Cisco Switch sicher einrichten

abgelegt unter: Techniken :: Security

Mit Tools wie Ettercap und Yersinia kann selbst ein Laie erfolgreich ein ungesichertes Netz angreifen. Auch die Switche von Cisco sind im Auslieferungszustand anfällig für viele einfache Angriffe.

Mit einigen Kommandos kann der Switch allerdings gegen viele Gefahren abgesichert werden.

STP absichern

Spanning Tree ist sehr leicht zu stören. Ein Angreifer kann sich zur Root Bridge machen oder das Netz mit TCN-BPDUs fluten. Cisco hat zum Schutz gegen solche Angriffe den BPDU-Guard eingeführt. Mit dem Interface-Kommando

spanning-tree bpduguard enable

wird BPDU-Guard auf einem Interface aktiviert. Sobald auf diesem Interface eine BPDU eingeht, deaktiviert der Switch das Interface. Mit dem globalen Kommandos

errdisable recovery cause bpduguard
errdisable recovery interval 300

kann ein Interface nach 300 Sekunden wieder aktiviert werden. Ohne diese Einstellung, muss das Interface manuell wieder aktiviert werden. Auf der Konsole sieht ein BPDU-Guard wie folgt aus:

%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port 
FastEthernet0/1 with BPDU Guard enabled. 
Disabling port.
%PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting 
Fa0/1 in err-disable state
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1,
changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down

%PM-4-ERR_RECOVER: Attempting to recover from bpduguard 
err-disable state on Fa0/1
%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface 
FastEthernet0/1, changed state to u

An ein Interface mit aktiviertem BPDU-Gard, kann kein weiterer Switch angeschlossen werden.

CDP deaktivieren

Das Cisco Discovery Protocol (CDP) stellt auf Edge-Ports ein Sicherheitsrisiko dar. Ein Switch sendet via CDP interessante Informationen wie die IP-Adresse und die IOS-Version an alle Ports. Ein Angreifer kann diese Details für einen gezielten Angriff nutzen.

Eine weitere Möglichkeit ist das Fluten des Switches mit CDP-Meldungen. Der Angreifer kann versuchen, die CDP-Table des Switches zum Überlaufen zu bringen. Ein NMS, dass CDP nutzt, wird durch eine solche Attacke ebenfalls gestört. CDP kann auf dem Interface mit dem Kommando

no cdp enable

deaktiviert werden.

Trunking verhindern

Per Default kann ein Switchport über das Dynamic Trunking Protocol (DTP) als Trunk eingerichtet werden. Ein Angreifer, dem es gelingt einen Trunk auszuhandeln, kann mit anderen VLANs kommunizieren. Über VLAN-Hopping (Double Tagging) sind sogar Angriffe auf VLANs möglich, die über einen Router nicht zu erreichen sind. DTP sollte auf Edge-Ports deaktiviert werden. Mit den Interface-Kommandos:

switchport mode access
switchport nonegotiate
switchport access vlan 55

wird der Port als Access-Port ohne DTP fest eingestellt. Der Beispiel-Port ist Mitglied im VLAN 55.

DHCP

Ein normaler DHCP-Server ist anfällig für viele Arten von Angriffen. Ein Angreifer kann kann über viele DHCP-Discovers den IP-Pool des Servers verbrauchen. Andere Clients erhalten dann keine IP-Adresse mehr. Über DHCP-Release kann ein Angreifer benutzte IP-Adressen als frei melden. Für MITM- oder DoS-Attacken kann ein Angreifer selber einen DHCP-Server im Netz betreiben (rogue DHCP Server).

Mittels DHCP-Snooping kann ein Cisco-Switch diese Angriffe verhindern. DHCP-Snooping wird global aktiviert. Zusätzlich müssen die VLANs eingestellt werden, für die DHCP-Snooping durchgeführt werden soll. Das dritte Kommando sorgt für die automatische Reaktivierung eines Interfaces nach dem error disabled:

ip dhcp snooping
ip dhcp snooping vlan 1-100
errdisable recovery cause dhcp-rate-limit

Danach können die Interface in trusted und untrusted unterteilt werden. Zusätzlich bietet Cisco die Möglichkeit, ein Rate Limit für jedes Interface zu setzen. Die folgenden Interface-Kommandos setzen das Interface auf untrusted und erlauben 20 DHCP-Packete pro Sekunde:

Switch(config-if)#no ip dhcp snooping trust
Switch(config-if)#ip dhcp snooping limit rate 20

Die beiden Debug-Meldungen zeigen den Versuch, mit yersinia den DHCP-Server anzugreifen:

01:29:11: DHCPSN: Found ingress pkt on Fa0/1 VLAN 55
01:29:11: DHCP_SNOOPING: exceeded rate limit 20pps on Fa0/1

Das betreffende Interface wurde deaktiviert.

