Port security su Switch Cisco

Apprendimento degli indirizzi

Le funzionalità di port security possono mitigare alcuni attacchi limitando il numero massimo di indirizzi MAC sorgenti provenienti su una porta o mappando staticamente gli indirizzi su una porta. Le associazioni possono essere di tre tipi:

  1. Statiche: utilizzando il comando switchport port-security mac-address “nome_mac a livello di interfaccia che viene inserito staticamente nella tabella di switching
  2. Sticky: utilizzando il comando switchport port-security mac-address sticky a livello di interfaccia si abilita l’apprendimento sticky che aggiunge in configurazione staticamente gli indirizzi dinamici presenti in tabella di
    switching e quelli che si aggiungeranno successivamente. Possono essere aggiunti anche indirizzi non fisicamente presenti in tabella con il comando di interfaccia switchport port-security mac-address sticky nome_mac (sconsigliato). Se questa modalità viene disabilitata gli indirizzi vengono cancellati dalla tabella ma non dalla configurazione.
  3. Dinamici: gli indirizzi vengono inseriti in tabella con apprendimento dinamico

Continua a leggere

Protezione Wireless LAN

Nel capitolo precedente si sono analizzati i possibili problemi di sicurezza relativi alle Wireless LAN, dovuti maggiormente sia alle limitazioni del protocollo IEEE 802.11 che alla configurazione non corretta degli apparati di rete. Uno dei primi passi per rendere sicura la wireless LAN è pertanto il procedere ad una corretta analisi della propria rete ed a configurare gli apparati in maniera adeguata. Questo capitolo propone dei suggerimenti in tal senso, descrivendo come l’amministratore di rete possa trarre vantaggio dall’aggregazione delle tecnologie esistenti.

Una corretta configurazione degli apparati è un buon inizio per proteggere la rete wireless. Grazie ad alcuni accorgimenti, è possibile “sviare” un eventuale intruso nascondendo dettagli preziosi e rendendo più difficile l’identificazione della rete su cui si sta collegando. Continua a leggere

Che cosè una VLAN?

Ci sono molte definizioni in giro per spiegare cosa sono le vlan ma parecchie volte non si capisce mai cosa esse siano veramente.Tecnicamente, come stabilito dallo IEEE, le VLAN definiscono domini di broadcast in una rete Layer 2.Un dominio di broadcast è la misura in cui un frame broadcast si propaga attraverso una rete.Le reti utilizzano le interfacce dei router per definire i limiti del dominio di broadcast;quindi il router crea automaticamente domini di broadcast. Gli Switch di livello 2, invece, creano domini basati sulla loro configurazione. Quando si definisce un dominio di broadcast in uno switch,siete voi a dirgli quanto si può propagare il broadcast.

La figura sottostante illustra una rete in cui è possibile determinare chiaramente i punti di terminazione per i domini di broadcast che esistono ad ogni interfaccia del router. Due router definiscono tre domini in questa rete. Il bridge estende il Broadcast Domain 2, ma non crea un nuovo dominio. Continua a leggere

VoIP

monitorIn questi mesi stiamo assistendo allo sviluppo della telefonia su IP, detta Voice over IP (VoIP). Questa tecnologia permette di convergere la telefonia su una rete dati IP esistente, consentendo l’abbassamento dei costi delle telefonate tra sedi remote, i costi di interurbane (detto toll-bypass), di mantenimento di due infrastrutture (fonia/dati) e di cablaggio. Oltre a tanti vantaggi si pone come sempre il problema della sicurezza, tema che, a mio avviso, non sempre viene affrontato nella giusta maniera da i produttori. Quali sono i problemi e come si fa quindi a proteggere la propria infrastruttura di voce su IP ?

Prima di affrontare l’argomento sicurezza, ripassiamo brevemente insieme quali sono le componenti di una infrastruttura e gli standard esistenti. Gli elementi funzionali dell’infrastruttura sono sostanzialmente tre, anche se per ognuna delle funzioni possono esserci piu’ sistemi per ridondanza o per complessita’ dell’infrastruttura in essere. Continua a leggere

1 2