5. Network Foundation Protection

Network Foundation Protection (NFP) är en teknikram utformad av Cisco för att gruppera funktioner som inträffar i ett nätverk på ett logiskt sätt. I NFP kombineras ett antal säkerhetstekniker för att säkra routrar och switchar och se till att nätverket är tillgängligt även när det är under attack. NFP är uppdelad i tre grundläggande sektioner (plan):

  • Management plane – Hanteringsplan – är nätverkstrafik som innehåller protokoll och kommando som nätverksadministratörer utför för att konfigurera nätverksenheter från sin dator. Ett exempel är SSH- eller Telnet-data som genereras av en nätverksadministratör när en Cisco IOS-enhet är konfigurerad på distans.
  • Control planeKontrollplan – protokoll och nätverkstrafik som nätverksenheterna skickar mellan varandra (utan interaktion från en administratör) exempelvis automatisk nätverksupptäckt och konfigurationer. Exempel på sådan trafik är ARP-meddelanden eller routingprotokoll uppdateringar.
  • Data plane – Dataplan – nätverkstrafik som genereras av datoranvändare. Det här är den trafik som går via ditt nätverk, och inte till en nätverksenhet. Till exempel när en användare surfar på en webbplats.

Hanteringsplan, Kontrollplan och Dataplan måste vara välskyddade för att säkerställa kontinuitet i ett nätverk. Cisco NFP (Network Foundation Protection) ger de tekniker och verktyg som krävs för att säkerställa hanteringsplan, kontrollplan och dataplan.

Säkerhet för hanteringsplan

Om ett fel uppstår i detta plan kan möjligheten att fjärrhantera en nätverksenhet med SSH eller Telnet gå förlorad. Här är några av de säkerhetsåtgärder du kan använda för att skydda Management plane:

  • Password policy – lösenordsprincipen ska tillämpa funktioner som minsta lösenordslängd och det maximala antalet inloggningsförsök.
  • Role-based access control (RBAC) – Rollbaserad åtkomstkontroll bör skapas för olika arbetsfunktioner. Roller kan sedan tilldelas specifika användare för att utföra specifika funktioner.
  • AAA-services – med hjälp av AAA (Authentication, Authorization and Accounting) -tjänster kan en nätverksenhet interagera med en centraliserad server för åtkomstkontroller eller något kommando som ska anges, och granska vem har loggat in och vilka kommandon de har exekverat.
  • NTP – med NTP (Network Time Protocol) kan du synkronisera datorernas klocktider i ett nätverk.
  • ACLs eller Access Control Lists som hjälper att styra vilka IP-adresser som tillåts att initiera hanteringssessioner med specifika protokoll.
  • Krypterade fjärrkontroller kräver säkra fjärrstyrningsprotokoll (t.ex. SSH) som krypterar all trafik mellan din arbetsstation och en fjärransluten enhet. De protokoll som skickar klartextdata över nätverket (t.ex. Telnet) ska inte användas.
  • VLANs – det rekommenderas att använda separata VLAN för data- och hanteringstrafik.

Säkerhet för kontrollplan

Om ett fel uppstår i detta plan kan enheterna förlora uppdateringsinformation. Här är de säkerhetsåtgärder du kan använda för att skydda kontrollplanet:

  • Control Plane Policing (CoPP) – en IOS-funktion som gör att du kan hantera flödet av nätverkstrafik som hanteras av nätverkshanterares processorer. Denna funktion är utformad för att förhindra onödig belastning på processorer. Du kan till exempel begränsa SSH funktioner till en viss nivå. Överskridande trafik ovanför den angivna nivån kommer att ignoreras och inte behandlas av CPU.
  • Cisco Control Plane Protection (CPPr) – en vidareutveckling av CoPP-funktionen som möjliggör en mer preciserade klassificering av nätverkstrafik som en processor ska använda. CPPr skapar tre virtuella kontrollplan-kategorier (även känd som subinterface):
    • Host subinterface – trafik avsett för en routerns fysiska eller logiska interface som skickas från kontrollplan och hanteringsplan till processor.
    • Transit subinterface – viss dataplans nätverkstrafik som går igenom routern och som kräver CPU-hantering innan vidarebefordran.
    • CEF (Cisco Express Forwarding) – Undantagsinterface för trafik relaterad till speciella nätverksoperationer, till exempel Keepalives eller paket med Time-To-Live (TTL) mekanismer som håller på att utgå.
  • Routing protocol authentication – routing-uppdateringar bör autentiseras för att undvika möjligheten att en angripare manipulerar routing-tabeller.

Säkerhet för dataplan

Här är några av de säkerhetsåtgärder du kan använda för att skydda datatrafiken:

  • Blockera oönskad trafik med hjälp av ACL (Access Control Lists)
  • Förhindra DoS (Denial-of-Service) -attackerna – för att förhindra DoS-attacker använder du tekniker som TCP Intercept. Den här funktionen förhindrar SYN-översvämningsattacker genom att avlyssna och validera TCP-anslutningsförfrågan.
  • Förhindra spoofing-attacker
  • Implementera bandbreddshantering – begränsa bandbredden för vissa kända typer av nätverkstrafik (t ex ICMP).
  • Använd IDS och IPS – använd Intrusion Detection Systems (IDS) och Intrusion Prevention Systems (IPS) för att upptäcka och förhindra attacker i ditt nätverk.
  • Implementera portsäkerhet – använd portsäkerhetsfunktionen på Cisco-switch för att skydda switchen mot manipulering av MAC-adresser och överflödesangrepp med CAM (Content-Addressable Memory).