DAS_3_Bezpečnost
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOC.
v IP hlavičce (50,51), port kanálu IKE-500)
Bezpečnost technologií LAN a WAN sítí:
Bezpečnost a ARP
• Možnost neregulérní odpovědi na ARP dotaz.
• Generování ARP dotazů s falešnou vazbou MAC-IP adresa zdroje.
• Řeší se statickými záznamy v ARP cache směrovače.
Bezpečnost směrování
Ochrana proti generování falešné směrovací informace
• Autentizace zdrojů směrovací informace (sousedů)
• Možnost aplikace ACL na adresy zdrojů směrovací informace
• Možnost filtrace propagovaných cest
• Podpora pro autentizaci: RIPv2, OSPF, EIGRP,BGP
Bezpečnost na spojové vrstvě (přepínače)
• možnost připojení pouze vyjmenovaných stanic (MAC adresami) na port
• možnost omezení počtu MAC adres na portu (proti source-spoof DoS – vedlo by
k přeplňování přepínací tabulky, LRU odstraňování a častému floodingu)
• možnost ACL na port (zdrojová-cílová MAC adresa, někdy i IP)
• možnost aplikace ACL na VLAN jako celek
• možnost zákazu vzájemné komunikace mezi porty, možnost pouze na serverové nebo
páteřní porty (anti-Doom ;-))
Akce při detekci porušení pravidel – zvýšení čítačů, port shutdown, SNMP trap
Ochrana Spanning-Tree
• BPDU Guard,
• Root Guard
Zabezpečení managementu síťových prvků
(Telnet,SSH,SNMP)
• přístupové heslo (Telnet,WWW), komunity RO a RW (SNMP)
• specifikace povolené zdrojové adresy (ACL) pro management
• oddělený management VLAN.
• jde o timeout pro neaktivní administrátorské připojení
Nezapomínat na zabezpečení fyzického přístupu k zařízení.
Autentizace, autorizace, accounting
• Autentizační servery a protokoly TACACS+, RADIUS
• Mezi Remote Access serverem a autentizačním serverem
• Remote Access Server je i WiFi AP
• Autentizační informace se šíří ke klientovi pomocí standardu IEEE 802.1x
Bezpečnost DNS:
Možnost modifikace DNS odpovědí (falešná odpověď, odpověď jiná než položená otázka –
přepis v cache)
Příklady DoS útoků:
• SYN flood
• ping flood, pakety na neexistující síť - na routerech možnost omezení max. intenzity
generování ICMP zpráv (hlavně unreachables).
• ping na cílovou síť s podvrženou zdrojovou adresou také z cílové sítě
• neautorizovaná změna směrování (ICMP redirects, falešné směrovací informace)
Intrusion Detection System (IDS) – rozpoznává podezřelé vzory komunikace (na různých
vrstvách)