1. Trang chủ
  2. » Công Nghệ Thông Tin

sử dụng cơ chế bảo mật cổng để hạn chế tấn công switch

5 860 5

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 275,18 KB

Nội dung

Nếu bạn giới hạn số lượng các địa chỉ MAC hợp lệ là 1 địa chỉ và gán địa chỉ này vào một cổng, máy tính gắn vào cổng này sẽ được đảm bảo truy cập vào toàn bộ băng thông của cổng và chỉ d

Trang 1

SỬ DỤNG CƠ CHẾ BẢO MẬT CỔNG ĐỂ HẠN CHẾ TẤN CÔNG

Trong chủ đề này, bạn sẽ được học về các vấn đề cần suy xét khi cấu hình chế độ bảo mật cổng trên một switch Các lệnh cấu hình bảo mật cổng chính của Cisco IOS sẽ được đưa ra và tổng kết lại Bạn cũng sẽ được học

về cách cấu hình bảo mật cổng động và tĩnh

 Bảo mật cổng (Port Security)

Một switch không được cấu hình cơ chế bảo mật cổng có thể cho phép những attacker tấn công vào hệ thống làm cho hệ thống không sử dụng được hoặc kích hoạt các cổng để thực hiện việc thu thập thông tin hoặc các thao tác tấn công khác Một switch có thể bị cấu hình để hoạt động như là một hub, có nghĩa là mọi hệ thống kết nối vào switch đều có khả năng xem mọi lưu lượng thông tin truyền qua switch tới mọi hệ thống khác kết nối vào switch Do đó, một attacker có thể thu thập dữ liệu về người dùng, mật khẩu hoặc thông tin cấu hình về các hệ thống trong mạng

Mọi cổng của switch có thể được bảo mật trước khi đưa switch vào sử dụng và triển khai trong mạng Bảo mật cổng sẽ hạn chế số lượng địa chỉ MAC hợp lệ được cho phép trên cổng đó Khi đó, cổng này sẽ không chuyển tiếp các gói tin có các địa chỉ nguồn không thuộc vào nhóm các địa chỉ đã được định nghĩa trước

Nếu bạn giới hạn số lượng các địa chỉ MAC hợp lệ là 1 địa chỉ và gán địa chỉ này vào một cổng, máy tính gắn vào cổng này sẽ được đảm bảo truy cập vào toàn bộ băng thông của cổng và chỉ duy nhất máy tính này với địa chỉ MAC xác định trước có thể kết nối thành công tới cổng này của switch

Nếu một cổng được cấu hình là cổng bảo mật và khi đạt đến số lượng tối đa các địa chỉ MAC an toàn, cơ chế vi phạm bảo mật sẽ xảy ra khi một máy trạm khác có địa chỉ MAC khác với bất kỳ một trong các địa chỉ MAC an toàn đã được xác định từ trước tìm cách truy cập vào cổng

Các loại địa chỉ MAC an toàn (Secure MAC Address Types)

Có một số cách để cấu hình kỹ thuật bảo mật cổng Phần sau đây sẽ mô tả các cách chúng ta có thể sử dụng để cấu hình bảo mật cổng trên một switch Cisco:

Trang 2

Địa chỉ MAC an toàn kiểu tĩnh (Static secure MAC addresses): Các

địa chỉ MAC được cấu hình trực tiếp bằng các sử dụng lệnh

switchport port-security mac-address <MAC> ở chế độ cấu hình cổng của switch Với cách làm này, địa chỉ MAC được lưu trữ trong bảng địa chỉ và được đưa vào file cấu hình running-config của switch

Địa chỉ MAC an toàn kiểu động (Dynamic secure MAC addresses):

Các địa chỉ MAC được học động và chỉ được lưu trữ vào trong bảng địa chỉ Với cách làm này, các địa chỉ MAC sẽ bị xóa khi switch khởi động lại

Địa chỉ MAC an toàn kiểu kết dính (Sticky secure MAC addresses): Ta có thể cấu hình một cổng để nó học động các địa chỉ

MAC và sau đó switch sẽ tự động ghi các địa chỉ MAC này vào file cấu hình running-config

Địa chỉ MAC an toàn kiểu kết dính

Địa chỉ MAC an toàn kiểu kết dính có một số đặc điểm sau:

- Khi ta cho phép chế độ học kiểu kết dính trên một cổng của switch bằng cách sử dụng lệnh switchport port-security mac-address sticky trên một cổng nào đó của switch, cổng này sẽ chuyển đổi mọi địa chỉ MAC an toàn kiểu động mà nó học động được từ cổng đó thành địa chỉ MAC an toàn kiểu kết dính và thêm mọi địa chỉ MAC kết dính vào file cấu hình running-config

- Nếu ta tắt chế độ học kết dính bằng cách sử dụng lệnh no switchport

port-security mac-address sticky trong chế độ cấu hình cổng, các

địa chỉ MAC an toàn kiểu kết dính vẫn tồn tại trong bảng địa chỉ nhưng chúng bị xóa khỏi file cấu hình running-config

- Khi ta cấu hình các địa chỉ MAC an toàn kiểu kết dính bằng cách sử dụng lệnh switchport port-security mac-address sticky

<MAC_Add> trên một cổng nào đó của switch, địa chỉ này được thêm

vào bảng địa chỉ và file cấu hình running-config Nếu sau đó, ta vô hiệu hóa chế độ bảo mật cổng của switch trên cổng này, các địa chỉ

Trang 3

MAC an toàn kiểu kết dính vẫn còn tồn tại trong file cấu hình running-config

- Nếu ta ghi các địa chỉ MAC an toàn kiểu kết dính vào file cấu hình startup-config, khi switch khởi động lại hoặc cổng bị tắt rồi được bật lại, cổng này không cần học lại các địa chỉ này Nếu ta không ghi lại các địa chỉ này vào file cấu hình startup-config, chúng sẽ bị mất trong tình huống trên

- Nếu ta tắt chế độ học kiểu kết dính và nhập lệnh switchport port-security mac-address stick <MAC_Add> vào chế độ cấu hfinh cổng,

switch sẽ hiện ra thông báo lỗi và địa chỉ MAC này sẽ không thể thêm vào file cấu hình running-config

Các chế độ vi phạm bảo mật (Security Violation Modes)

Chế độ vi phạm bảo mật sẽ xảy ra khi có một trong các tình huống sau xảy

ra:

- Số lượng tối đa các địa chỉ MAC an toàn cho một cổng đã được thêm

vào bảng địa chỉ và một máy trạm có một địa chỉ MAC không có trong

danh sách các địa chỉ MAC an toàn ứng với cổng đó trong bảng địa

chỉ gửi gói tin vào cổng đó

- Một địa chỉ được học hoặc được cấu hình trên một cổng bảo mật

được tìm thấy trên một cổng bảo mật khác trong cùng một VLAN

Ta có thể cấu hình một cổng với một trong ba cơ chế vi phạm bảo mật trên

cơ sở các hành động mà các cơ chế vi phạm bảo mật sẽ thực hiện

hạn tối đa được cho phép trên cổng, các gói tin với các địa chỉ MAC nguồn không xác định sẽ bị hủy trừ khi ta xóa bớt số lượng các địa chỉ MAC an toàn đã được cấu hình từ trước hoặc tăng số lượng địa chỉ MAC an toàn tối đa cho cổng Với chế độ này, switch sẽ không thông báo về sự kiện vi phạm bảo mật này

giới hạn tối đa được cho phép trên cổng, các gói tin với các địa chỉ MAC nguồn không xác định sẽ bị hủy trừ khi ta xóa bớt số lượng các địa chỉ MAC an toàn đã được cấu hình từ trước hoặc tăng số lượng

Trang 4

địa chỉ MAC an toàn tối đa cho cổng Với chế độ này, switch sẽ thông báo về sự kiện vi phạm bảo mật này Thông thường, nó sẽ gửi thông báo SNMP và ghi lại sự kiện này vào nhật ký Bộ đếm vi phạm sẽ tăng giá trị lên 1 đơn vị

mật sẽ ngay lập tức chuyển vào chế độ lỗi và đèn LED của cổng sẽ bị tắt tương tự như việc sử dụng lệnh shutdown trên cổng Sau đó switch sẽ gửi thông báo SNMP, ghi lại sự kiện này vào nhật ký và tăng giá trị bộ đếm vi phạm lên 1 đơn vị

MỘT SỐ LỆNH CẤU HÌNH BẢO MẬT CỔNG TRÊN SWITCH

 Chế độ bảo mật mặc định của cổng

Chế độ bảo mật mặc định của cổng là chế độ Disable (tắt)

 Cấu hình bảo mật cổng kiểu động

Switch(config)#interface fa0/5

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 3

Switch(config-if)#switchport port-security violation {protect | restrict |

shutdown}

 Cấu hình bảo mật cổng kiểu kết dính

Switch(config)#interface fa0/5

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 3

Switch(config-if)#switchport port-security mac-address sticky

Switch(config-if)#switchport port-security violation {protect | restrict |

shutdown}

Trang 5

 Cấu hình bảo mật cổng kiểu tĩnh

Switch(config)#interface fa0/5

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 3

Switch(config-if)#switchport port-security mac-address <MAC_add>

Switch(config-if)#switchport port-security violation {protect | restrict |

shutdown}

Trong đó: <MAC_Add> là địa chỉ MAC gán tĩnh vào cổng

Gán cứng một địa chỉ MAC vào một cổng của switch

Switch(config)#mac-address-table static <MAC address> vlan {1-4096, ALL} interface interface-id

 Một số lệnh xem cấu hình bảo mật cổng

1 Switch#show mac-address-table

Xem bảng địa chỉ MAC của switch

2 Switch#show port-security

Xem cấu hình bảo mật các cổng

3 Switch#show port-security interface fa0/1

Xem cấu hình bảo mật một cổng cụ thể

Ngày đăng: 11/07/2014, 08:48

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w