Trunk Auto-Negotiation 1 Tính dễ bị tổn thương

Một phần của tài liệu ACisco.Press.Router.Security.Strategies.Jan.2008 ppt (Trang 28 - 29)

9 Virtual Local Area Network 1 Tổng quan

9.5Trunk Auto-Negotiation 1 Tính dễ bị tổn thương

9.5.1 Tính dễ bị tổn thương

Trunk là một kết nối điểm đến điểm giữa 2 port, 1 cách cơ bản trên những hệ thống mạng khác nhau mà nó dồn các gói tin từ nhiều VLAN. Cisco thực thi 2 loại Trunk: IEEE 802.1q là chuẩn mở, và ISL là chuẩn cảu Cisco.

Một port có thể sử dụng Dynamic Trunking Protocol (DTP) để 1 cách tự động thương lượng giao thức Trunking mà nó sẽ sử dụng, và làm thế nào để giao thức Trunking đó hoạt động. Mặc định 1 port Ethernet Cisco mặc định ở mode "dynamic desirable", mà nó cho phép 1 port 1 cách chủ động cố gắng chuyển 1 kết nối thành trunk. Mặc dù điều đó là không tốt. nhưng các thành viên VLAN của 1 đường Trunk mới thì luôn sẵn sàng trên Switch. Nếu 1 port kế bên ở mode DTP trở thành "trunk", "dynamic auto", hoặc "dynamic desirable", và nếu 2 Switch hỗ trợ 1 giao thức Trunking phổ biến, khi đó 1 kết nối sẽ trở thành 1 đường trunk 1 cách tự động. Việc mỗi Switch truy xuất hoàn toàn đến tất cả VLAN của các Switch kế bên. Những kẻ tấn công người mà có thể lợi dụng DTP có thể thu được những thông tin hữu ích từ những VLAN đó.

9.5.2 Giải pháp

Không sử dụng DTP nếu có thể. Đăng ký một Trunk interface cho 1 Native VLAN khác VLAN 1

Switch(config)# interface fastethernet 0/1 Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport trunk native vlan 998

Đặt những interface non-trunking ở mode non-trunking vĩnh viễn mà không có sự thương lượng

Switch(config)# interface fastethernet 0/1

Switch(config-if)# switchport mode access Switch(config-if)# switchport nonegotiate

Đặt những interface trunking ở mode Trụnking vĩnh viễn mà không có sự thương lượng Switch(config)# interface fastethernet 0/1

Switch(config-if)# switchport mode trunk Switch(config-if)# switchport nonegotiate

Specifically list all VLANs that are part of the trunk. Switch(config)# interface fastethernet 0/1

Switch(config-if)# switchport trunk allowed vlan 6, 10, 20, 101 Sử dụng 1 Native VLAn duy nhất cho mỗi đường Trunk trên Switch

Switch(config)# interface fastethernet 0/1

Switch(config-if)# switchport trunk native vlan 998 Switch(config)# interface fastethernet 0/2

Switch(config-if)# switchport trunk native vlan 997

Một phần của tài liệu ACisco.Press.Router.Security.Strategies.Jan.2008 ppt (Trang 28 - 29)

(65 trang)