EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav



Relevanta dokument
Edgecore SKA 3.1 certifiering

HP ProCurve SKA 3.1 Certifiering

Slutrapport SKA fas två. Godkänd: Rev: Maj. Rapport SKA 1(8)

Svar till SSNf angående projekt SKA 3.1, Säker Kund Anslutning. 12 Mars 2008 Version 3.0

CCNP Switchbibeln. Oskar Löwendahl 2/26/2014 1

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP

SKA v6. Godkänd: Rev: April. SKA v6 1(19)

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

Planering och RA/DHCPv6 i detalj

IPv6 och säkerhet.

Att sätta upp trådlöst med Cisco Controller 2100 series och Cisco AP 1200 series

IPv6 i Stadsnät. Anders Löwinger, PacketFront

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Totalt antal poäng på tentamen: 50 För att få respektive betyg krävs: U<20, 3>=20, 4>=30, 5>=40

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

Waystream SKA/SEC Certifiering

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

Rättningstiden är i normalfall 15 arbetsdagar och resultat anslås sedan i Ladok inom en vecka (under förutsättning att inget oförutsett inträffar).

Övningar - Datorkommunikation

ETSF Routingprojektet WILLIAM TÄRNEBERG

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

TCS Threaded Case Study

Startanvisning för Bornets Internet

JobOffice SQL databas på server

Hur man ändrar från statisk till automatisk tilldelning av IP i routern.

IPv6 - Råd och Rön Myter och skrönor. Torbjörn

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

ETSF Routingprojektet JENS ANDERSSON

ETSF Routingprojektet JENS ANDERSSON

SEC. Godkänd: Rev: Augusti SEC 1(14)

DIG IN TO Administration av nätverk- och serverutrustning

Denial of Services attacker. en översikt

Önskemål kring Studentstadens bredband och UpUnet-S

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

ZYXEL PRESTIGE 660H-61 INSTALLATIONSMANUAL

Inlämningsuppgift 12b Router med WiFi. Här ska du: Installera och konfigurera en trådlös router i nätverket.

DIG IN TO Administration av nätverk- och serverutrustning

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Anslut en dator till valfri LAN-port och surfa in på routern på adress:

LAN Port: 4 X RJ45 10/100BASE-TX Fast Ethernet med Auto MDI/MDIX. Resetknapp: Återställer enheten till fabriks inställningar

Instruktioner för Internetanslutning

Handbok Remote Access TBRA

Linuxadministration I 1DV417 - Laboration 4 Nätverk, DHCP, säkerhetskopiering, processhantering, Samba och NFS

Systemkrav och tekniska förutsättningar

Switch- och WAN- teknik. Intro, kapitel 1, 2

DIG IN TO Nätverksteknologier

Introduktion Lync-/SfB-Infrastruktur Cellips infrastruktur Brandväggskrav Lync/SfB Server PSTN Gateway...

Uppdatera Easy Planning till SQL

MRD Industriell 3G-Router KI00283C

Nätverksteknik A - Introduktion till VLAN

Hur gör man ett trådlöst nätverk säkert?

Grundläggande rou-ngteknik

DIG IN TO Nätverksteknologier

PUNKT TILL PUNKT-ANSLUTNING. Version 10/10. Att ansluta en PC till Controller 1

Lathund Beställningsblankett AddSecure Control

Fick-router MP-01. tre i en fick-router med 6 olika lägen

Nätverksteknik A - Introduktion till Routing

Säker IP telefoni? Hakan Nohre, CISSP

Advoco NetPBX. Konfiguration av Yealink SIP IP-telefoner

OJ436-6 UPPGRADERING FÖR SMARTTONNES

INSTALLATIONSMANUAL NORDIC-SYSTEM WEBBSERVER, ios- OCH ANDROID-APP. Ver. 2.5

BiPAC 7402R2. ADSL2+ VPN Firewall Router. Snabbstartsguide

Switch- och WAN- teknik. F4: Repe55on switching

INNEHÅLL. Konfigurering av SQL Server. Egenskaper Kommunikationsprotokoll

Rapport för Högskoleexamen, Mars 2013 Datorkommunikation. Sektionen för informationsvetenskap, data- och elektroteknik

