Switch security workshop 2014

Chapter 51© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public

بسم اهلل الرحمن الرحیم

گروه شرکت های فنی مهندسی هوشمند

کارگا آهزضی اهیت ضثک

© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public

SWITCHv6 Chapter 52

Network security

DOS DDOS حوالت تا آضایی


DOS DDOS حوالت تا آضایی

از کار اداختي سریس ای ضثک•

ایجاد اختالل در هاتع یا سریس ای ضثک•

در تیج هحرم ضدى کارتراى قای از دستیاتی •. استفاد از سریس ا هاتع ضثک

دف از DOSحوالت


دستیاتی ت اداف ایي حوالت از طریق

تاالتردى

RAM usage

CPU usage

bandwidth usage


حالت اص ستشد حالت اجا ظس ت اسد تشخی دس DOS

الص تستش تا ضذ استفاد جاثی ػػش يه ضشع مط ػا ت

.شدد فشا ، اغی تاج تشای

ضثک در کاذب ترافیک ایجاد جت در تالش

هاضیي د تیي ارتثاط در اختالل

سریس یک ت دستیاتی از هجاز کارتراى هواعت

ا سریس در اختالل ایجاد


ح دس و است اي داسد جد dos ddos تی و فشلی

dos يه ت ظ طس ت سشػت ت پیا اث اسسا تا اجی

node، ايجاد تیج دس سیست اتغ وشد طغ تشای تا

اص ddos دس اا .دذ سشيس سیست اسسايی واسايی ػذ

اختیاس دس سیستا اي اذ ضذ spoof و سیست تؼذادی

attacker ضد ی استفاد ح تشای ستذ.

.ضد ی فت zombie آد سیستای اي ت اغطالح دس





SMURF حول

تد ICMP پشتى Reply تاتغ تش ثتی حالت ع اي

حالت، ع اي دس .تاضذ ی ضذ ضاختping ا تا تیطتش

آدسس ت Pingاطالػاتی ای تست اسسا ت الذا اج

اص يه ش ثذاء آدسس آا دس و د ضثى Broadcastای

جايضي ، لشتای واپیتش آدسس تا ضذ Ping اطالػاتی ای تست

اىا ايجاد ضثى دس وارب تشافیه يه تشتیة تذي .شدد ی

.شدد ی اج اختال تا ضثى اتغ اص استفاد

ICMP = Internet Control Message Protocol


pingreply


پیطگیری ای را1.Config ا سیست (host) ای دسخاست ت و غستی ت ستشا

ping تست تا ثال .ذذ پاسخICMP .

2.Config دسخاستای و غستی ت ستشا ping آدسسای ت سا

broadcast ضت تا ثال .ىذ اسساaccess list اػا packet

filtering آدسس سی broadcast ضثى .

تشای ساىاسی یتاذ یض والستشي تاال افضاسی سخت اتغ اص استفاد .3

.تاضذ حذد حالت اص جیشی

اش اي ح ت غست سیغ ستشد غست یشد اىا جیشی اص آ

.پايی است


Fraggle حول

داضت Smurfع اص حالت تا صيادی ضثات حالت اص ع اي

.است ICMP جای ت UDP پشتى اص استفاد ت جد تفات تا

(User Datagram Protocol)

UDPاطالػاتی ای تست اسسا ت الذا اجا ، فق حالت دس

ع اي .ايذ ی Smurfتاج طات Broadcastای آدسس ت

پست يا echo(7) پست مػذ ت UDPاطالػاتی ای تست اص

(19) Chargen شدذ ی ذايت.


پیطگیری ای را

inbound outbound غست ت 19 7 پست تست -1

2-Config ستش host ح دس و غستی ت ا smurf ضشح

.ضذ داد

یتاذ یض والستشي تاال افضاسی سخت اتغ اص استفاد -3

.تاضذ حذد حالت اص جیشی تشای ساىاسی


SYN flood

three-wayضايای اص تاج ع اي دس handshake ت شتط

TCP ای جػ اسسا ت الذا ثذاء سیست .شدد ی استفاد

(synchronization)ای دسخاست اص ستشد SYN د

(acknowledgment و اي تذ ACK) اسسا سا آا ائی

half-open تشتیة تذي .ايذ TCP sessions) ی استثاطات

. شدد ی ايجاد ،(فؼا


دس پست، د resetاص لث،TCP پطت و اي ت تج تا

واپیتش اتػا تافش سشسيض فق، تاج اذ، خاذ تالی اتظاس

سشيس تا ی استثاط ايجاد اىا "ػال داضت دثا ت سا مػذ

.شدد ی ى غیش ، ؼتثش یشذا


wait


پیطگیری ای را

clientاسسای REPLY آخشي تشای صا وشد حذد.1

incomplete تؼذاد وشد حذد.2 connection

syn ث ايی افضاس ش اص استفاد.3 flood block


LAND حول

ت و پاوت ايی دسSpoofingسش اص استفاد تا ح اي دس

ثذاءIPPortجای ت ی ضد اسسا دذ سشيس ست

.ی ضد داد لشاس دذ سشيس اضی خدIPPortمػذ

سشيس خد ست ت دذ سشيس اضیIPPORTالغ دس

سیست دس تا ضد ی تاػث ػ اي .ی ضد اسسا دذ

ای و تیايذ جد تRoutingداخی حم يه لذيی ػا

.ضد یDOSح آذ جد ت حافظ ضذ پش تاػث



ػا ای سیست اص تفاتی ای سخ دس تاو ح، اي

ضذ طاذ سیسى، IOS ىیتاش يیىس، يذص، لذيی

.است

ت لادس اIDSاذ ضذ ای سیست تای اشص اا

سذ تش صيادی تاثیش ح اي تاضذ ی حالت اي ضاسايی

.ذاسد دذ سشيس واسی



Pingحول FloodیاPing of death

واپیتش تPingدسخاست ستمی اسسا تا ح ع اي دس

واص ا آ فؼایت يا تالن ا سشيس و شدد ی سؼی لشتای

صياد حذی ت اطالػاتی ای تست اذاص ح ع اي دس .ياتذ

لادس لشتای واپیتش ضدو ی (جاص غیشPingدس وK64تاالی)

خت یست اطالػاتی ای تست آیخت تا اسة تشخسد ت

.یطد



Teardrop حولت ضد هی هتقل دیگر سیستن ت سیستن یک از اطالعات ک گاهی

هیطد تقسین کچکی ای تک

.ضد هی کاهل ضد هتصل ن ت هجددا تک ایي هقصد سیستن در

تست دد هی طاى ک ستد افست فیلد یک دارای کدام ر تست ایي .است اطالعات از قسوتی چ حای

را ا تست تا کد هی کوک هقصد سیستن ت ترتیة ضوار ورا ت فیلد ایي .کد هتصل ن ت هجددا

هی تاعث ضد ارسال اهرتط ترتیة افست ضوار تا ا تست ک صرتی در.تطکد ن در ضد عاجس آا کردى هرتة از هقصد سیستن ضد




Bonk حول

سیست اص و است ائی اضی تج تیطتش حالت اص ع اي

ت الذا اجا ، فق حالت دس .ايذ ی استفاد يذص ػا

DNS 53 پست مػذ ت خذش UDPاطالػاتی ای تست اسسا

ضذ ايجاد اختال سیست ػىشد دس تشتیة تذي ايذ ی

. ايذ ی Crashسیست


UDP packet

Port:53


Boink حول

طات حالت اص ع اي

تفات اي تا .تاضذ ی Bonkتاج

،53 پست اص استفاد جای ت و

.ییشد لشاس ذف پست، چذي


SWITCHv6 Chapter 531

switch security

VTP (VLAN Trunking Protocol)


VLAN Trunking Protocol

ذيشيت پیىشتذی VLAN Trunk دس) سيیچ صيادی تؼذاد

ت (ضد اجا ته ته دستی غست ت اش تضسي حیط يه

.ضد خاسج وتش اص تاذ ی سشػت

ذيشيت تشای سیسى VLAN يه تضسي ای ضثى تا دس ا

.است وشد اساي سش


VTP ،ا تؼيؽ وشد پان افضد VLAN اص ضثى دس سا ا

آپط يه حاظ اي اص وذ ی ذيشيت شوضی، وتش مط يه

.ضد ی حسب ایتی

دس وذ ضشوت سيیچ ش VTP اطالػات تثاد اص VLAN ا

VTP تسط و VLAN ش اص تاذ ی وذ ی پیذا اطالع

.وذ استفاد ضد ی ذيشيت


VTP هسایای

.ضثى دس اVLAN يىپاسچ سشيغ ذيشيت•

.اVLAN ؾؼیت داضت ظش تحت دلیك سدياتی•

اVLAN تغییشات خػظ دس دايایه غست ت ضاسش وسة•

.ضثى اص مط ش دس

خاذ لادس ديش ىشا ویذ ی استفاد VTP پشتى اص لتی•

.ياتذ دستشسی ضا ضثى ای VLAN پیىشتذی ت تد




switch security

port security


Port security

Port security سی ت ا سيیچ و است خػغیتی

mac پاي تش آ address سا خد ای پست ت دستشسی

.وذ ی وتش

Port security یطد پیىشتذی سيیچ پست ش سی


سشيس port security وی ی فؼا سيیچ سی سا

تؼذاد چ ت سيیچ پست ش وی طخع تايذ سپس

mac address تذذ دستشسی ی اجاص تاذ ی.