geschrieben am 18.04.2006 von Mirko Kulpa

Cisco Switch sicher einrichten

STP absichern

CDP deaktivieren

Trunking verhindern

DHCP

Site

Kategorien

Archiv

Projekte

Webtools



Cisco Switch sicher einrichten abgelegt unter: Techniken :: Security Mit Tools wie Ettercap und Yersinia kann selbst ein Laie erfolgreich ein ungesichertes Netz angreifen. Auch die Switche von Cisco sind im Auslieferungszustand anfällig für viele einfache Angriffe. Mit einigen Kommandos kann der Switch allerdings gegen viele Gefahren abgesichert werden. STP absichern Spanning Tree ist sehr leicht zu stören. Ein Angreifer kann sich zur Root Bridge machen oder das Netz mit TCN-BPDUs fluten. Cisco hat zum Schutz gegen solche Angriffe den BPDU-Guard eingeführt. Mit dem Interface-Kommando spanning-tree bpduguard enable wird BPDU-Guard auf einem Interface aktiviert. Sobald auf diesem Interface eine BPDU eingeht, deaktiviert der Switch das Interface. Mit dem globalen Kommandos errdisable recovery cause bpduguard errdisable recovery interval 300 kann ein Interface nach 300 Sekunden wieder aktiviert werden. Ohne diese Einstellung, muss das Interface manuell wieder aktiviert werden. Auf der Konsole sieht ein BPDU-Guard wie folgt aus: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port. %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting Fa0/1 in err-disable state %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down %PM-4-ERR_RECOVER: Attempting to recover from bpduguard err-disable state on Fa0/1 %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to u An ein Interface mit aktiviertem BPDU-Gard, kann kein weiterer Switch angeschlossen werden. CDP deaktivieren Das Cisco Discovery Protocol (CDP) stellt auf Edge-Ports ein Sicherheitsrisiko dar. Ein Switch sendet via CDP interessante Informationen wie die IP-Adresse und die IOS-Version an alle Ports. Ein Angreifer kann diese Details für einen gezielten Angriff nutzen. Eine weitere Möglichkeit ist das Fluten des Switches mit CDP-Meldungen. Der Angreifer kann versuchen, die CDP-Table des Switches zum Überlaufen zu bringen. Ein NMS, dass CDP nutzt, wird durch eine solche Attacke ebenfalls gestört. CDP kann auf dem Interface mit dem Kommando no cdp enable deaktiviert werden. Trunking verhindern Per Default kann ein Switchport über das Dynamic Trunking Protocol (DTP) als Trunk eingerichtet werden. Ein Angreifer, dem es gelingt einen Trunk auszuhandeln, kann mit anderen VLANs kommunizieren. Über VLAN-Hopping (Double Tagging) sind sogar Angriffe auf VLANs möglich, die über einen Router nicht zu erreichen sind. DTP sollte auf Edge-Ports deaktiviert werden. Mit den Interface-Kommandos: switchport mode access switchport nonegotiate switchport access vlan 55 wird der Port als Access-Port ohne DTP fest eingestellt. Der Beispiel-Port ist Mitglied im VLAN 55. DHCP Ein normaler DHCP-Server ist anfällig für viele Arten von Angriffen. Ein Angreifer kann kann über viele DHCP-Discovers den IP-Pool des Servers verbrauchen. Andere Clients erhalten dann keine IP-Adresse mehr. Über DHCP-Release kann ein Angreifer benutzte IP-Adressen als frei melden. Für MITM- oder DoS-Attacken kann ein Angreifer selber einen DHCP-Server im Netz betreiben (rogue DHCP Server). Mittels DHCP-Snooping kann ein Cisco-Switch diese Angriffe verhindern. DHCP-Snooping wird global aktiviert. Zusätzlich müssen die VLANs eingestellt werden, für die DHCP-Snooping durchgeführt werden soll. Das dritte Kommando sorgt für die automatische Reaktivierung eines Interfaces nach dem error disabled: ip dhcp snooping ip dhcp snooping vlan 1-100 errdisable recovery cause dhcp-rate-limit Danach können die Interface in trusted und untrusted unterteilt werden. Zusätzlich bietet Cisco die Möglichkeit, ein Rate Limit für jedes Interface zu setzen. Die folgenden Interface-Kommandos setzen das Interface auf untrusted und erlauben 20 DHCP-Packete pro Sekunde: Switch(config-if)#no ip dhcp snooping trust Switch(config-if)#ip dhcp snooping limit rate 20 Die beiden Debug-Meldungen zeigen den Versuch, mit yersinia den DHCP-Server anzugreifen: 01:29:11: DHCPSN: Found ingress pkt on Fa0/1 VLAN 55 01:29:11: DHCP_SNOOPING: exceeded rate limit 20pps on Fa0/1 Das betreffende Interface wurde deaktiviert. geschrieben am 18.04.2006 von Mirko Kulpa	Site Home Impressum Kategorien Protokolle Tools Techniken Security Hardware Archiv Februar 2008 November 2006 Oktober 2006 Juli 2006 Juni 2006 Mai 2006 April 2006 Projekte Netzwerkservice network lab netzikon RFID-Informationen Webtools DNS Stuff Web-Sniffer