DIG IN TO Administration av nätverk- och serverutrustning

DIG IN TO Nätverkssäkerhet

P400 Installationsguide programversion

Switch- och WAN- teknik. F2: Kapitel 3 och 4

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Felsökningsguide för Windows XP

Nätskiktet. Nätskiktet och Internet Protocol. End-to-end -argumentet. IP-pakethuvudet. IP och länkskiktet <#>

INSTALLATIONSGUIDE Com Hem WiFi Hub L1 Bredband Fastighet FiberLAN

5 Internet, TCP/IP och Applikationer

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Handbok för installation av programvara

En IPv6-installation. Tunnlad anslutning med SIXXS Jörgen Eriksson,.SE Torbjörn Eklöv, Interlan

Ver Guide. Nätverk

Konfigurering av eduroam

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.3.1

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

PNSPO! CP1W-CIF mars 2012 OMRON Corporation

Instruktioner för Axxell's Trådlösa Nät

Handbok för installation av programvara

Switch- och WAN- teknik. F7: ACL och Teleworker Services

router n. filer och en Inter net- uppkoppling över flera datorer.

Nätverksteknik A - Introduktion till Routing

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

NSL Manager. Handbok för nätverksadministratörer

Att Säkra Internet Backbone

DIG IN TO. Nätverksadministration

Konfiguration av NAP VPN

DIG IN TO Administration av nätverk- och serverutrustning

Installationsanvisning För dig som har dynamisk IP-Adress

Krav på kundens LAN och gränssnitt DataNet

5 Internet, TCP/IP och Tillämpningar

F6 Exchange EC Utbildning AB

1. Inkoppling till bredbandsnätet

Kom igång med Etikettskrivaren 1. Ladda ner följande installationsprogram Ladda ner Drivrutiner för etikettskrivare Zebra

Transkript:

EXTREME NETWORKS IP SÄKERHET i EXOS relaterat SSnFs SKA krav 1(9)

1 Inledning... 3 2 SSnFs SKA-krav... 3 3 EXOS SKA-kravs relaterade funktioner... 4 4 DHCP Snooping and Trusted DHCP Server... 4 4.1 Konfigurationskommandon... 4 5 DHCP Relay Agent Option (Option 82)... 5 5.1 Konfigurationskommandon... 5 5.2 Exempel på dhcpd.conf konfiguration och loggfil...5 6 Source IP Lockdown... 6 6.1 Konfigurationskommandon... 6 7 DHCP Secured ARP... 6 7.1 Konfigurationskommandon... 7 8 ARP Validation... 7 8.1 Konfigurationskommandon... 7 9 Gratuitous ARP protection... 7 9.1 Konfigurationskommandon... 7 10 KONFIGURATIONSEXEMPEL... 8 2(9)

1 Inledning I detta dokument beskrivs funktioner i Extreme Networks operativsystem EXOS och hur de kan tillämpas för att uppnå de SKA-krav som SSnF begär. 2 SSnFs SKA-krav Dessa krav är kopierade direkt från sida 12, avsnitt 7.2.3 i SSnFs dokument Kundanslutning till bredbansnät, rev 3. Så kallad DHCP-snooping ska finnas på accessportarna, d v s. en kund ska inte kunna vara DHCP-server åt någon annan kund. Det ska inte gå att sätta en fast IP-adress och komma vidare från porten som kunden är ansluten i. När kunden fått en eller flera adresser via DHCP ska bara den eller de adresserna kunna skicka trafik ut från den porten. Om inte adressen förnyas via DHCP-servern ska den adressen stängas av I switchporten. Alla typer av spoofing/poisoning ska förhindras för TCP/IP och ARPprotokollen. Dvs. de av DHCP godkända adresserna är de enda adresserna som skaförekomma som sourceaddress i TCP/IP och ARP paket. Alla försök till spoofing/poisoning bör kunna loggas till t.ex syslogserver för att trojaner/virus och hackare ska kunna spåras. Spårbarhet ska läggas in i DHCP-förfrågningarna i L2-läge, accessswitchen skall inte vara DHCP-relay. Det bör finnas filtreringsmöjligheter mellan kundportar så att t.ex godtyckliga TCP/UDP-portar kan filtreras bort mellan kunder Om fasta IP-adresser används ska switchporten bara tillåta den för porten definierade IP-adressen som source-adress i TCP/IP och ARP-paket. UPnP ska alltid vara spärrat mellan acessportar. IPv6 ICMP6 router advertisment och IPv6 DHCP-servrar ska spärras mellankundportar. 3(9)

