Modulo 11: Configurazione di

sicurezza dello switch

Elementi essenziali di switching,
routing e wireless v7.0 (SRWE)
Obiettivi del modulo
Titolo del modulo: Configurazione di sicurezza dello switch

Obiettivo del modulo: Configurare la sicurezza degli switch per mitigare gli attacchi LAN

Titolo argomento Obiettivo argomento

Implementazione della Implementare la sicurezza della porta per mitigare gli attacchi alla
sicurezza per le porte tabella degli indirizzi MAC.
Mitigazione degli attacchi Spiegare come configurare DTP e VLAN nativa per mitigare gli
VLAN attacchi VLAN.
Mitigazione degli attacchi Spiegare come configurare lo snooping DHCP per mitigare gli
DHCP attacchi DHCP.
Mitigazione degli attacchi Spiegare come configurare l'ispezione ARP per mitigare gli
ARP attacchi ARP.
Mitigazione degli attacchi Spiegare come configurare PortFast e BPDU Guard per mitigare
STP gli attacchi STP.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 10
11.1 Implementare la
sicurezza della porta

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 11
Implementare la sicurezza della porta
Proteggere porte inutilizzate
Gli attacchi di Layer 2 sono tra i più facili da distribuire per gli hacker, ma queste minacce
possono anche essere mitigate con alcune comuni soluzioni di Layer 2.
• Tutte le porte dello switch (interfacce) devono essere protette prima che lo switch
venga distribuito per uso di produzione. Il modo in cui una porta è protetta dipende
dalla sua funzione.
• Un metodo semplice utilizzato da molti amministratori per proteggere la rete da
accessi non autorizzati consiste nel disabilitare tutte le porte inutilizzate su uno switch.
Passare a ogni porta inutilizzata ed emettere il comando Cisco IOS shutdown. Se
una porta deve essere riattivata in un secondo momento, può essere abilitata con il
comando no shutdown.
• Per configurare un intervallo di porte, utilizzare il comando interface range.
Switch(config)# interface range type module/first-number – last-number

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 12
Implementare la sicurezza della porta
Mitigare gli attacchi della tabella degli indirizzi MAC
Il metodo più semplice ed efficace per prevenire gli attacchi di overflow della tabella degli
indirizzi MAC consiste nell'abilitare la sicurezza della porta.
• La sicurezza della porta limita il numero di indirizzi MAC validi consentiti su una porta.
Consente a un amministratore di configurare manualmente gli indirizzi MAC per una
porta o di consentire allo switch di imparare dinamicamente un numero limitato di
indirizzi MAC. Quando una porta configurata con la sicurezza della porta riceve un
frame, l'indirizzo MAC di origine del frame viene confrontato con l'elenco degli indirizzi
MAC di origine protetti che sono stati configurati manualmente o appresi
dinamicamente sulla porta.
• Limitando a uno il numero di indirizzi MAC consentiti su una porta, è possibile
utilizzare la sicurezza della porta per controllare l'accesso non autorizzato alla rete.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 13
Implementare la sicurezza della porta
Abilitare la sicurezza della porta
La protezione delle porte può essere abilitata con il comando switchport port-security in
modalità di configurazione interfaccia.

Si noti nell'esempio, il comando switchport port-security è stato rifiutato. Questo perché la

protezione delle porte può essere configurata solo su porte di accesso configurate
manualmente o su porte trunk configurate manualmente. Per impostazione predefinita, le
porte switch Layer 2 sono impostate su dynamic auto (trunking on). Pertanto, nell'esempio, la
porta è configurata con il comando di configurazione dell'interfaccia switchport mode
access.

Nota: La sicurezza della porta trunk non rientra nell'ambito di questo corso.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 14
Implementare la sicurezza della porta
Abilitare la sicurezza della porta (seguito)
Utilizzare il comando show port-security interface
per visualizzare le impostazioni correnti di sicurezza
della porta per FastEthernet 0/1.
• Si noti come la sicurezza della porta è abilitata, la
modalità di violazione è arresto e come il numero
massimo di indirizzi MAC è 1.
• Se un dispositivo è collegato alla porta, lo switch
aggiungerà automaticamente l'indirizzo MAC del
dispositivo come MAC sicuro. In questo esempio,
nessun dispositivo è connesso alla porta.

