Distributed Denial of Service (DDoS) - Questo è un attacco coordinato da molti dispositivi,

chiamati zombie, con l'intenzione di degradare o arrestare l'accesso pubblico al sito web e alle
risorse di un'organizzazione.

Violazione dei dati -Si tratta di un attacco in cui i server di dati o gli host di un'organizzazione
sono compromessi per rubare informazioni riservate.

Malware - Si tratta di un attacco in cui gli host di un'organizzazione sono infettati da software
dannoso che causa una serie di problemi. Ad esempio, un ransomware come WannaCry,
mostrato nella gura, crittografa i dati di un host e blocca l'accesso ad esso nché non viene
pagato un riscatto.

Un router abilitato al VPN fornisce una connessione sicura agli utenti attraverso una rete pubblica
e nella rete aziendale. I servizi VPN possono essere integrati nel rewall.

Un NGFW fornisce l'ispezione stateful dei pacchetti, la visibilità e il controllo delle applicazioni
protezione avanzata dal malware e ltro URL.

Un dispositivo NAC include servizi di autenticazione, autorizzazione e accounting (AAA) questo

servizi potrebbero essere incorporati in un'appliance in grado di gestire i criteri di accesso per
un'ampia varietà di utenti e tipi di dispositivi.

Cisco Email Security Appliance

progettato per monitorare Simple Mail Transfer Protocol (SMTP) Bloccare le minacce conosciute.

Rimediare al malware invisibile che ha eluso il rilevamento iniziale.

Eliminare le e-mail con link errati (come mostrato nella gura).

Bloccare l'accesso ai nuovi siti infetti.

Crittografare il contenuto nella posta elettronica in uscita per evitare la perdita di dati.

Cisco Web Security Appliance

è una tecnologia di mitigazione per le minacce basate sul web e fornisce il controllo completo su
come gli utenti accedono a internetfornisce il controllo completo su come gli utenti accedono a
internet

WSA può eseguire blacklist di URL, ltro URL, scansione malware

Gli endpoint sono particolarmente sensibili agli attacchi relativi a malware sono protetti al meglio
da una combinazione di NAC, software AMP basato su host, un'appliance di sicurezza e-mail
(ESA) e un'appliance di sicurezza web (WSA)

L'AAA locale memorizza i nomi utente e le password localmente in un dispositivo di rete come il
router Cisco. Gli utenti si autenticano con il database locale

1. Il client stabilisce una connessione con il router.

2. Il router AAA richiede all'utente un nome utente e una password.

3. Il router autentica il nome utente e la password utilizzando il database locale e all'utente viene
fornito l'accesso alla rete inbase alle informazioni contenute nel database locale.

Autenticazione AAA basata su server

Con il metodo basato su server, il router accede a un server AAA centrale Il server AAA contiene i
nomi utente e la password per tutti gli utenti. Quando sono presenti più router e switch, AAA
basato su server è più appropriato.Quando sono presenti più router e switch, AAA basato su
server è più appropriato.

Il router utilizza i protocolli RADIUS (Remote Authentication Dial-In User Service) o Terminal
Access Controller Access Control System (TACACS+) per comunicare con il server AAA.

1. Il client stabilisce una connessione con il router.

2. Il router AAA richiede all'utente un nome utente e una password.

3. Il router autentica il nome utente e la password utilizzando un server AAA.

4. All'utente viene fornito l'accesso alla rete in base alle informazioni contenute nel server AAA
remoto.

Autorizzazione

1. Quando un utente è stato autenticato, viene stabilita una sessione tra il router e il server AAA.

2. Il router richiede l'autorizzazione dal server AAA per il servizio richiesto dal client.

3. Il server AAA restituisce una risposta PASS/FAIL per l'autorizzazione.

Accounting

fi
fi
fi
fi
fi
fi
 raccoglie e segnala i dati di utilizzo. Questi dati possono essere utilizzati per scopi quali audit o
fatturazione. I dati raccolti possono includere i tempi di connessione di avvio e arresto, i comandi
eseguiti, il numero di pacchetti e il numero di byte.

