intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

SỬ DỤNG CƠ CHẾ BẢO MẬT CỔNG ĐỂ HẠN CHẾ TẤN CÔNG SWITCH

Chia sẻ: MR Blue | Ngày: | Loại File: PDF | Số trang:5

270
lượt xem
75
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trong chủ đề này, bạn sẽ được học về các vấn đề cần suy xét khi cấu hình chế độ bảo mật cổng trên một switch. Các lệnh cấu hình bảo mật cổng chính của Cisco IOS sẽ được đưa ra và tổng kết lại. Bạn cũng sẽ được học về cách cấu hình bảo mật cổng động và tĩnh. Bảo mật cổng (Port Security)

Chủ đề:
Lưu

Nội dung Text: SỬ DỤNG CƠ CHẾ BẢO MẬT CỔNG ĐỂ HẠN CHẾ TẤN CÔNG SWITCH

  1. SỬ DỤNG CƠ CHẾ BẢO MẬT CỔNG ĐỂ HẠN CHẾ TẤN CÔNG Trong chủ đề này, bạn sẽ được học về các vấn đề cần suy xét khi cấu hình chế độ bảo mật cổng trên một switch. Các lệnh cấu hình bảo mật cổng chính của Cisco IOS sẽ được đưa ra và tổng kết lại. Bạn cũng sẽ được học về cách cấu hình bảo mật cổng động và tĩnh.  Bảo mật cổng (Port Security) Một switch không được cấu hình cơ chế bảo mật cổng có thể cho phép những attacker tấn công vào hệ thống làm cho hệ thống không sử dụng được hoặc kích hoạt các cổng để thực hiện việc thu thập thông tin hoặc các thao tác tấn công khác. Một switch có thể bị cấu hình để hoạt động như là một hub, có nghĩa là mọi hệ thống kết nối vào switch đều có khả năng xem mọi lưu lượng thông tin truyền qua switch tới mọi hệ thống khác kết nối vào switch. Do đó, một attacker có thể thu thập dữ liệu về người dùng, mật khẩu hoặc thông tin cấu hình về các hệ thống trong mạng Mọi cổng của switch có thể được bảo mật trước khi đưa switch vào sử dụng và triển khai trong mạng. Bảo mật cổng sẽ hạn chế số lượng địa chỉ MAC hợp lệ được cho phép trên cổng đó. Khi đó, cổng này sẽ không chuyển tiếp các gói tin có các địa chỉ nguồn không thuộc vào nhóm các địa chỉ đã được định nghĩa trước. Nếu bạn giới hạn số lượng các địa chỉ MAC hợp lệ là 1 địa chỉ và gán địa chỉ này vào một cổng, máy tính gắn vào cổng này sẽ được đảm bảo truy cập vào toàn bộ băng thông của cổng và chỉ duy nhất máy tính này với địa chỉ MAC xác định trước có thể kết nối thành công tới cổng này của switch. Nếu một cổng được cấu hình là cổng bảo mật và khi đạt đến số lượng tối đa các địa chỉ MAC an toàn, cơ chế vi phạm bảo mật sẽ xảy ra khi một máy trạm khác có địa chỉ MAC khác với bất kỳ một trong các địa chỉ MAC an toàn đã được xác định từ trước tìm cách truy cập vào cổng.  Các loại địa chỉ MAC an toàn (Secure MAC Address Types) Có một số cách để cấu hình kỹ thuật bảo mật cổng. Phần sau đây sẽ mô tả các cách chúng ta có thể sử dụng để cấu hình bảo mật cổng trên một switch Cisco:
  2.  Địa chỉ MAC an toàn kiểu tĩnh (Static secure MAC addresses): Các địa chỉ MAC được cấu hình trực tiếp bằng các sử dụng lệnh switchport port-security mac-address ở chế độ cấu hình cổng của switch. Với cách làm này, địa chỉ MAC được lưu trữ trong bảng địa chỉ và được đưa vào file cấu hình running-config của switch.  Địa chỉ MAC an toàn kiểu động (Dynamic secure MAC addresses): Các địa chỉ MAC được học động và chỉ được lưu trữ vào trong bảng địa chỉ. Với cách làm này, các địa chỉ MAC sẽ bị xóa khi switch khởi động lại.  Địa chỉ MAC an toàn kiểu kết dính (Sticky secure MAC addresses): Ta có thể cấu hình một cổng để nó học động các địa chỉ MAC và sau đó switch sẽ tự động ghi các địa chỉ MAC này vào file cấu hình running-config.  Địa chỉ MAC an toàn kiểu kết dính Địa chỉ MAC an toàn kiểu kết dính có một số đặc điểm sau: Khi ta cho phép chế độ học kiểu kết dính trên một cổng của switch - bằng cách sử dụng lệnh switchport port-security mac-address sticky trên một cổng nào đó của switch, cổng này sẽ chuyển đổi mọi địa chỉ MAC an toàn kiểu động mà nó học động được từ cổng đó thành địa chỉ MAC an toàn kiểu kết dính và thêm mọi địa chỉ MAC kết dính vào file cấu hình running-config. Nếu ta tắt chế độ học kết dính bằng cách sử dụng lệnh no switchport - port-security mac-address sticky trong chế độ cấu hình cổng, các địa chỉ MAC an toàn kiểu kết dính vẫn tồn tại trong bảng địa chỉ nhưng chúng bị xóa khỏi file cấu hình running-config. Khi ta cấu hình các địa chỉ MAC an toàn kiểu kết dính bằng cách sử - dụng lệnh switchport port-security mac-address sticky trên một cổng nào đó của switch, địa chỉ này được thêm vào bảng địa chỉ và file cấu hình running-config. Nếu sau đó, ta vô hiệu hóa chế độ bảo mật cổng của switch trên cổng này, các địa chỉ