Nota: Se una porta attiva è configurata con il comando

switchport port-security e più di un dispositivo è connesso
a tale porta, la porta passerà allo stato error-disabled.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 15
Implementare la sicurezza della porta
Abilitare la sicurezza della porta (seguito)
Dopo aver abilitato la protezione della porta, è possibile configurare altre specifiche di
protezione della porta, come illustrato nell'esempio.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 16
Implementare la sicurezza della porta
Indirizzi MAC Limit e Learn
Per impostare il numero massimo di indirizzi MAC consentiti su una porta, utilizzare il
seguente comando:
Switch(config-if)# switchport port-security maximum value

• Il valore di protezione della porta predefinito è 1.

• Il numero massimo di indirizzi MAC sicuri che possono essere configurati dipende
dallo switch e dall'IOS.
• In questo esempio, il massimo è 8192.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 17
Implementare la sicurezza della porta
Indirizzi MAC Limit e Learn (seguito)
Lo switch può essere configurato per conoscere gli indirizzi MAC su una porta sicura in
uno dei tre modi:
1. Configurazione manuale: L'amministratore configura manualmente un indirizzo MAC
statico utilizzando il seguente comando per ogni indirizzo MAC sicuro sulla porta:
Switch(config-if)# switchport port-security mac-address mac-address
2. Imparato dinamicamente: Quando il comando switchport port-security viene
immesso, il MAC di origine corrente per il dispositivo connesso alla porta viene
automaticamente protetto ma non viene aggiunto alla configurazione di avvio. Se lo
switch viene riavviato, la porta dovrà imparare di nuovo l'indirizzo MAC del dispositivo.

3. Imparato dinamicamente - Sticky: L'amministratore può abilitare lo switch per

apprendere dinamicamente l'indirizzo MAC e "attaccarli" alla configurazione in
esecuzione utilizzando il seguente comando:
Switch(config-if)# switchport port-security mac-address sticky
Il salvataggio della configurazione in esecuzione invierà l'indirizzo MAC appreso dinamicamente
nella NVRAM. © 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 18
Implementare la sicurezza della porta
Indirizzi MAC Limit e Learn (seguito)
Nell'esempio viene illustrata una
configurazione completa di sicurezza
della porta per FastEthernet 0/1.
• L'amministratore specifica un
massimo di 4 indirizzi MAC, configura
manualmente un indirizzo MAC
sicuro, quindi configura la porta per
apprendere dinamicamente ulteriori
indirizzi MAC sicuri fino al massimo di
4 indirizzi MAC sicuri.
• Utilizzare l'interfaccia show port-
security interface e il comando
show port-security address per
verificare la configurazione.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 19
Implementare la sicurezza della porta
Aging della sicurezza della porta
Port security aging può essere utilizzato per impostare il tempo di aging per indirizzi
protetti statici e dinamici su una porta e due tipi di aging sono supportati su ogni porta:
• Assoluto - Gli indirizzi protetti sulla porta vengono eliminati dopo il tempo di aging specificato.
• Inattività - Gli indirizzi protetti sulla porta vengono eliminati se sono inattivi per un periodo di
tempo specificato.

Utilizzare aging per rimuovere gli indirizzi MAC protetti su una porta protetta senza
eliminare manualmente gli indirizzi MAC protetti esistenti.
• L'aging degli indirizzi protetti configurati staticamente può essere abilitato o disabilitato in base alla
porta.

Utilizzare il comando switchport port-security aging per abilitare o disabilitare l'aging

statico per la porta protetta o per impostare il tempo di aging o il tipo.
Switch(config-if)# switchport port-security aging {static | time time | type {absolute | inactivity}}

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 20
Implementare la sicurezza della porta
Aging della sicurezza della porta (seguito)
Nell'esempio viene illustrato un
amministratore che configura il
tipo di aging su 10 minuti di
inattività.