يا يه وی ی تؼیی پیىشتذی تؼذی شح دس

mac address تطاسای پست ت چ سا جاص ای.


تايذ يا داسي س پیص دس سا د شح اي دس mac address

اتخاب سا د ی ضي تايذ يا وی اسد دستی سا ظش سد سیست

mac ای تيی يؼی وی address پست اي سی اص و سا

mac ػا ت ضیذی address و اتخاب جاص.


چذ يا يه اش وی طخع سيیچ پست ش تشای تايذ حا

mac address ػىس ضذ تػ ضثى ت سد تشای جاص غیش

تاضذ؟ چ سيیچ اص پست اي اؼ

حالت خاذ ی و سا اجیی ىشا جی سی تذي

.ضد ی شفت وذ اذاصی سا سا ضديه اص



switch security

802.1X Port-Based Authentication


802.1x یت احراز درتار

تا و است ػی سيیچ، ای پست سی واستشا يت احشاص

AAA تشویة Authentication port security اجا لات

IEEE استاذاسد اساس تش لاتیت اي .است 802.1X زاضت تا

سيیچ، ای پست سی تش واستشا يت احشاص 802.1x .است ضذ

احشاص پشتى يه اذ است port-based يت احشاص ع اص

client-server دستشسی وتش يت based وذ ی واس.


تا سا شدد احشاص يتطا و واستشای استثاط پشتى، اي LAN

.دذ ی آا ت سا تشافیه تثاد یچ اجاص وذ ی لطغ

ت سا خد يت تايذ حتا واستش ضد فؼا يژی اي و ای

سا تشافیىی ع یچ سيیچ سی ی پست ش ايذ احشاص سيیچ

.وشد خاذ دسيافت اسسا


802.1x در دستگاا قص



switch security

آدرس جعل حول تا هقاتل


DHCP snooping

IP source guard

Dynamic ARP Inspection (DAI)


DHCP Snooping

DHCP Snooping ایتی خػغیت يه DHCP ت و است

سی ت اػتاد غیشلات DHCP ای پیا وشد فیتش سی

DHCP ديتاتیس يه ذاسی ساخت Snooping binding

DHCP جذ يه ػا ت آ اص و Snooping binding

.ضد ی ضثى ایت تاػث تشذ، ی ا


DHCP Snooping، تی hostث سشسا اػتاد غیشلات ای

DHCP اص استفاد تا ضا .وذ ی ػ فايشا يه Snooping

ايتشفیس ايی واستش ت تػ اػتاد غیشلات ای ايتشفیس تی

تایذ ی ديش سيیچ يا DHCP سشس ت تػ اػتاد لات ای

.ضيذ لاي فشق



IP source guard

IP ا ت لاتیتی اص سیسى ای سيیچ Source Guard تشای

IP لاتیت .وذ ی استفاد آدسس جؼ حالت تا مات Source

Guard وه تا DHCP Snooping تی mac address ای

mac دس ضذ ثثت table سيیچ IP address داد اختػاظ

تشلشاس ظیش ت ظیش استثاط پست ش ت تػ دستاای ت ضذ

DHCP و ای .وذ ی Snooping ای آدسس است، فؼا

mac IP سيیچ سی اطالػاتی تاه يه دس سا تػ ای است

.وذ ی ثثت


IP لتی حا Source Guard سدی ای تست وی ی فؼا سا

:وذ ی تاصسسی صيش ای سش اص يىی ت سا سيیچ ت

Source IP Address Filtering

Source IP and MAC Address Filtering

IP Source Guard for Static Hosts



Dynamic ARP Inspection (DAI)

وشد پیذا تشای ARPپشتى اص ضثى، ای ديايس ا است

.وذ ی استفاد ديش دستاایmac آدسس

مػذ پی آی آدسس حایbroadcast تست يه واس اي تشای آا

آ mac آدسس خػظ دس وشد اسسا ضثى داخ ت سا

.وذ ی اطالػات دسخاست

ARP تست ت پاسخ دس است پی آی آدسس اي داسای و استی

.وذ ی اػال سا خد mac آدسس


سا ARP دسخاست ای تست (Attacker) اجی ىشا

.دذ ی پاسخ آ ت وشد ضد

دس .وذ ی اػال سا ديشی دستا يا خدضا mac آدسس ػذا

ای تست وشد دسيافت سا اضتثا آدسس اي فشستذ، تیج

وشد تؼیی ىش و جؼی mac آدسس ست ت سا خد اطالػاتی

.فشستذ ی

man ع اص ح اي in the middle آ ا ARP

Spoofing يا ARP Poisoning تاضذ ی.


