Port security su Switch Cisco

Apprendimento degli indirizzi

Le funzionalità di port security possono mitigare alcuni attacchi limitando il numero massimo di indirizzi MAC sorgenti provenienti su una porta o mappando staticamente gli indirizzi su una porta. Le associazioni possono essere di tre tipi:

  1. Statiche: utilizzando il comando switchport port-security mac-address “nome_mac a livello di interfaccia che viene inserito staticamente nella tabella di switching
  2. Sticky: utilizzando il comando switchport port-security mac-address sticky a livello di interfaccia si abilita l’apprendimento sticky che aggiunge in configurazione staticamente gli indirizzi dinamici presenti in tabella di
    switching e quelli che si aggiungeranno successivamente. Possono essere aggiunti anche indirizzi non fisicamente presenti in tabella con il comando di interfaccia switchport port-security mac-address sticky nome_mac (sconsigliato). Se questa modalità viene disabilitata gli indirizzi vengono cancellati dalla tabella ma non dalla configurazione.
  3. Dinamici: gli indirizzi vengono inseriti in tabella con apprendimento dinamico

Continua a leggere

IPSec

Nel Giugno del 1994 la Internet Architecture Board (IAB) ha espresso, attraverso un documento (RFC 1636), la necessità di una migliore sicurezza in Internet, in particolare ha espresso la necessità di colmare le lacune del protocollo TCP/IP. Prendendo spunto da tale documento, sono state studiate e sviluppate delle tecnologie per rendere la comunicazione tra varie aziende sicura su un canale non sicuro quale Internet. Queste tecnologie sono meglio conosciute come Virtual Private Network o più semplicemente VPN.

L’IP Security Protocol, conosciuto come IPSec, è oggi la tecnologia più diffusa per lo scambio sicuro di dati tra aziende, o più comunemente fra due computer. IPSec è stato definito dall’Internet Engineering Task Force già dall’Agosto 1995 attraverso l’RFC 1825: sono passati otto anni da allora e IPSec è cresciuto notevolmente, affermandosi nel mercato come lo standard per la VPN, e fornendo al TCP/IP le funzionalità di Continua a leggere

Che cosè una VLAN?

Ci sono molte definizioni in giro per spiegare cosa sono le vlan ma parecchie volte non si capisce mai cosa esse siano veramente.Tecnicamente, come stabilito dallo IEEE, le VLAN definiscono domini di broadcast in una rete Layer 2.Un dominio di broadcast è la misura in cui un frame broadcast si propaga attraverso una rete.Le reti utilizzano le interfacce dei router per definire i limiti del dominio di broadcast;quindi il router crea automaticamente domini di broadcast. Gli Switch di livello 2, invece, creano domini basati sulla loro configurazione. Quando si definisce un dominio di broadcast in uno switch,siete voi a dirgli quanto si può propagare il broadcast.

La figura sottostante illustra una rete in cui è possibile determinare chiaramente i punti di terminazione per i domini di broadcast che esistono ad ogni interfaccia del router. Due router definiscono tre domini in questa rete. Il bridge estende il Broadcast Domain 2, ma non crea un nuovo dominio. Continua a leggere

SAN

Spesso in questi anni abbiamo notato una mancanza di attenzione in fase progettuale verso le problematiche della sicurezza. In generale, uno dei principali aspetti causa dei problemi di sicurezza sono le impostazioni di default: per facilitare gli utenti, molti prodotti sono impostati in modalita’ “plug and play”, ovvero preconfigurati con impostazioni generiche che vadano bene per tutti gli ambienti. Ad esempio, nell’ambito delle Wireless LAN, i produttori hanno privilegiato la facilità d’uso a discapito della sicurezza. Di conseguenza è stato necessario porre rimedio a posteriori su sistemi già installati e in produzione, intervenendo sia in ambito architetturale che di configurazione. Questi interventi tardivi richiedono maggiori investimenti di quanto richiesto dall’introduzione della sicurezza in fase progettuale. Continua a leggere

1 2