Il comando show port-

security conferma le
modifiche. Comando interface
per verificare la configurazione.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 21
Implementare la sicurezza della porta
Modalità di violazione della sicurezza della porta
Se l'indirizzo MAC di un dispositivo collegato a una porta differisce dall'elenco di indirizzi
protetti, si verifica una violazione della porta e la porta entra in stato error-disabled.
• Per impostare la modalità di violazione della protezione della porta, utilizzare il seguente comando:
Switch(config-if)# switchport port-security violation {shutdown | restrict | protect}

Nella tabella seguente viene illustrato come reagisce uno switch in base alla modalità di violazione
configurata.
Modalità Descrizione

La porta passa immediatamente allo stato error-disabled, spegne il LED della porta e invia un messaggio
shutdown
syslog. Incrementa il contatore delle violazioni. Quando una porta protetta è in stato error-disabled, un
(impostazion
amministratore deve riattivarla immettendo i comandi shutdown e no shutdown.
e predefinita)
La porta elimina i pacchetti con indirizzi di origine sconosciuti fino a quando non si rimuove un numero
sufficiente di indirizzi MAC sicuri per scendere al di sotto del valore massimo o aumentare il valore massimo.
restrict
Questa modalità fa sì che il contatore violazione di protezione incrementi e generi un messaggio syslog.
Questa è la meno sicura delle modalità di violazione della sicurezza. La porta elimina i pacchetti con indirizzi
di origine MAC sconosciuti fino a quando non si rimuove un numero sufficiente di indirizzi MAC sicuri per
protect scendere al di sotto del valore massimo o aumentare il valore massimo. Nessun messaggio syslog viene
inviato. © 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 22
Implementare la sicurezza della porta
Modalità di violazione della sicurezza della porta (seguito)
L'esempio mostra un amministratore
che modifica la violazione di protezione
in "restrict".

L'output del comando show port-

security interface conferma che la
modifica è stata apportata.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 23
Implementare la sicurezza della porta
Porte in stato error-disabled
Quando una porta viene arrestata e inserita nello stato error-disabled, non viene inviato o
ricevuto alcun traffico su tale porta.
Sulla console viene visualizzata una serie di messaggi relativi alla protezione della porta,
come illustrato nell'esempio seguente.

Nota: Il protocollo di porta e lo stato del collegamento vengono modificati in disattivato e il LED della
porta è spento.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 24
Implementare la sicurezza della porta
Porte in stato error-disabled (seguito)
• Nell'esempio, il comando show interface
identifica lo stato della porta come err-
disabled. L'output del comando show port-
security interface mostra ora lo stato della
porta come secure shutdown. Il contatore
Violazione di protezione incrementa di 1.
• L'amministratore deve determinare cosa ha
causato la violazione della protezione Se un
dispositivo non autorizzato è connesso a una
porta sicura, la minaccia alla sicurezza viene
eliminata prima di riabilitare la porta.
• Per riattivare la porta, utilizzare prima il
comando shutdown, quindi utilizzare il
comando no shutdown.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 25
Implementare la sicurezza della porta
Verifica della sicurezza della porta
Dopo aver configurato la protezione della porta su uno switch, controllare ogni interfaccia per
verificare che la protezione della porta sia impostata correttamente e verificare che gli
indirizzi MAC statici siano stati configurati correttamente.

Per visualizzare le impostazioni di sicurezza della porta per lo switch, utilizzare il comando
show port-security.
• L'esempio indica che tutte le 24
interfacce sono configurate con il
comando switchport port-security
perché il massimo consentito è 1 e la
modalità di violazione è arresto.
• Nessun dispositivo è collegato, quindi,
CurrentAddr (Count) è 0 per ogni
interfaccia.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 26
Implementare la sicurezza della porta
Verifica della sicurezza della porta (seguito)
Utilizzare il comando show port-
security interface per
visualizzare i dettagli di
un'interfaccia specifica, come
illustrato in precedenza e in
questo esempio.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 27
Implementare la sicurezza della porta
Verifica della sicurezza della porta (seguito)

Per verificare che gli indirizzi MAC

siano "attaccati" alla
configurazione, utilizzare il
comando show run come
mostrato nell'esempio per
FastEthernet 0/19.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 28
Implementare la sicurezza della porta
Verifica della sicurezza della porta (seguito)

