 1.3.2 DHCP-server ISC s dhcp-sevrer version 4.1.0a1 använder vid testen. Utdrag ur /etc/dhcpd.conf log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address), " is connected to interface ", binary-to-ascii (10, 8, "/", suffix ( option agent.circuit-id, 2)), " VLAN ", binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)), " on switch ", binary-to-ascii(16, 8, ":", substring( option agent.remote-id, 2, 6)))); log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address), " raw option-82 info is CID: ", binary-to-ascii (10, 16, ".", option agent.circuit-id), " AID: ", binary-to-ascii(16, 8, ".", option agent.remote-id))); I loggen produceras följande. Jun 13 05:53:57 skaserver dhcpd: DHCPACK on 192.168.50.98 to 00:12:cf:73:6e:e0 via eth1 Jun 13 05:55:29 skaserver dhcpd: DHCPREQUEST for 192.168.50.98 from 00:12:cf:73:6e:e0 via eth1 Jun 13 05:55:29 skaserver dhcpd: DHCPACK on 192.168.50.98 to 00:12:cf:73:6e:e0 via eth1 Jun 13 05:55:59 skaserver dhcpd: Lease for 192.168.50.96 is connected to interface 1/2 VLAN 1 on switch 0:12:cf:73:6e:e0 Jun 13 05:55:59 skaserver dhcpd: Lease for 192.168.50.96 raw option- 82 info is CID: 4.1.258 AID: 0.6.0.12.cf.73.6e.e0 Jun 13 05:55:59 skaserver dhcpd: DHCPREQUEST for 192.168.50.96 from 00:0c:29:52:7e:7d (ska3.ssnf.org) via eth1 Jun 13 05:55:59 skaserver dhcpd: DHCPACK on 192.168.50.96 to 00:0c:29:52:7e:7d (ska3.ssnf.org) via eth1 Sverige 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss