Nếu bạn giới hạn số lượng các địa chỉ MAC hợp lệ là 1 địa chỉ và gán địa chỉ này vào một cổng, máy tính gắn vào cổng này sẽ được đảm bảo truy cập vào toàn bộ băng thông của cổng và chỉ d
Trang 1SỬ DỤNG CƠ CHẾ BẢO MẬT CỔNG ĐỂ HẠN CHẾ TẤN CÔNG
Trong chủ đề này, bạn sẽ được học về các vấn đề cần suy xét khi cấu hình chế độ bảo mật cổng trên một switch Các lệnh cấu hình bảo mật cổng chính của Cisco IOS sẽ được đưa ra và tổng kết lại Bạn cũng sẽ được học
về cách cấu hình bảo mật cổng động và tĩnh
Bảo mật cổng (Port Security)
Một switch không được cấu hình cơ chế bảo mật cổng có thể cho phép những attacker tấn công vào hệ thống làm cho hệ thống không sử dụng được hoặc kích hoạt các cổng để thực hiện việc thu thập thông tin hoặc các thao tác tấn công khác Một switch có thể bị cấu hình để hoạt động như là một hub, có nghĩa là mọi hệ thống kết nối vào switch đều có khả năng xem mọi lưu lượng thông tin truyền qua switch tới mọi hệ thống khác kết nối vào switch Do đó, một attacker có thể thu thập dữ liệu về người dùng, mật khẩu hoặc thông tin cấu hình về các hệ thống trong mạng
Mọi cổng của switch có thể được bảo mật trước khi đưa switch vào sử dụng và triển khai trong mạng Bảo mật cổng sẽ hạn chế số lượng địa chỉ MAC hợp lệ được cho phép trên cổng đó Khi đó, cổng này sẽ không chuyển tiếp các gói tin có các địa chỉ nguồn không thuộc vào nhóm các địa chỉ đã được định nghĩa trước
Nếu bạn giới hạn số lượng các địa chỉ MAC hợp lệ là 1 địa chỉ và gán địa chỉ này vào một cổng, máy tính gắn vào cổng này sẽ được đảm bảo truy cập vào toàn bộ băng thông của cổng và chỉ duy nhất máy tính này với địa chỉ MAC xác định trước có thể kết nối thành công tới cổng này của switch
Nếu một cổng được cấu hình là cổng bảo mật và khi đạt đến số lượng tối đa các địa chỉ MAC an toàn, cơ chế vi phạm bảo mật sẽ xảy ra khi một máy trạm khác có địa chỉ MAC khác với bất kỳ một trong các địa chỉ MAC an toàn đã được xác định từ trước tìm cách truy cập vào cổng
Các loại địa chỉ MAC an toàn (Secure MAC Address Types)
Có một số cách để cấu hình kỹ thuật bảo mật cổng Phần sau đây sẽ mô tả các cách chúng ta có thể sử dụng để cấu hình bảo mật cổng trên một switch Cisco:
Trang 2 Địa chỉ MAC an toàn kiểu tĩnh (Static secure MAC addresses): Các
địa chỉ MAC được cấu hình trực tiếp bằng các sử dụng lệnh
switchport port-security mac-address <MAC> ở chế độ cấu hình cổng của switch Với cách làm này, địa chỉ MAC được lưu trữ trong bảng địa chỉ và được đưa vào file cấu hình running-config của switch
Địa chỉ MAC an toàn kiểu động (Dynamic secure MAC addresses):
Các địa chỉ MAC được học động và chỉ được lưu trữ vào trong bảng địa chỉ Với cách làm này, các địa chỉ MAC sẽ bị xóa khi switch khởi động lại
Địa chỉ MAC an toàn kiểu kết dính (Sticky secure MAC addresses): Ta có thể cấu hình một cổng để nó học động các địa chỉ
MAC và sau đó switch sẽ tự động ghi các địa chỉ MAC này vào file cấu hình running-config
Địa chỉ MAC an toàn kiểu kết dính
Địa chỉ MAC an toàn kiểu kết dính có một số đặc điểm sau:
- Khi ta cho phép chế độ học kiểu kết dính trên một cổng của switch bằng cách sử dụng lệnh switchport port-security mac-address sticky trên một cổng nào đó của switch, cổng này sẽ chuyển đổi mọi địa chỉ MAC an toàn kiểu động mà nó học động được từ cổng đó thành địa chỉ MAC an toàn kiểu kết dính và thêm mọi địa chỉ MAC kết dính vào file cấu hình running-config
- Nếu ta tắt chế độ học kết dính bằng cách sử dụng lệnh no switchport
port-security mac-address sticky trong chế độ cấu hình cổng, các
địa chỉ MAC an toàn kiểu kết dính vẫn tồn tại trong bảng địa chỉ nhưng chúng bị xóa khỏi file cấu hình running-config
- Khi ta cấu hình các địa chỉ MAC an toàn kiểu kết dính bằng cách sử dụng lệnh switchport port-security mac-address sticky
