3. Nätverkssäkerhet

Nätverkssäkerhet innebär att säkra hårdvara och mjukvara i ett nätverk. I denna kurs fokuserar vi på switchar och routrar samt IOS operativsystemet. Som nätverkstekniker kommer vi att hantera switchar och routrar antingen lokalt eller över nätverk. Vi använder ett koncept från Cisco: Network Foundation Protection. NFP är en teknikram utformad av Cisco för att gruppera funktioner som kan inträffa i ett nätverk. I NFP kombineras ett antal säkerhetskonfigurationer för att säkra routrar, switchar och andra nätverkshanterare. NFP är uppdelad i tre grundläggande sektioner (plan):

  • Management plane – Hanteringsplan – säger till hur man säkrar nätverkstrafik som innehåller protokoll och kommando från nätverksadministratörer. Ett exempel är SSH- eller Telnet-data som genereras av nätverksadministratörer när en Cisco IOS-enhet konfigureras på distans.
  • Control planeKontrollplan – säkrar kommunikationen routrar och switchar mellan. Det kan handla om routing-uppdateringar, automatiserade konfigurationsinformation eller exekveringar samt andra styrinformation som nätverksenheterna skickar mellan varandra. Exempel på sådan trafik är ARP-meddelanden.
  • Data plane – Dataplan – säkrar nätverkstrafik som genereras av datoranvändare. Det här är den trafik som genereras av klientdatorer i kommunikation på intern och extern nivå. Intern kommunikation kan till exempel vara DHCP nätverkstrafik i vilken en datorklient och en server växlar information med varandra. Extern kommunikation kan vara när en användare surfar på Internet.

Hanteringsplan, Kontrollplan och Dataplan måste vara välskyddade för att säkerställa kontinuitet i ett nätverk. Cisco NFP (Network Foundation Protection) ger de tekniker och verktyg som krävs för att säkerställa dessa plan.

Säkerhet för hanteringsplan

Här är några av de säkerhetsåtgärder du kan använda för att skydda Management plane:

  • Password policy – lösenordsprincipen ska tillämpa konfigurationer som minsta lösenordslängd och det maximala antalet inloggningsförsök.
  • Role-based access control (RBAC) – Rollbaserad åtkomstkontroll bör skapas för olika arbetsfunktioner. Roller kan sedan tilldelas specifika användare för att utföra specifika funktioner.
  • AAA-services – med hjälp av AAA (Authentication, Authorization and Accounting) -tjänster kan en nätverksenhet interagera med en centraliserad server för åtkomstkontroller och granska vem vill logga in i ett system. Inloggningsuppgifter verifieras med hjälp av specialiserad system. När man väl har autentiseringen godkänt inloggning kontrolleras behörigheter. Slutligen granskas vad den inloggade har gjort, eller vilka kommandon har exekverats.
  • NTP – med NTP (Network Time Protocol) kan du synkronisera datorernas klocktider i ett nätverk.
  • ACLs eller Access Control Lists som filtrerar nätverkstrafik i syfte att tillåta eller neka åtkomst till ett nätverk eller till en nätverkstjänst.
  • KrypteringKrypterade fjärrkontroller kräver säkra fjärrstyrningsprotokoll, till exempel SSH som krypterar all trafik mellan en datorklient och en fjärransluten nätverkshanterare. De protokoll som skickar klartextdata över nätverket (t.ex. Telnet) ska inte användas.
  • VLANs – en teknik som går ut på att dela upp ett fysisk LAN i flera virtuella med syfte av bättre administration och säkerhet.

Säkerhet för kontrollplan

Här är de säkerhetsåtgärder du kan använda för att skydda kontrollplanen:

  • Control Plane Policing (CoPP) – en IOS-funktion som gör att man kan hantera flödet av nätverkstrafik från nätverkshanterares processorer. Denna funktion är utformad för att förhindra onödig belastning på processorer. Du kan till exempel begränsa SSH funktioner till en viss nivå. Överskridande trafik ovanför den angivna nivån kommer att ignoreras och inte behandlas av CPU.
  • Cisco Control Plane Protection (CPPr) – en vidareutveckling av CoPP-funktionen som möjliggör en mer preciserade klassificering av nätverkstrafik som en processor ska använda. CPPr skapar tre virtuella kontrollplan-kategorier (även känd som subinterface):
    • Host subinterface – trafik avsett för en routerns fysiska eller logiska interface som skickas från kontrollplan och hanteringsplan till processor.
    • Transit subinterface – viss dataplans nätverkstrafik som går igenom routern och som kräver CPU-hantering innan vidarebefordran.
    • CEF (Cisco Express Forwarding) – Undantagsinterface för trafik relaterad till speciella nätverksoperationer, till exempel Keepalives eller paket med Time-To-Live (TTL) mekanismer som håller på att utgå.
  • Routing protocol authentication – routrar ska autentisera sig först innan data utväxlas, till exempel routing-tabeller. Det reducerar möjligheten att en angripare kommer åt routing-information och manipulerar den.

Säkerhet för dataplan

Här är några av de säkerhetsåtgärder du kan använda för att skydda datatrafiken:

  • ACL – Blockera oönskad trafik med hjälp av ACL (Access Control Lists)
  • IPS/IDS – granskar nätverkstrafik beteende och larmar till säkerhetssystemet. En IPS kan också stoppa anormala nätverkstrafik. Intrusion Detection Systems (IDS) och Intrusion Prevention Systems (IPS).
  • Port-security – säkra switchens portar och förhindra intrångsförsöken. Till exempel att skydda switchen mot manipulering av MAC-adresser och överflödesangrepp med CAM (Content-Addressable Memory).
  • Förhindra DoS (Denial-of-Service) -attackerna – för att förhindra DoS-attacker använder du tekniker som TCP Intercept. Den här funktionen förhindrar SYN-översvämningsattacker genom att avlyssna och validera TCP-anslutningsförfrågan.
  • Förhindra spoofing-attacker
  • Bandbreddshantering – begränsa bandbredden för vissa kända typer av nätverkstrafik (t ex ICMP).