Dynamic لاتیت ARP Inspection (DAI) تست تاصسسی يا

سیسى، ای سيیچ دس حالت، ع اي تا مات تشای ،ARP ای

.است ضذ اساي

DHCP ت صيادی ضثات آ ػىشد Snooping آ دس .داسد

.ضذ ی تذی تمسی trust untrusted دست د ت ا پست

،untrusted ای پست سی اص ضذ دسيافت ARP ای تست

.ضذ ی تاصسسی ضذ تلف



ی دسيافت untrusted پست يه سی اص ARP پاسخ يه لتی

دس و الؼی ماديش تا سا آ mac IP ای آدسس سيیچ ضد،

ديتا اي اطالػات .ايذ ی مايس وشد ثثت خد اطالػاتی تاه

DHCP جذ اص تیس Snooping تسط و استاتیىی ماديش

اي اجا تشای .آيذ ی دست ت ضذ پیىشتذی سيیچ سی ا خد

DHCP مايس Snooping تاه تا تاضذ فؼا سيیچ سی تايذ

.تیشد لشاس استفاد سد ضذ تطىی زوس اطالػاتی


ديتا تا تؼاسؼ دس اضتثا اطالػاتی ضا ARP پاسخ تست اش

تیذ تاس اي دس log يا ضاسش يه ضذ حزف تاضذ، سيیچ تیس

دستاای ت جؼی ARP تست سسیذ اص تشتیة اي ت .شدد ی

.وی ی جیشی آا اذاخت اضتثا ت ضثى دس ديش



Network security

TCP Intercept


TCP Intercept

فیچشای يا خػغیات TCP Interceptافضاسی ش غست ت

حالت اصTCP سشسای اص حافظت تشای ضد ی ساصی پیاد

TCP SYN-floodingسشيس اص حشیت ح ع يه و

Denial) است of Service attack)


SYN-flooding يه attack يه سی ىش و افتذ ی اتفاق لتی

وذ ی ايجاد سیالب يا flood ا دسخاست اص سثاسی تا سشس

TCP ع اص ای دسخاست اص سیی يؼی SYN استثاط تشلشاسی تشای

.ضد ی اسسا سشس ست ت

دستشس دس ضا تاصطت آدسس دسخاست، حای ای پیا اي اا

.ضذ تشلشاس تاذ ی ا واىط يا استثاطات اي پس .یست


تاذ ا واىط اي ضذ تاص تظش سشس ضد ی تاػث واس اي

يا يافت واص سشس واسايی ا، دسخاست حج ت تج تا تیج دس

لای واستشا تیج دس طذ سشيس اساي ت لادس وی طس ت

سشيس اص استفاد ايی، ت دستشسی سايت، ب ت اتػا اص ؼتثش

FTP . . . شدذ ی حش.


Intercept اص اتػا ايجاد ای دسخاست وشد تلف سی ت

جیشی SYN-flooding حالت اص آا سجی اػتثاس TCP ع

.وذ ی

TCP Interceptدسخاست حای اطالػاتی ای تست TCP SYN

سشس ست ت واليت اص داسد دست دس و ACL تا شفت سا

.دذ ی طاتمت


TCP و ضد ی اجا غست اي ت واس اي Intercept طشف اص

ايجاد واىط يه دسخاست، وذ اسسا واليت تا مػذ، سشس

.وذ ی

واىط يه واليت طشف اص سشس تا ضذ، تىی استثاط ايجاد اش

.وذ ی تشلشاس تا سا ی د اي استثاط وشد ايجاد



Network security

Private VLAN


Private VLAN



Network security

VLAN حول Hooping


VLAN حول Hooping

اج ضشط اي تد تا و است الص ضشط 3 ح اي اجا تشای

:وذ اذاصی سا سا ح تاذ ی

.تاضذ تػ سيیچ access پست ت اج -1

.تاضذ 802.1q اساس تش سيیچ تشاه پست وشد وپس ػیات -2

Native تشاه پست سی -3 VLAN ا VLAN اج و تاضذ

.است شفت لشاس آ دس


VLAN حول Hooping