  3. MAC an toàn kiểu kết dính vẫn còn tồn tại trong file cấu hình running- config. Nếu ta ghi các địa chỉ MAC an toàn kiểu kết dính vào file cấu hình - startup-config, khi switch khởi động lại hoặc cổng bị tắt rồi được bật lại, cổng này không cần học lại các địa chỉ này. Nếu ta không ghi lại các địa chỉ này vào file cấu hình startup-config, chúng sẽ bị mất trong tình huống trên. Nếu ta tắt chế độ học kiểu kết dính và nhập lệnh switchport port- - security mac-address stick vào chế độ cấu hfinh cổng, switch sẽ hiện ra thông báo lỗi và địa chỉ MAC này sẽ không thể thêm vào file cấu hình running-config.  Các chế độ vi phạm bảo mật (Security Violation Modes) Chế độ vi phạm bảo mật sẽ xảy ra khi có một trong các tình huống sau xảy ra: Số lượng tối đa các địa chỉ MAC an toàn cho một cổng đã được thêm - vào bảng địa chỉ và một máy trạm có một địa chỉ MAC không có trong danh sách các địa chỉ MAC an toàn ứng với cổng đó trong bảng địa chỉ gửi gói tin vào cổng đó. Một địa chỉ được học hoặc được cấu hình trên một cổng bảo mật - được tìm thấy trên một cổng bảo mật khác trong cùng một VLAN Ta có thể cấu hình một cổng với một trong ba cơ chế vi phạm bảo mật trên cơ sở các hành động mà các cơ chế vi phạm bảo mật sẽ thực hiện. Bảo mật (Protect): Khi số lượng các địa chỉ MAC an toàn đạt đến giới - hạn tối đa được cho phép trên cổng, các gói tin với các địa chỉ MAC nguồn không xác định sẽ bị hủy trừ khi ta xóa bớt số lượng các địa chỉ MAC an toàn đã được cấu hình từ trước hoặc tăng số lượng địa chỉ MAC an toàn tối đa cho cổng. Với chế độ này, switch sẽ không thông báo về sự kiện vi phạm bảo mật này. Hạn chế (Restrict): Khi số lượng các địa chỉ MAC an toàn đạt đến - giới hạn tối đa được cho phép trên cổng, các gói tin với các địa chỉ MAC nguồn không xác định sẽ bị hủy trừ khi ta xóa bớt số lượng các địa chỉ MAC an toàn đã được cấu hình từ trước hoặc tăng số lượng
  4. địa chỉ MAC an toàn tối đa cho cổng. Với chế độ này, switch sẽ thông báo về sự kiện vi phạm bảo mật này. Thông thường, nó sẽ gửi thông báo SNMP và ghi lại sự kiện này vào nhật ký. Bộ đếm vi phạm sẽ tăng giá trị lên 1 đơn vị Tắt (Shutdown): Trong chế độ này, một cổng gặp chế độ vi phạm bảo - mật sẽ ngay lập tức chuyển vào chế độ lỗi và đèn LED của cổng sẽ bị tắt tương tự như việc sử dụng lệnh shutdown trên cổng. Sau đó switch sẽ gửi thông báo SNMP, ghi lại sự kiện này vào nhật ký và tăng giá trị bộ đếm vi phạm lên 1 đơn vị MỘT SỐ LỆNH CẤU HÌNH BẢO MẬT CỔNG TRÊN SWITCH  Chế độ bảo mật mặc định của cổng Chế độ bảo mật mặc định của cổng là chế độ Disable (tắt)  Cấu hình bảo mật cổng kiểu động Switch(config)#interface fa0/5 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 3 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown}  Cấu hình bảo mật cổng kiểu kết dính Switch(config)#interface fa0/5 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 3 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security violation {protect | restrict | shutdown}
  5.  Cấu hình bảo mật cổng kiểu tĩnh Switch(config)#interface fa0/5 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 3 Switch(config-if)#switchport port-security mac-address Switch(config-if)#switchport port-security violation {protect | restrict | shutdown} Trong đó: là địa chỉ MAC gán tĩnh vào cổng  Gán cứng một địa chỉ MAC vào một cổng của switch Switch(config)#mac-address-table static vlan {1-4096, ALL} interface interface-id  Một số lệnh xem cấu hình bảo mật cổng Lệnh Ý nghĩa TT Xem bảng địa chỉ 1 Switch#show mac-address-table MAC của switch Xem cấu hình bảo 2 Switch#show port-security mật các cổng Xem cấu hình bảo Switch#show port-security interface fa0/1 3 mật một cổng cụ thể
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
10=>1