Network состоят из множества различных частей, каждая из которых должна работать необходимым образом.
Для систематизации сеть логически разделяют на несколько частей по их функциям, чтобы затем сфокучировать усилия на какждой из них по отдельности.
Network Foundation Protection (NFP) Framework как раз и является той моделью разделения.

Для Cisco коммутаторв и маршрутизаиторов NFP Framework разделена на следующие части (Planes)

• Management Plane - включает протоколы и трафик между компом администратора и роутером, например SSH. При сбое Management Plane мы не сможем управлять маршрутизатором.
• Control Plane - это протоколы и трафик служебного характера, которые устройства используют для общения друг с другом, например Routing Protocol. Понятно, что при сбое Routing Protocol упадёт вся маршрутизация.
• Data Plane - это есть полезный трафик. Для передачи которого вся сеть собственно и создана.

Давайте теперь рассмотрим средства безопасности на каждом из вышеупомянутых уровней.

Management Plane

• Authentication, authorization, accounting (AAA) - Средства для предоставления доступа админам и его учета.
• Authenticated Network Time Protocol (NTP) - Позволяет не только синхронизировать часы, но и защитить паролем эту самую синхронизацию.
• Secure Shell (SSH) - SSH позволяет работать в CLI в защищенном канале данных.
• Secure Sockets Layer/Transport Layer Security (SSL/TLS) - используется для защиты в канале данных для GUI
• Protected syslog - по умолчанию сообщения syslog передаются в открытом виде. Оптимально было бы их зашифровать.
• SNMPv3 - более продвинутая защита по сравнению со 2-й версией.
• Parser views

- Ужесточите политику паролей, например minimum password length, maximum number of login attempts. (это можно сделать в ACS или AD)
- Внедрите role-based access control (RBAC). Создаётся группа с определёнными правами. Юзера помещаются в эту группу. (делается через ACS либо CLI parser views, либо Custom privilege level assignments.)
- Используйте AAA services и управляйте ими централизованно из ACS. Это даст централизованную аутентификацию, авторизацию и учёт действий.
- Используйте NTP, для четкой привязки событий к правильному времени.
- Контролируйте список IP адресов, с которых допускается администрирование устройств.
- Рекомендуется выключить syslog, т.к. он передаётся в открытом виде. Либо использовать отдельный VLAN под него.

Control Plane

• Control plane policing (CoPP) and control plane protection (CPPr) - чаще всего это access-list, включающий IP адреса с которых разрешается SSH/HTTPS/SSL. Также можно определить какой тип management traffic-а может приниматься с каким уровнем загруженности.
• Authenticated routing protocol updates - аутентификация позволит предотварить использование "подставного" роутера.

Data plane

• Access control lists (ACL) - контроль трафика на 3-м уровне.
• Layer 2 controls, such as private VLANs, Spanning Tree Protocol (STP) guards - никто не захватит роль STP Root, тем самым можно контролировать поток данных на 2-м уровне.
• IOS IPS, Zone-Based Firewall

- Блокируйте нежелательный трафик через роутер. Например есль корпоративная политика запрещает трафик TFTP - заблокируйте его использование через ACL.
При этом блокировку следует производить как можно ближе к предполагаемому источнику трафика, чтобы пресечь его как можно раньше.
- Уменьшите вероятность атак типа denial-of-service (DoS). В этом поможет технологии такие как TCP Intercept или firewall services.
- Уменьшите spoofing attacks (подмена адреса источника). Например на интерфейсе OUTSIDE следует повесить на вход ACL, запрещающий все пакеты с источником внутренних подсетей.
- Обеспечьте bandwidth management. Это можно сделать через rate-limiting для определённых категорий траифка.
- IPS. По возможности используйте, для анализа трафика.

Также есть ряд рекомендаций для защиты Data plane на 2-м уровне:
- Используйте Port security для защиты от MAC address flooding. (переполнение таблицы MAC-адресов коммутатора)
- Используйте DHCP snooping. Механизм защиты от подмены сервера DHCP.
- Используйте Dynamic ARP inspection (DAI), которая поможет от Address Resolution Protocol (ARP) spoofing (подмена MAC-адреса-источника)
- Используйте IP Source Guard. Механизм защиты от IP spoofing на уровне коммутатора.