Skip to content

L2 Veiligheid

Mitigatie = het tegengaan van beveiligingsrisico's. Op L2 start dat bij het beveiligen van de switches zelf, daarna de specifieke tegenmaatregen per aanvalstype.


Switch Management Beveiligen

Startpunt voordat je überhaupt aan specifieke mitigaties denkt:

  • Gebruik altijd de secure varianten van management protocollen: SSH, SCP, SFTP, SSL/TLS — nooit Telnet of HTTP
  • Overweeg out-of-band management — beheer via een apart kanaal dat niet samenvalt met de productielinks
  • Gebruik een dedicated management VLAN — enkel management traffic loopt hier over
  • Gebruik ACLs om ongewenst verkeer naar management interfaces weg te filteren

Mitigatie Overzicht

Oplossing Beschermt tegen
Port Security MAC flooding, DHCP starvation
DHCP Snooping DHCP starvation, DHCP spoofing
Dynamic ARP Inspection (DAI) ARP spoofing, ARP poisoning
IP Source Guard (IPSG) MAC spoofing, IP spoofing
BPDU Guard STP aanvallen

Port Security

Beperkt het aantal source MAC adressen dat een switch via een poort mag bijleren. Overschrijdt een poort het ingestelde maximum, of koppelt een niet-toegestaan MAC adres aan, dan gaat de poort in een foutoestand.

3 violation modes:

Mode Gedrag bij overtreding
Shutdown Poort gaat onmiddellijk in err-disabled toestand — vereist handmatige heractivering
Protect Frames van onbekende MAC adressen worden gedropped, geen melding
Restrict Frames worden gedropped + SNMP trap + syslog melding

Port Security lost ook DHCP starvation aan omdat de aanval afhankelijk is van het doorsturen van frames met wisselende source MAC adressen.


DHCP Snooping

DHCP Snooping werkt als een filter op switchpoorten voor DHCP berichten.

  • Poorten worden geclassificeerd als trusted of untrusted
  • Enkel trusted poorten mogen DHCP Offer en Acknowledge berichten doorlaten
  • Untrusted poorten (access poorten richting clients) mogen enkel DHCP Discover en Request sturen
  • Een rogue DHCP server op een untrusted poort wordt zo geblokkeerd

DHCP Snooping bouwt ook een binding table op: IP → MAC → VLAN → poort → lease tijd. Die binding table is de basis voor DAI en IPSG.


Dynamic ARP Inspection (DAI)

DAI onderschept ARP berichten op untrusted poorten en vergelijkt ze met de DHCP Snooping binding table.

  • Klopt het IP-MAC paar in het ARP bericht niet met de binding table → frame wordt gedropped
  • Klopt het wel → frame wordt doorgelaten
  • Trusted poorten (uplinks) worden niet geïnspecteerd

Vereist dat DHCP Snooping actief is (voor de binding table). Toestellen met een statisch IP kunnen ook manueel worden toegevoegd aan de binding table via ARP ACLs.


IP Source Guard (IPSG)

Filtert IP en/of MAC adressen op untrusted poorten op basis van de DHCP Snooping binding table.

  • Enkel pakketten die overeenkomen met een binding (IP + MAC + poort + VLAN) worden doorgelaten
  • Alle andere pakketten worden gedropped
  • Beschermt tegen address spoofing: een aanvaller die een bestaand IP of MAC overneemt, wordt geblokkeerd omdat zijn poort niet in de binding staat

BPDU Guard

Beschermt STP tegen aanvallen via valse BPDU berichten. BPDU Guard wordt geconfigureerd op access poorten — als op zo'n poort een BPDU binnenkomt (wat alleen zou mogen van een andere switch), gaat de poort onmiddellijk in err-disabled.

Werkt samen met PortFast: poorten met PortFast actief zijn typisch de kandidaten voor BPDU Guard.