3 EXOS SKA-kravs relaterade funktioner I EXOS finns ett antal IP säkerhetsfunktioner implementerade som erbjuder enkla verktyg till att höja säkerheten i ett nätverk genom att kontrollera vilka resurser som tillåts eller inte tillåts att få åtkomst. De verktyg som presenteras i följande avsnitt är: DHCP Snooping and Trusted DHCP Server DHCP Relay Agent Option (Option 82) at Layer 2 Source IP Lockdown DHCP Secured ARP ARP Validation Gratuitous ARP Krav på reglering av UPnP och IPv6 trafik hanteras med filtrering i traditionella accesslistor, se exempel i avsnitt 10. Vissa säkerhetsfunktioner är beroende av varandra. Bild nedan visar beroendet för några funktioner med avseende på SKA-kraven. T.ex. Är ARP validation beroende av att funktionerna DHCP snooping och trusted server är konfigurerade. 4 DHCP Snooping and Trusted DHCP Server DHCP Snooping höjer säkerheten genom att bygga upp en databas över vilken IP adress som blivit tilldelad till vilken enhet och på vilken port. DHCP databasen innehåller IP adress, MAC adress, VLAN ID och port nummer för accessportar som klienter ansluts till. Många av säkerhetsfunktionerna som beskrivs i detta dokument använder sig av denna databas. Trusted DHCP server används för att enbart tillåta att enheter blir tilldelade IP adresser från godkända DHCP servrar. 4.1 Konfigurationskommandon enable ip-security dhcp-snooping {vlan} <vlan_name> ports [all <ports>] violationaction [drop-packet {[block-mac block-port] [duration <duration_in_seconds> permanently] none]}] {snmp-trap} 4(9)

configure trusted-servers {vlan} <vlan_name> add server <ip_address> trust-for dhcpserver configure trusted-ports [<ports> all] trust-for dhcp-server show ip-security dhcp-snooping {vlan} <vlan_name> show ip-security dhcp-snooping entries {vlan} <vlan_name> 5 DHCP Relay Agent Option (Option 82) DHCP Option 82 är ett attribut som bifogas med DHCP förfrågan för att öka spårbarheten av vilken användare sitter på vilken port. Genom att switchen bifogar information om vilken port, vlan etc som en enhet sitter på så kan man i DHCP servern spåra vilken IP adress som tilldelats vilken enhet och på vilken port/vlan/switch den enheten sitter. DHCP Option 82 kan bifogas både i L3-mode när switchen är konfigurerad som DHCP-relay eller som är fallet för SKA-kraven i L2- mode där DHCP Snooping lägger på informationen. 5.1 Konfigurationskommandon configure ip-security dhcp-snooping information option configure ip-security dhcp-snooping information policy [drop keep replace] 5.2 Exempel på dhcpd.conf konfiguration och loggfil DHCPD.CONF KONFIGURATION: ddns-update-style ad-hoc; subnet 10.0.2.0 netmask 255.255.255.0 { range 10.0.2.90 10.0.2.99; option routers 10.0.2.1; } if exists agent.circuit-id { log (info, concat ( "Lease for ", binary-to-ascii (10, 8, ".", leased-address), " is connected to interface ", suffix (option agent.circuit-id,2), " VLAN ", substring(option agent.circuit-id,0,4), " on switch ", binary-to-ascii (16, 8, ":", substring (option agent.remote-id, 0, 6)))); log (info, concat ( "Lease for ", binary-to-ascii (10,8, ".", leasedaddress), " raw option 82 info is CID: ", option agent.circuit-id, " AID: ", binary-to-ascii(16,8,".",option agent.remote-id))); } LOGGFIL: Feb 22 15:28:03 (none) dhcpd: Lease for 10.0.2.97 is connected to interface 05 VLAN 4094 on switch 0:4:96:27:7c:1a 5(9)

