Khắc phục sự cố bảo mật Control Plane

Một phần của tài liệu CÁC kỹ THUẬT KHẮC PHỤC sự cố MẠNG TIÊN TIẾN (Trang 83 - 85)

Hình 7-2 Topology hội tụ STP

Kiểm soát lưu lượng plane được xử lý bởi bộ xử lý tuyến đường của hệ

thống.

SVTH: Phan Thái Vương Trang 73

Denial-of-service (DoS) kết nối vào Control Plane có thể làm quá tải router CPU.

Hầu hết các tuyến giao thức hỗ trợ xác thực hàng xóm dựa trên bảng băm MD5.

Chứng thực cũng được hỗ trợ bởi giao thức dự phòng first-hop: Hot Standby Router Protocol (HSRP) như được giới thiệu ở trên, Virtual Router Redundancy Protocol (VRRP), Gateway Load Balancing Protocol (GLBP).

Sử dụng cơ chế xác thực để ngăn chặn các thiết bị trái phép và misdirecting hoặc lưu lượng ứng dụng black-holing.

IEEE 802.1d STP không có cơ chế xác thực.

Switch hỗ trợ tính năng như BPDU guard và Root Guard giúp ngăn ngừa sự

tương tác trái phép với Spanning Tree Protocol.

BPDU Guard: Tính năng BPDU Guard được enable trên các port được cấu hình tính năng PortFast của Cisco. Tính năng PortFast được enable trên port kết nối ra các thiết bị người dùng cuối, chẳng hạn như máy tính, và nó làm giảm lượng thời gian cần thiết cho các port vào trạng thái chuyển tiếp sau khi kết nối. Logic của PortFast là port kết nối đến thiết bị

người dùng cuối không có khả năng để tạo ra topology loop. Do đó, port có thể hoạt động sớm hơn bằng cách bỏ qua Listening của STP và trạng thái learning, theo mặc định mất 15 giây. Vì cổng PortFast này được kết nối với các thiết bị người dùng cuối, cổng này sẽ không bao giờ nhận

được BPDU. Do đó, nếu một port enable cho BPDU Guard nhận được BPDU , port là disabled.

Root Guard: Tính năng Root Guard được enable trên tất cả các port trong mạng và root bridge sẽ không xuất hiện (port không phải là port root, thì port đó trên mỗi switch được coi là gần nhất với root bridge). Nếu một port được cấu hình Root Guard nhận được một BPDU cao hơn.

Các giao thức DHCP và ARP có thể được bảo mật bằng cách enable tính năng DHCP snooping và dynamic ARP inspection (DAI)

SVTH: Phan Thái Vương Trang 74

Bảo vệ control plane có thể sử dụng Modular QoS CLI (MQC) để bảo vệ cơ

sở hạ tầng từ các cuộc tấn công DoS.

Điều quan trọng là biết tính năng bảo mật control plane được triển khai trong mạng và trên các thiết bị.

Lỗi cấu hình có thể gây ra các hoạt động của giao thức control plane giữa các thiết bị lỗi.

Một phần của tài liệu CÁC kỹ THUẬT KHẮC PHỤC sự cố MẠNG TIÊN TIẾN (Trang 83 - 85)

Tải bản đầy đủ (PDF)

(159 trang)