Per visualizzare tutti gli indirizzi

MAC protetti configurati
manualmente o acquisiti in modo
dinamico su tutte le interfacce
switch, utilizzare il comando show
port-security address, come
illustrato nell'esempio.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 29
Implementare la sicurezza della porta
Packet Tracer - Implementare la sicurezza della porta
In questo Packet Tracer, verranno raggiunti i seguenti obiettivi:
• Parte 1: Configurare la sicurezza della porta
• Parte 2: Verificare la sicurezza della porta

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 30
11.2 Mitigare gli attacchi
VLAN

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 31
Mitigare gli attacchi VLAN
Revisione attacchi VLAN
Un attacco VLAN hopping può essere lanciato in tre modi:
• Spoofing dei messaggi DTP dall'host attaccante per far sì che l'interruttore entri in
modalità trunking. Da qui, l'utente malintenzionato può inviare il traffico taggato con la
VLAN di destinazione e lo switch quindi consegna i pacchetti alla destinazione.
• Introducendo un interruttore canaglia e abilitando il trunking. L'utente malintenzionato
può quindi accedere a tutte le VLAN sullo switch vittima dallo switch canaglia.
• Un altro tipo di attacco VLAN hopping è un attacco a doppio tagging (o doppio
incapsulato). Questo attacco sfrutta il modo in cui funziona l'hardware sulla maggior
parte degli switch.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 32
Mitigare gli attacchi VLAN
Procedura per mitigare gli attacchi VLAN hopping
Attenersi alla seguente procedura per mitigare gli
attacchi VLAN hopping:
Passo 1: Disabilitare le trattative DTP (auto trunking) sulle
porte non trunking utilizzando il comando di configurazione
dell'interfaccia switchport mode access.
Passo 2: Disabilitare le porte inutilizzate e inserirle in una
VLAN inutilizzata.
Passo 3: Abilitare manualmente il collegamento trunk su
una porta trunking utilizzando il comando switchport
mode trunk.
Passo 4: Disabilitare le trattative DTP (auto trunking) sulle
porte trunking utilizzando il comando switchport
nonegotiate.
Passo 5: Impostare la VLAN nativa su una VLAN diversa
da VLAN 1 utilizzando il comando switchport trunk native
vlan vlan_number.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 33
11.3 Mitigare gli attacchi
DHCP

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 34
Mitigare gli attacchi DHCP
Revisione degli attacchi DHCP
L'obiettivo di un attacco DHCP starvation è di attaccare uno strumento come Gobbler per
creare un DoS (Denial of Service) per la connessione dei client.

Ricordiamo che gli attacchi DHCP starvation possono essere efficacemente mitigati
utilizzando la sicurezza della porta perché Gobbler utilizza un indirizzo MAC di origine
univoco per ogni richiesta DHCP inviata. Tuttavia, mitigare gli attacchi di spoofing DHCP
richiede una maggiore protezione.

Gobbler può essere configurato per utilizzare l'indirizzo MAC dell'interfaccia effettiva
come indirizzo Ethernet di origine, ma specificare un indirizzo Ethernet diverso nel
payload DHCP. Ciò renderebbe inefficace la sicurezza della porta perché l'indirizzo MAC
di origine sarebbe legittimo.

Gli attacchi di spoofing DHCP possono essere mitigati utilizzando lo snooping DHCP su
porte attendibili. © 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 35
Mitigare gli attacchi DHCP
Snooping DHCP
Lo snooping DHCP filtra i messaggi DHCP e limita la velocità del traffico DHCP su porte
non attendibili.
• I dispositivi sotto controllo amministrativo (ad esempio switch, router e server) sono
fonti attendibili.
• Le interfacce attendibili (ad esempio, collegamenti trunk, porte server) devono essere
configurate in modo esplicito come attendibile.
• I dispositivi esterni alla rete e tutte le porte di accesso sono generalmente considerati
come fonti non attendibili.

