Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
chiamati zombie, con l'intenzione di degradare o arrestare l'accesso pubblico al sito web e alle
risorse di un'organizzazione.
Violazione dei dati -Si tratta di un attacco in cui i server di dati o gli host di un'organizzazione
sono compromessi per rubare informazioni riservate.
Malware - Si tratta di un attacco in cui gli host di un'organizzazione sono infettati da software
dannoso che causa una serie di problemi. Ad esempio, un ransomware come WannaCry,
mostrato nella gura, crittografa i dati di un host e blocca l'accesso ad esso nché non viene
pagato un riscatto.
Un router abilitato al VPN fornisce una connessione sicura agli utenti attraverso una rete pubblica
e nella rete aziendale. I servizi VPN possono essere integrati nel rewall.
Un NGFW fornisce l'ispezione stateful dei pacchetti, la visibilità e il controllo delle applicazioni
protezione avanzata dal malware e ltro URL.
progettato per monitorare Simple Mail Transfer Protocol (SMTP) Bloccare le minacce conosciute.
Crittografare il contenuto nella posta elettronica in uscita per evitare la perdita di dati.
è una tecnologia di mitigazione per le minacce basate sul web e fornisce il controllo completo su
come gli utenti accedono a internetfornisce il controllo completo su come gli utenti accedono a
internet
Gli endpoint sono particolarmente sensibili agli attacchi relativi a malware sono protetti al meglio
da una combinazione di NAC, software AMP basato su host, un'appliance di sicurezza e-mail
(ESA) e un'appliance di sicurezza web (WSA)
L'AAA locale memorizza i nomi utente e le password localmente in un dispositivo di rete come il
router Cisco. Gli utenti si autenticano con il database locale
3. Il router autentica il nome utente e la password utilizzando il database locale e all'utente viene
fornito l'accesso alla rete inbase alle informazioni contenute nel database locale.
Con il metodo basato su server, il router accede a un server AAA centrale Il server AAA contiene i
nomi utente e la password per tutti gli utenti. Quando sono presenti più router e switch, AAA
basato su server è più appropriato.Quando sono presenti più router e switch, AAA basato su
server è più appropriato.
Il router utilizza i protocolli RADIUS (Remote Authentication Dial-In User Service) o Terminal
Access Controller Access Control System (TACACS+) per comunicare con il server AAA.
4. All'utente viene fornito l'accesso alla rete in base alle informazioni contenute nel server AAA
remoto.
Autorizzazione
1. Quando un utente è stato autenticato, viene stabilita una sessione tra il router e il server AAA.
2. Il router richiede l'autorizzazione dal server AAA per il servizio richiesto dal client.
Accounting
fi
fi
fi
fi
fi
fi
raccoglie e segnala i dati di utilizzo. Questi dati possono essere utilizzati per scopi quali audit o
fatturazione. I dati raccolti possono includere i tempi di connessione di avvio e arresto, i comandi
eseguiti, il numero di pacchetti e il numero di byte.
Autenticatore Controlla l'accesso sico alla rete in base allo stato di autenticazione client
Autenticatore Controlla l'accesso sico alla rete in base allo stato di autenticazione client
Vulnerabilità Layer 2
Gli amministratori di rete implementano regolarmente soluzioni di sicurezza per proteggere gli
elementi nel Layer 3 no al Layer 7. Usano VPN, rewall
se il Layer 2 è compromesso tutta la sicurezza implementata sui layer sopra di esso sarebbe
inutile
Attacchi VLAN Include attacchi VLAN hopping e doppio tagging VLAN. Include anche attacchi tra
dispositivi su una VLAN comune.
Attacchi spoo ng degli indirizzi Include attacchi di spoo ng indirizzo MAC e indirizzo IP.
Attacchi dhcp stravation come avviene che fa l’utente malintenzionato quale è la modalità di
questo attacco cosa fa, manda tanti dhcp discover, risponde il server dandogli gli indirizzi e lui gli
genera confusione nella rete, gli host che avrebbherp avuto bisgono del ip non li hanno per la
confusione.
consente al tra co da una VLAN di essere visto da un'altra VLAN .Il threat actor con gura l'host
in modo da poter spoofare l'host con lo switch di connessione.In caso di successo, lo switch
stabilisce un collegamento trunk con l'host.. Il threat actor può inviare e ricevere tra co su
qualsiasi VLAN
consente all'utente malintenzionato di inviare dati a host o server su una VLAN che altrimenti
sarebbero bloccati da qualche tipo di con gurazione del controllo di accesso. Presumibilmente
sarà consentito anche il tra co di ritorno, dando così all'utente malintenzionato la possibilità di
comunicare con i dispositivi sulla VLAN normalmente bloccata.