<MAC_Add> trên một cổng nào đó của switch, địa chỉ này được thêm
vào bảng địa chỉ và file cấu hình running-config Nếu sau đó, ta vô hiệu hóa chế độ bảo mật cổng của switch trên cổng này, các địa chỉ
Trang 3MAC an toàn kiểu kết dính vẫn còn tồn tại trong file cấu hình running-config
- Nếu ta ghi các địa chỉ MAC an toàn kiểu kết dính vào file cấu hình startup-config, khi switch khởi động lại hoặc cổng bị tắt rồi được bật lại, cổng này không cần học lại các địa chỉ này Nếu ta không ghi lại các địa chỉ này vào file cấu hình startup-config, chúng sẽ bị mất trong tình huống trên
- Nếu ta tắt chế độ học kiểu kết dính và nhập lệnh switchport port-security mac-address stick <MAC_Add> vào chế độ cấu hfinh cổng,
switch sẽ hiện ra thông báo lỗi và địa chỉ MAC này sẽ không thể thêm vào file cấu hình running-config
Các chế độ vi phạm bảo mật (Security Violation Modes)
Chế độ vi phạm bảo mật sẽ xảy ra khi có một trong các tình huống sau xảy
ra:
- Số lượng tối đa các địa chỉ MAC an toàn cho một cổng đã được thêm
vào bảng địa chỉ và một máy trạm có một địa chỉ MAC không có trong
danh sách các địa chỉ MAC an toàn ứng với cổng đó trong bảng địa
chỉ gửi gói tin vào cổng đó
- Một địa chỉ được học hoặc được cấu hình trên một cổng bảo mật
được tìm thấy trên một cổng bảo mật khác trong cùng một VLAN
Ta có thể cấu hình một cổng với một trong ba cơ chế vi phạm bảo mật trên
cơ sở các hành động mà các cơ chế vi phạm bảo mật sẽ thực hiện
hạn tối đa được cho phép trên cổng, các gói tin với các địa chỉ MAC nguồn không xác định sẽ bị hủy trừ khi ta xóa bớt số lượng các địa chỉ MAC an toàn đã được cấu hình từ trước hoặc tăng số lượng địa chỉ MAC an toàn tối đa cho cổng Với chế độ này, switch sẽ không thông báo về sự kiện vi phạm bảo mật này
giới hạn tối đa được cho phép trên cổng, các gói tin với các địa chỉ MAC nguồn không xác định sẽ bị hủy trừ khi ta xóa bớt số lượng các địa chỉ MAC an toàn đã được cấu hình từ trước hoặc tăng số lượng
Trang 4địa chỉ MAC an toàn tối đa cho cổng Với chế độ này, switch sẽ thông báo về sự kiện vi phạm bảo mật này Thông thường, nó sẽ gửi thông báo SNMP và ghi lại sự kiện này vào nhật ký Bộ đếm vi phạm sẽ tăng giá trị lên 1 đơn vị
mật sẽ ngay lập tức chuyển vào chế độ lỗi và đèn LED của cổng sẽ bị tắt tương tự như việc sử dụng lệnh shutdown trên cổng Sau đó switch sẽ gửi thông báo SNMP, ghi lại sự kiện này vào nhật ký và tăng giá trị bộ đếm vi phạm lên 1 đơn vị
MỘT SỐ LỆNH CẤU HÌNH BẢO MẬT CỔNG TRÊN SWITCH
Chế độ bảo mật mặc định của cổng
Chế độ bảo mật mặc định của cổng là chế độ Disable (tắt)
Cấu hình bảo mật cổng kiểu động
Switch(config)#interface fa0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 3
Switch(config-if)#switchport port-security violation {protect | restrict |
shutdown}
Cấu hình bảo mật cổng kiểu kết dính
Switch(config)#interface fa0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 3
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation {protect | restrict |
shutdown}
Trang 5 Cấu hình bảo mật cổng kiểu tĩnh
Switch(config)#interface fa0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 3
Switch(config-if)#switchport port-security mac-address <MAC_add>
Switch(config-if)#switchport port-security violation {protect | restrict |
shutdown}
Trong đó: <MAC_Add> là địa chỉ MAC gán tĩnh vào cổng
Gán cứng một địa chỉ MAC vào một cổng của switch
Switch(config)#mac-address-table static <MAC address> vlan {1-4096, ALL} interface interface-id
Một số lệnh xem cấu hình bảo mật cổng
1 Switch#show mac-address-table
Xem bảng địa chỉ MAC của switch
2 Switch#show port-security
Xem cấu hình bảo mật các cổng
3 Switch#show port-security interface fa0/1
Xem cấu hình bảo mật một cổng cụ thể