Viene creata una tabella DHCP che include l'indirizzo MAC di origine di un dispositivo su
una porta non attendibile e l'indirizzo IP assegnato dal server DHCP a tale dispositivo.
• L'indirizzo MAC e l'indirizzo IP sono legati insieme.
• Di conseguenza, questa tabella è chiamata la tabella di associazione di snooping
DHCP.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 36
Mitigare gli attacchi DHCP
Procedura per implementare Snooping DHCP
Per abilitare lo snooping DHCP, attenersi alla seguente procedura:
Passo 1. Abilitare lo snooping DHCP utilizzando il comando di configurazione globale ip
dhcp snooping.
Passo 2. Sulle porte attendibili, utilizzare il comando di configurazione dell'interfaccia ip
dhcp snooping trust.
Passo 3: Su interfacce non attendibili, limitare il numero di messaggi di rilevamento
DHCP che possono essere ricevuti utilizzando il comando di configurazione
dell'interfaccia ip dhcp snooping limit ratepackets-per-second.
Passo 4. Abilitare lo snooping DHCP tramite VLAN o da un intervallo di VLAN,
utilizzando il comando di configurazione globale ip dhcp snooping vlan.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 37
Mitigare gli attacchi DHCP
Esempio di configurazione di snooping DHCP
Fare riferimento alla topologia di esempio di snooping DHCP con porte attendibili e non
attendibili.

• Snooping DHCP è abilitato per la prima

volta su S1.
• L'interfaccia upstream al server DHCP è
esplicitamente attendibile.
• F0/5 to F0/24 are untrusted and are,
therefore, rate limited to six packets per
second.
• Infine, lo snooping DHCP è abilitato su
VLANS 5, 10, 50, 51 e 52.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 38
Mitigare gli attacchi DHCP
Esempio di configurazione di snooping DHCP (seguito)
Utilizzare il comando
privileged EXEC show ip
dhcp snooping per verificare
le impostazioni di snooping
DHCP.

Utilizzare il comando show ip

dhcp snooping binding per
visualizzare i client che hanno
ricevuto informazioni DHCP.

Nota: Lo snooping DHCP è

richiesto anche da Dynamic ARP
Inspection (DAI).

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 39
11.4 Mitigare gli attacchi ARP

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 40
Mitigare gli attacchi ARP
Ispezione ARP dinamica
In un attacco ARP tipico, un threat actor può inviare risposte ARP non richieste ad altri
host nella subnet con l'indirizzo MAC del threat actor e l'indirizzo IP del gateway
predefinito. Per evitare lo spoofing ARP e il conseguente ARP poisoning, uno switch deve
garantire che vengano inoltrate solo richieste e risposte ARP valide.

L'ispezione ARP dinamica (DAI) richiede lo snooping DHCP e aiuta a prevenire gli
attacchi ARP tramite:
• Non inoltrare risposte ARP non valide o gratuite ad altre porte nella stessa VLAN.
• Intercettazione di tutte le richieste ARP e risposte su porte non attendibili.
• Verifica di ogni pacchetto intercettato per un'associazione IP-to-Mac valida.
• Rilevamento e registrazione delle risposte ARP provenienti da non validi per prevenire ARP
poisoning.
• Errore durante la disabilitazione dell'interfaccia se viene superato il numero DAI configurato di
pacchetti ARP.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 41
Mitigare gli attacchi ARP
Linee guida per l'implementazione di DAI
Per mitigare le possibilità di spoofing ARP e
ARP poisoning, attenersi alle seguenti linee
guida di implementazione DAI:
• Attivare DHCP snooping globalmente.
• Abilitare lo snooping DHCP sulle VLAN
selezionate.
• Abilitare DAI sulle VLAN selezionate.
• Configurare le interfacce attendibili per lo
snooping DHCP e l'ispezione ARP.
In genere è consigliabile configurare tutte le
porte switch di accesso come non attendibili e
configurare tutte le porte uplink collegate ad
altri switch come attendibili.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 42
Mitigare gli attacchi DHCP
Esempio di configurazione DAI
Nella topologia precedente, S1 connette due utenti su VLAN 10.
• DAI sarà configurato per mitigare gli attacchi di spoofing ARP e ARP poisoning.
• Lo snooping DHCP è abilitato perché DAI
richiede la tabella di binding di snooping
DHCP per funzionare.
• Successivamente, lo snooping DHCP e
l'ispezione ARP sono abilitati per i PC su
VLAN10.
• La porta uplink al router è attendibile e,
pertanto, è configurata come attendibile
per lo snooping DHCP e l'ispezione ARP.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 43
Mitigare gli attacchi ARP
DAI Esempio di configurazione (seguito)
DAI può anche essere configurato per verificare la presenza di indirizzi MAC e IP di
destinazione o di origine:
• Destinazione MAC- Controlla l'indirizzo MAC di destinazione nell'intestazione
Ethernet rispetto all'indirizzo MAC di destinazione nel corpo ARP.
• Origine MAC- Controlla l'indirizzo MAC di origine nell'intestazione Ethernet con
l'indirizzo MAC del mittente nel corpo ARP.
• Indirizzo IP- Controlla il corpo ARP per gli indirizzi IP non validi e imprevisti inclusi gli
indirizzi 0.0.0.0, 255.255.255.255 e tutti gli indirizzi IP multicast.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 44
Mitigare gli attacchi ARP
DAI Esempio di configurazione (seguito)
Il comando di configurazione globale ip arp inspection validate {[src-mac] [dst-mac] [ip]}
viene utilizzato per configurare DAI per eliminare i pacchetti ARP quando gli indirizzi IP non
sono validi.
• Può essere utilizzato quando gli indirizzi MAC nel corpo dei pacchetti ARP non
corrispondono agli indirizzi specificati nell'intestazione Ethernet.
• Si noti nell'esempio seguente come è possibile configurare un solo comando.
• Pertanto, l'immissione di più comandi di
ip arp inspection validate sovrascrive
il comando precedente.
• Per includere più di un metodo di
convalida, inserirli nella stessa riga di
comando come mostrato nell'output.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 45
11.5 Mitigare gli attacchi STP

