Miért is fontos a L2 security? Nos, mert lehet tökéletes L3+ security konfigurációnk, L2-ben is annak kell lennie, különben kijátszható lesz a védelmünk. Néhány dolgot összeszedtem, talán ezek a legfontosabbak:

A catalyst switcheken a következő beállításokkal élhetünk:

  • port-security: Mennyi mac címet lehet használni egy porton?

(config-ig)#switchport port-security ; ezzel engedélyezzük

(config-ig)#switchport port-security max 2 ;max 2 mac cím lehet aktív a porton, hasznos pl ha IP telefon is van.

  • NE legyenek dinamikus portjaink!!!! Statikusan állítsuk be a TRUNK és az ACCESS portokat (különben elég egyszerű megtörni a hálózatot:)

(config-ig)#switport mode access

vagy

(config-ig)#switchport mode trunk

  • Beállíthatjuk, hogy fixen mely mac címek tartozzanak egy interface-hez:

(config-ig)# switchport port-security mac-address sticky ;a parancs kiadásakor az aktív mac címeket belerakja a konfigba. Ennek köszönhetően nem kell kézzel beírni a címeket, de vigyázni kell vele..

  • spanning-tree security: Az Edge switch ne lehessen root bridge

    • (config-ig)#spanning-tree guard root

    • portfast mellé mindig rakjunk bpduguard-ot.

    (config-ig)#spanning-tree bpduguard

    • bpdufilter: soha ne használjuk :) de jó labor környezetben storm előállítására :D
    • DHCP snooping: Fontos ez is, be tudjuk állítani, hogy csak a központi DHCP szerver lehessen aktív.

    (config)#ip dhcp snooping ;most semmelyik port sem fog tudni DHCP replay-t adni.

    (config-if)#ip dhcp snooping trust ;ez a port már fog tudni. A teljes switchelt hálón minden linkre ezt be kell konfigurálni a DHCP szerverig.

    • Private VLANs: jó dolog :)
    • SPAN: monitorozásra jó. monitor session…
    • storm controll: limitálhatjuk per port alapján a broadcast/multicast forgalmat:: Nagyon nagyon hasznos

    (config-if)#storm-control action shutdown

    (config-if)#storm-control broadcast level 70

    (config-if)#storm-control multicast level 70

    Végül, ajánlások..

    • Secure management használata (SSH,OOB,access-class)
    • Audit lista (konfigurációnál mire figyeljünk oda security szempontból)
    • Ne használjunk vlan 1-t
    • Ne legyenek dinamikus portok
    • Korlátozzuk az SNMP hozzáférést, és ha lehet ne legyen rw jog. SNMPv3 rulz.

    Popularity: 25% [?]

    Related posts:

    1. CCNA sec study notes #1 – SDM Elkezdtem tanulni az IINS vizsgára (ez a CCNA security vizsga)....
    2. CCNA security na sikerült végre letennem a CCNA security-t, jöhet köv CCSP...
    3. Spanning Tree versbe foglalva Radia Perlman költötte ezt a verset miközben a spanning-tree-t fejlesztette....
    4. Dynamips Switching Sziasztok. Nagyon zavar hogy a dynamips nem tud jó switching-et....
    5. CCIE study blueprint Az IE blogon találtam egy vázlatot, mely lefedi a Routing...