I cliente che si connettono inviano richieste dhcp in modo da poter bloccare tutti gli indirizzi
disponibili
si veri ca quando un server DHCP con gurazione IP falsi fornendo Gateway prede nito
errato,Server DNS errato e Indirizzo IP errato
Degli indirizzi IP
cdp: protocollo cisco che aiuta nella auto con gurazione degli switch e l'informazione non sono
autografate
Attacchi ARP
un utente malintenzionato può inviare un messaggio ARP gratuito contenente un indirizzo MAC
falsi cato. questo porta ad un attacco man in the middle cioè tra due utenti connessi si collega un
terzo in mezzo
fi
fi
fi
fi
fi
ffi
fi
fi
ffi
fi
fi
fi
fi
fl
fi
fi
fi
fi
fi
fi
ffi
fi
Link Layer Discovery Protocol (LLDP) è un protocollo di livello di collegamento indipendente dal
fornitore utilizzato dai dispositivi di rete per promuovere identità, capacità e vicini su una LAN su
tecnologia IEEE 802.
Sicurezza porta Previene molti tipi di attacchi, inclusi gli attacchi di ooding di indirizzi MAC e
DHCP starvation.
Snooping DHCP Previene attacchi DHCP stravation e gli attacchi spoo ng DHCP.
Dynamic ARP Inspection (DAI) Previene lo spoo ng ARP e attacchi poisoning ARP.
IPSG (IP Source Guard) Previene gli attacchi di spoo ng di indirizzi MAC e IP.
Queste soluzioni Layer 2 non saranno e caci se i protocolli di gestione non sono protetti.
Gli attacchi di ooding di indirizzi MAC sfruttano questa limitazione bombardando lo switch con
indirizzi MAC di origine falsi no a quando la tabella degli indirizzi MAC switch è Se si riempe la
tabella indirizzi mac di uno switch manda frame a caso
La sicurezza delle porte consentirà solo di apprendere un numero speci cato di indirizzi MAC di
origine sulla porta. La sicurezza della porta è ulteriormente discussa in un altro modulo.
Disabilitare il trunking automatico sui collegamenti trunk in modo che i trunk debbano essere
abilitati manualmente.
Assicurarsi che la VLAN nativa venga utilizzata solo per i collegamenti trunk.
Port security aging può essere utilizzato per impostare il tempo di invecchiamento per indirizzi
protetti statici e dinamici su una porta. Sono supportati due tipi di port aging:
Assoluto - Gli indirizzi protetti sulla porta vengono eliminati dopo il tempo di aging speci cato.
Inattività - Gli indirizzi protetti sulla porta vengono eliminati solo se sono inattivi per il tempo di
aging speci cato.
Attenersi alla seguente procedura per mitigare gli attacchi VLAN hopping:
1: Disabilitare le trattative DTP (auto trunking) sulle porte non trunking utilizzando il comando di
con gurazione dell'interfaccia switchport mode access.
4: Disabilitare le trattative DTP (auto trunking) delle porte trunking utilizzando il comando
switchport nonegotiate.
5: Impostare la VLAN nativa su una VLAN diversa da VLAN 1 utilizzando il comando switchport
trunk native vlan vlan_number.
1. Abilitare lo snooping DHCP utilizzando il comando di con gurazione globale ip dhcp snooping.
2. Sulle porte attendibili, utilizzare il comando di con gurazione dell'interfaccia ip dhcp snooping
trust.
3: Limitare il numero di messaggi di individuazione DHCP che possono essere ricevuti al secondo
su porte non attendibili utilizzando il comando di con gurazione dell'interfaccia ip dhcp snooping
limit rate.
fi
fi
fi
fl
fi
ffi
fi
fi
fi
fi
fi
fl
fi
fi
fi
Non inoltrare risposte ARP non valide o gratuite ad altre porte nella stessa VLAN.
Rilevamento e registrazione delle risposte ARP provenienti da non validi per prevenire ARP
poisoning.
Errore durante la disabilitazione dell'interfaccia se viene superato il numero DAI con gurato di
pacchetti ARP.
Per mitigare le possibilità di spoo ng ARP e ARP poisoning, attenersi alle seguenti linee guida di
implementazione DAI: