CHƢƠNG 2 : MỘT SỐ BIỆN PHÁP BẢO VỆ MẠNG
1. Switch
1.1. Password truy cập và port sercurity
Khi các cổng của switch khơng có biện pháp bảo vệ, bất kì ngƣời nào với 1 máy tính xách tay đều có thể kết nối vào mạng và có thể sử dụng tài nguyên của mạng. Một trong những cách ngăn chặn việc này đó là thiết lập
Static MAC Address. Tức là gắn cho mỗi cổng của switch tƣơng ứng với 1 địa chỉ MAC xác định. Khi đó chỉ có duy nhất máy tính có địa chỉ MAC nhƣ thế mới sử dụng đƣợc cổng này. Ta có thể cấu hình static MAC address theo các câu lệnh sau:
Switch#config terminal
Switch(config)#mac-address-table static 0010.7a60.1982 interface fa0/5 vlan VLAN1
Sau câu lệnh này địa chỉ MAC 0010.7a60.1982 sẽ đƣợc gắn vào cổng số 5 của switch.
Việc đặt static MAC address đôi khi gây ra lỗi do địa chỉ MAC khơng chính xác và mất cơng xác định địa chỉ MAC của từng máy tính. Vấn đề này sẽ đƣợc giải quyết bằng việc cấu hình port sercurity trên switch. Địa chỉ MAC đầu tiên mà switch học đƣợc từ cổng đƣợc cấu hình sẽ đƣợc lấy. Ngoài ra chúng ta có thể cấu hình đƣợc số địa chỉ MAC tối đa sẽ đƣợc gắn cho 1 cổng.
Switch(config)#interface fa0/5 Switch(config-if)#port sercurity
Switch(config-if)#port sercurity max-mac-count 10 Switch(config-if)#port sercurity action shutdown|trap
Ở đây đã cấu hình port sercurity cho cổng số 5 của switch. Số 10 có ý nghĩa là có tối đa 10 địa chỉ MAC đƣợc gán cho port này. Trong dòng lệnh cuối cùng, nếu sau action là trap thì khi có xâm nhập bất hợp pháp vào port sercurity thì switch sẽ báo cho ngƣời quản trị biết, cịn nếu là shutdown thì port này sẽ tự động treo không hoạt động nữa.
Khi có thay đổi trong mạng nhƣ là việc thêm, thay đổi hoặc bỏ các máy tính đi thì cần cấu hình lại và bỏ cấu hình cũ đi.
Việc đặt các password truy cập cũng phần nào chống lại đƣợc sự truy cập bất hợp pháp để điều khiển switch. Chúng ta có thể đặt password cho cổng consol, cho các phiên telnet…
Switch(config)#line configuration 0 Switch(config-line)#password bachkhoa Switch(config-line)#login Switch(config-line)#line vty 0 4 Switch(config-line)#password bachkhoa Switch(config-line)#login
Các câu lệnh trên đã đặt password cho cổng consol và các phiên telnet là bachkhoa. Muốn sử dụng thì cần phải nhập đúng password này.