Feb 22 15:28:03 (none) dhcpd: Lease for 10.0.2.97 raw option 82 info is CID: 4094-1005 AID: 0.4.96.27.7c.1a Feb 22 15:28:03 (none) dhcpd: DHCPDISCOVER from 00:0f:1f:ba:6e:8d via eth0 Feb 22 15:28:04 (none) dhcpd: DHCPOFFER on 10.0.2.97 to 00:0f:1f:ba:6e:8d (SE-NBXP-BPERSS) via eth0 Feb 22 15:28:04 (none) dhcpd: Lease for 10.0.2.97 is connected to interface 05 VLAN 4094 on switch 0:4:96:27:7c:1a Feb 22 15:28:04 (none) dhcpd: Lease for 10.0.2.97 raw option 82 info is CID: 4094-1005 AID: 0.4.96.27.7c.1a Feb 22 15:28:04 (none) dhcpd: DHCPREQUEST for 10.0.2.97 (10.0.2.10) from 00:0f:1f:ba:6e:8d (SE-NBXP-BPERSS) via eth0 Feb 22 15:28:04 (none) dhcpd: DHCPACK on 10.0.2.97 to 00:0f:1f:ba:6e:8d (SE-NBXP-BPERSS) via eth0 6 Source IP Lockdown Med Source IP Lockdown förhindrar man att enheter med statisk IP adress kan kommunicera genom porten. Funktionen Source IP Lockdown använder sig av dynamiska accesslistor för att låsa ner en port till att enbart tillåta kommunikation till och från en enhet som har fått en IP adress tilldelad via en godkänd DHCP server. Denna funktion baseras sig alltså på att Trusted DHCP och DHCP Snooping är aktiverat. 6.1 Konfigurationskommandon enable ip-security source-ip-lockdown ports [all <ports>] show ip-security source-ip-lockdown 7 DHCP Secured ARP Funktionen DHCP secured ARP populerar ARPtabellen enbart när DHCP tilldelar klienter IP adresser. Genom att inaktivera ARP learning för de portar som klienter asnluter sig till och enbart tillåta manuell eller genom DHCP Secured ARP populering av ARPtabellen går det bla att centralt managera och allokera klienters IP adresser och förhindra störningar i nätet på grund av duplicerade IP adresser. 6(9)

7.1 Konfigurationskommandon enable ip-security arp learning learn-from-dhcp {vlan} <vlan_name> ports [all <ports>] show ip-security arp learning {vlan} <vlan_name> 8 ARP Validation Funktionen ARP validation är beroende av funktionen DHCP snooping. Den använder sig av samma DHCP relationsdatabas och validerar inkommande ARPs på en port och kan då förhindra försök till att få resurser i nätverket skapa felaktiga ARP tabeller. Bild nedan beskriver vilka optioner som finns 8.1 Konfigurationskommandon enable ip-security arp validation {destination-mac} {source-mac} {ip} {vlan} <vlan_name> [all <ports>] violation-action [drop-packet {[block-port] [duration <duration_in_seconds> permanently]}] {snmp-trap} show ip-security arp validation {vlan} <vlan_name> 9 Gratuitous ARP protection Klienter kan genom att skicka gratuitous ARP förfrågningar för en routers IP adress aktivera en så kallad man-in-the-middle. Som resulterar att en annan klient skickar sin trafik tänkt att gå mot routern via attackerande klient. Genom funktionen gratuitous ARP protection skyddar switchen sin egen IP adress mot sådana attacker. 9.1 Konfigurationskommandon enable ip-security arp gratuitous-protection {vlan} [all <vlan_name>] show ip-security arp gratuitous-protection 7(9)