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 46
Mitigare gli attacchi STP
PortFast e BPDU Guard
Ricordiamo che gli attacchi di rete possono manipolare il protocollo STP (Spanning Tree
Protocol) per condurre un attacco spoofing del root bridge e modificare la topologia di una
rete.
Per mitigare gli attacchi STP, utilizzare PortFast e Bridge Protocol Data Unit (BPDU)
Guard:
PortFast
• PortFast porta immediatamente una porta allo stato di inoltro da uno stato di blocco,
bypassando gli stati di ascolto e apprendimento.
• Applicare a tutte le porte di accesso dell'utente finale.

Guardia BPDU
• BPDU guard disabilita e porta immediatamente in errore le porte che ricevono un
eventuale BPDU.
• Come PortFast, BPDU guard deve essere configurata solo su interfacce collegate ai
dispositivi finali. © 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 47
Mitigare gli attacchi STP
Configurare PortFast
PortFast ignora gli stati di ascolto e apprendimento STP per ridurre al minimo il tempo in
cui le porte di accesso devono attendere la convergenza di STP.
• Attivare PortFast solo sulle porte di accesso.
• PortFast sui collegamenti inter switch può creare un loop spanning-tree.

PortFast può essere abilitato:

• Su un'interfaccia -Utilizzare il comando
di configurazione dell'interfaccia
spanning-tree portfast.
• Globale - Utilizzare il comando di
configurazione globale spanning-tree
portfast default per abilitare PortFast su
tutte le porte di accesso.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 48
Mitigare gli attacchi STP
Configurare PortFast (seguito)
Per verificare se PortFast è abilitato globalmente, è possibile utilizzare:
• show running-config | begin span command
• show spanning-tree summary command

Per verificare se PortFast è abilitato su un'interfaccia, utilizzare il comando show running-config

interface type/number .

Il comando spanning-tree interface type/number detail può essere utilizzato anche per la verifica.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 49
Mitigare gli attacchi STP
Configurare BPDU guard
Una porta di accesso potrebbe ricevere accidentalmente un BPDU imprevisto o perché un utente ha
collegato uno switch non autorizzato alla porta di accesso.
• Se un BPDU viene ricevuto su una porta di accesso abilitata alla protezione BPDU, la porta viene
messa in stato error-disabled.
• Ciò significa che la porta viene arrestata e deve essere riattivata manualmente o ripristinata
automaticamente tramite il comando globale errdisable recovery cause psecure_violation.

BPDU Guard può essere abilitato:

• Su un'interfaccia — Utilizzare il comando di
configurazione dell'interfaccia spanning-tree
bpduguard enable .
• Globale - Utilizzare il comando di configurazione
globale spanning-tree portfast bpduguard default per
abilitare BPDU Guard su tutte le porte di accesso.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 50