Richiedente Richiede l'accesso e risponde alle richieste dallo switch

Autenticatore Controlla l'accesso sico alla rete in base allo stato di autenticazione client

Autenticatore Controlla l'accesso sico alla rete in base allo stato di autenticazione client

Vulnerabilità Layer 2

Gli amministratori di rete implementano regolarmente soluzioni di sicurezza per proteggere gli
elementi nel Layer 3 no al Layer 7. Usano VPN, rewall

se il Layer 2 è compromesso tutta la sicurezza implementata sui layer sopra di esso sarebbe
inutile

Attacchi tabella MAC Include attacchi di ooding di indirizzi MAC.

Attacchi VLAN Include attacchi VLAN hopping e doppio tagging VLAN. Include anche attacchi tra
dispositivi su una VLAN comune.

Attacchi DHCP Include attacchi DHCP starvation e spoo ng.

Attacchi ARP Include attacchi di spoo ng ARP e poisoning.

Attacchi spoo ng degli indirizzi Include attacchi di spoo ng indirizzo MAC e indirizzo IP.

Attacchi STP Include attacchi di manipolazione del protocollo Spanning Tree.

Attacchi dhcp stravation come avviene che fa l’utente malintenzionato quale è la modalità di
questo attacco cosa fa, manda tanti dhcp discover, risponde il server dandogli gli indirizzi e lui gli
genera confusione nella rete, gli host che avrebbherp avuto bisgono del ip non li hanno per la
confusione.

Attacchi Hopping VLAN

consente al tra co da una VLAN di essere visto da un'altra VLAN .Il threat actor con gura l'host
in modo da poter spoofare l'host con lo switch di connessione.In caso di successo, lo switch
stabilisce un collegamento trunk con l'host.. Il threat actor può inviare e ricevere tra co su
qualsiasi VLAN

Attacco double-tagging VLAN

consente all'utente malintenzionato di inviare dati a host o server su una VLAN che altrimenti
sarebbero bloccati da qualche tipo di con gurazione del controllo di accesso. Presumibilmente
sarà consentito anche il tra co di ritorno, dando così all'utente malintenzionato la possibilità di
comunicare con i dispositivi sulla VLAN normalmente bloccata.

Attacco DHCP Starvation

I cliente che si connettono inviano richieste dhcp in modo da poter bloccare tutti gli indirizzi
disponibili

Attacco DHCP Spoo ng

si veri ca quando un server DHCP con gurazione IP falsi fornendo Gateway prede nito
errato,Server DNS errato e Indirizzo IP errato

Degli indirizzi IP

Mac:falsi ca indirizzi mac

Ip:falsi ca indirizzi ip si può risolvere tramite nac

cdp: protocollo cisco che aiuta nella auto con gurazione degli switch e l'informazione non sono
autografate

Attacchi ARP

un utente malintenzionato può inviare un messaggio ARP gratuito contenente un indirizzo MAC
falsi cato. questo porta ad un attacco man in the middle cioè tra due utenti connessi si collega un
terzo in mezzo

fi
fi
fi
fi
fi
ffi
fi
fi
ffi
fi
fi
fi
fi
fl
fi
fi
fi
fi
fi
fi
ffi
fi
 Link Layer Discovery Protocol (LLDP) è un protocollo di livello di collegamento indipendente dal
fornitore utilizzato dai dispositivi di rete per promuovere identità, capacità e vicini su una LAN su
tecnologia IEEE 802.

Sicurezza porta Previene molti tipi di attacchi, inclusi gli attacchi di ooding di indirizzi MAC e
DHCP starvation.

Snooping DHCP Previene attacchi DHCP stravation e gli attacchi spoo ng DHCP.

Dynamic ARP Inspection (DAI) Previene lo spoo ng ARP e attacchi poisoning ARP.

IPSG (IP Source Guard) Previene gli attacchi di spoo ng di indirizzi MAC e IP.

Queste soluzioni Layer 2 non saranno e caci se i protocolli di gestione non sono protetti.

Flooding tabella indirizzi MAC

Gli attacchi di ooding di indirizzi MAC sfruttano questa limitazione bombardando lo switch con
indirizzi MAC di origine falsi no a quando la tabella degli indirizzi MAC switch è Se si riempe la
tabella indirizzi mac di uno switch manda frame a caso

La sicurezza delle porte consentirà solo di apprendere un numero speci cato di indirizzi MAC di
origine sulla porta. La sicurezza della porta è ulteriormente discussa in un altro modulo.

Mitigazione attacchi VLAN

Disabilitare il trunking su tutte le porte di accesso.

Disabilitare il trunking automatico sui collegamenti trunk in modo che i trunk debbano essere
abilitati manualmente.

Assicurarsi che la VLAN nativa venga utilizzata solo per i collegamenti trunk.

Port security aging può essere utilizzato per impostare il tempo di invecchiamento per indirizzi
protetti statici e dinamici su una porta. Sono supportati due tipi di port aging:

Assoluto - Gli indirizzi protetti sulla porta vengono eliminati dopo il tempo di aging speci cato.

Inattività - Gli indirizzi protetti sulla porta vengono eliminati solo se sono inattivi per il tempo di
aging speci cato.

Attenersi alla seguente procedura per mitigare gli attacchi VLAN hopping:

1: Disabilitare le trattative DTP (auto trunking) sulle porte non trunking utilizzando il comando di
con gurazione dell'interfaccia switchport mode access.

2: Disabilitare le porte inutilizzate e inserirle in una VLAN inutilizzata.

3: Abilitare manualmente il collegamento trunk su una porta trunking utilizzando il comando

switchport mode trunk.

4: Disabilitare le trattative DTP (auto trunking) delle porte trunking utilizzando il comando
switchport nonegotiate.

5: Impostare la VLAN nativa su una VLAN diversa da VLAN 1 utilizzando il comando switchport
trunk native vlan vlan_number.

Per abilitare lo snooping DHCP, attenersi alla seguente procedura:

1. Abilitare lo snooping DHCP utilizzando il comando di con gurazione globale ip dhcp snooping.

2. Sulle porte attendibili, utilizzare il comando di con gurazione dell'interfaccia ip dhcp snooping
trust.

3: Limitare il numero di messaggi di individuazione DHCP che possono essere ricevuti al secondo
su porte non attendibili utilizzando il comando di con gurazione dell'interfaccia ip dhcp snooping
limit rate.

4. Abilitare lo snooping DHCP tramite VLAN o da un intervallo di VLAN, utilizzando il comando di

con gurazione globale ip dhcp snooping vlan.

prevenire gli attacchi ARP tramite:

fi
fi
fi
fl
fi
ffi
fi
fi
fi
fi
fi
fl
fi
fi
fi
 Non inoltrare risposte ARP non valide o gratuite ad altre porte nella stessa VLAN.

Intercettazione di tutte le richieste ARP e risposte su porte non attendibili.

Veri ca di ogni pacchetto intercettato per un'associazione IP-to-Mac valida.

Rilevamento e registrazione delle risposte ARP provenienti da non validi per prevenire ARP
poisoning.

Errore durante la disabilitazione dell'interfaccia se viene superato il numero DAI con gurato di
pacchetti ARP.

Per mitigare le possibilità di spoo ng ARP e ARP poisoning, attenersi alle seguenti linee guida di
implementazione DAI:

Attivare DHCP snooping globalmente.

Abilitare lo snooping DHCP sulle VLAN selezionate.

Abilitare DAI sulle VLAN selezionate.

Con gurare le interfacce attendibili per lo snooping DHCP e l'ispezione ARP

fi
fi
fi
fi