10 KONFIGURATIONSEXEMPEL Nedan visar utdrag ur en konfigurationsfil och visar på hur kommandon i en switch från Extreme Networks med EXOS, version 12.1 eller senare kan användas för att aktivera funktioner som tillhandahåller de krav som ställs på SKA-certifierad switch. Ett vlan, kallat uservlan med portar 1-2,5,24-25 är skapat och har fått ovanstående beskrivna funktioner aktiverade. DHCP server ansluts till port 1, se bild nedan: X250e-24t.11 sh conf "vlan" Module vlan configuration. enable iparp gratuitous inspection vlan Default create vlan "uservlan" enable iparp gratuitous inspection vlan uservlan configure vlan Default delete ports all configure vlan uservlan add ports 1-2, 5, 24-25 untagged configure qosscheduler strict-priority disable iparp learning vlan uservlan port 2 disable iparp learning vlan uservlan port 5 disable iparp learning vlan uservlan port 24 disable iparp learning vlan uservlan port 25 8(9)

X250e-24t.12 sh conf "ipsecurity" Module ipsecurity configuration. enable ip-security dhcp-snooping vlan uservlan port 1 violation-action drop-packet enable ip-security dhcp-snooping vlan uservlan port 2 violation-action drop-packet enable ip-security dhcp-snooping vlan uservlan port 5 violation-action drop-packet enable ip-security dhcp-snooping vlan uservlan port 24 violation-action drop-packet enable ip-security dhcp-snooping vlan uservlan port 25 violation-action drop-packet configure trusted-ports 1 trust-for dhcp-server configure trusted-servers vlan uservlan add server 10.0.2.10 trust-for dhcp-server enable ip-security source-ip-lockdown ports 2-12, 16-24 enable ip-security arp learning learn-from-arp vlan uservlan ports 1 enable ip-security arp learning learn-from-dhcp vlan uservlan ports 1 enable ip-security arp learning learn-from-dhcp vlan uservlan ports 2 enable ip-security arp learning learn-from-dhcp vlan uservlan ports 5 enable ip-security arp learning learn-from-dhcp vlan uservlan ports 24 enable ip-security arp learning learn-from-dhcp vlan uservlan ports 25 enable ip-security arp validation ip vlan uservlan ports 2 violation-action drop-packet enable ip-security arp validation ip vlan uservlan ports 5 violation-action drop-packet enable ip-security arp validation ip vlan uservlan ports 24 violation-action drop-packet enable ip-security arp validation vlan uservlan ports 25 violation-action drop-packet enable ip-security arp gratuitous-protection vlan Default enable ip-security arp gratuitous-protection vlan uservlan configure ip-security dhcp-snooping information policy replace X250e-24t.13 sh conf "acl" Module acl configuration. create access-list NoIPv6ICMP " protocol icmpv6 ;" " deny ;" application "Cli" create access-list NoMCAST " destination-address 224.0.0.0/4 ;" " deny ;" application "Cli" configure access-list zone SYSTEM application NetLogin application-priority 3 configure access-list zone SECURITY application GenericXml application-priority 2 configure access-list add NoMCAST last priority 0 zone SYSTEM ports 2 application "Cli" ingress configure access-list add NoMCAST last priority 0 zone SYSTEM ports 5 application "Cli" ingress configure access-list add NoMCAST last priority 0 zone SYSTEM ports 24 application "Cli" ingress configure access-list add NoIPv6ICMP last priority 0 zone SYSTEM vlan uservlan application "Cli" ingress 9(9)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss