Các phương pháp cấu hình bảo mật cổng (Port Security) trên Switch Cisco

Thảo luận trong 'Mua bán thiết bị, dịch vụ mạng' bắt đầu bởi huyvu1321, 26/4/21.

  1. huyvu1321

    huyvu1321 Member

    Một trong những phương pháp hay nhất trong bảo mật mạng là thử và ngăn chặn các mối đe dọa bảo mật từ điểm vào của mạng LAN.
    Điều này có nghĩa là Switch có thể đóng một vai trò quan trọng trong an ninh mạng vì nó là điểm vào của mạng.

    Ví dụ, bảo mật cổng trên thiết bị chuyển mạch Cisco Switch có thể được sử dụng để ngăn chặn các cuộc tấn công làm ngập MAC hoặc ngăn các máy chủ không được ủy quyền kết nối với thiết bị chuyển mạch.

    Trong MAC-Flooding, kẻ tấn công có thể kết nối máy tính xách tay với một cổng Switch trống hoặc ổ cắm tường RJ45 trống, và anh ta có thể sử dụng các công cụ hack để tạo ra hàng triệu khung Ethernet với địa chỉ MAC nguồn giả và gửi chúng đến giao diện switch.

    Bộ chuyển mạch sẽ học các địa chỉ MAC này và khi bộ chuyển mạch đạt đến giới hạn học địa chỉ MAC, nó sẽ bắt đầu làm ngập tất cả lưu lượng truy cập đến tất cả các cổng của nó (tức là nó sẽ bắt đầu hoạt động như một trung tâm).

    Điều này có nghĩa là kẻ tấn công có thể nắm bắt được lưu lượng truy cập từ các thiết bị được kết nối.

    Giải pháp cho loại tấn công này (và cả các cuộc tấn công Lớp 2 khác) rất dễ dàng và đơn giản. Nó được gọi là Bảo mật cổng và bạn có thể sử dụng nó để giới hạn số lượng địa chỉ MAC trên mỗi giao diện hoặc thậm chí để chỉ định địa chỉ MAC nào có thể kết nối với mỗi cổng vật lý của bộ chuyển mạch.

    [​IMG]
    I. Cấu hình bảo mật cổng

    Bây giờ chúng ta hãy xem cấu hình bảo mật cổng cơ bản trên thiết bị chuyển mạch Switch Cisco

    1. Đặt giới hạn địa chỉ MAC cho mỗi cổng
    Dưới đây là một ví dụ về Bảo mật cổng trong đó chỉ cho phép một địa chỉ MAC trên giao diện g0 / 1.

    Switch-TGM(config)#int g0/1
    Switch-TGM(config-if)#switchport mode access
    Switch-TGM(config-if)#switchport port-security
    Switch-TGM(config-if)#switchport port-security maximum 1

    Bây giờ, giao diện g0 / 1 chỉ được phép học một địa chỉ MAC. Nếu giao diện này nhận thêm bất kỳ địa chỉ MAC nào, nó sẽ chuyển sang trạng thái bị tắt.

    2. Đặt tính năng lọc địa chỉ MAC trên mỗi cổng
    Bên cạnh việc đặt giới hạn tối đa về số lượng địa chỉ MAC, bạn cũng có thể sử dụng bảo mật cổng để lọc địa chỉ MAC. Trong ví dụ sau, tôi đã định cấu hình bảo mật cổng để nó chỉ cho phép địa chỉ MAC f1d3.2c9f.abdc.ccba kết nối với cổng cụ thể của bộ chuyển mạch.

    Switch-TGM(config)#int g0/1
    Switch-TGM(config-if)#switchport mode access
    Switch-TGM(config-if)#switchport port-security
    Switch-TGM(config-if)#switchport port-security mac-address f1d3.2c9f.abdc.ccba

    Bất kỳ thiết bị nào có địa chỉ MAC khác với địa chỉ này sẽ vi phạm quy tắc và giao diện sẽ chuyển sang trạng thái bị tắt.

    Bạn sẽ thấy thông báo bên dưới nếu có bất kỳ vi phạm nào.

    %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/1, putting Gi0/1 in err-disable state

    %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address f02d.3f4e.2dcc on port GigabitEthernet0/1.

    Như bạn có thể thấy từ thông báo nhật ký ở trên, thiết bị có địa chỉ MAC f02d.3f4e.2dcc đã vi phạm bảo mật cổng và giao diện ở trạng thái bị vô hiệu hóa.

    3. Đặt tính năng lọc địa chỉ MAC bằng lệnh sticky
    Có một cách rất hữu ích khác để lọc địa chỉ MAC. Thay vì nhập địa chỉ MAC theo cách thủ công, bạn có thể sử dụng lệnh " sticky ".
    Với lệnh này, switch sẽ tìm hiểu địa chỉ MAC đầu tiên được kết nối với giao diện và lưu nó để bảo mật cổng.
    Trước tiên, bạn phải xóa lệnh hiện có (nếu bạn đã định cấu hình lọc MAC thủ công):

    Switch-TGM(config-if)#no switchport port-security mac-address f1d3.2c9f.abdc.ccba
    Switch-TGM(config-if)#switchport port-security mac-address sticky

    Để xem địa chỉ MAC nào được học / “sticky” trên giao diện, hãy gõ lệnh “show run interface

    Switch-TGM#sh run int g0/1

    Building configuration. . .
    Current configuration : 544 bytes
    !
    interface GigabitEthernet0/1
    switchport mode access
    switchport port-security
    switchport port-security aging time 15
    switchport port-security mac-address sticky
    switchport port-security mac-address sticky f02d.3f4e.2dcc

    Như bạn có thể thấy ở trên, switch đã học địa chỉ MAC f02d.3f4e.2dcc và từ giờ trở đi chỉ địa chỉ này mới được phép kết nối với cổng này.

    II. Lệnh xác minh

    Bạn có thể thấy các cổng Switch đã chuyển sang trạng thái bị lỗi (do vi phạm bảo mật) bằng lệnh sau:

    Switch-TGM#show int status err-disabled

    Port Name Status Reason Err-disabled Vlans
    Gi0/1 err-disabled psecure-violation

    Bạn cũng có thể xác minh điều này với hiển thị “show interface g0/1”

    Switch-TGM#sh int g0/1

    GigabitEthernet0/1 is down, line protocol is down (err-disabled)

    Để đưa giao diện này ra khỏi trạng thái bị vô hiệu hóa, bạn phải rút phích cắm của thiết bị và chạy lệnh “shutdown” sau đó là “no shutdown”.

    Switch-TGM(config)#int g0/1
    Switch-TGM(config-if)#shut
    Switch-TGM(config-if)#no shut

    Để xác minh, hãy chạy các lệnh “show interface status err-disabled” hoặc “show interface g0/1

    III. Khôi phục lỗi bị vô hiệu hóa

    Bạn cũng có thể đặt khôi phục tự động trên cổng Switch bằng các lệnh sau:

    Switch-TGM(config)#errdisable recovery cause psecure-violation
    Switch-TGM(config)#interface g0/1
    Switch-TGM(config-if)#switchport port-security aging time 15

    Sau 15 phút, giao diện g0 / 1 sẽ tự động khôi phục từ trạng thái vô hiệu hóa. Hãy chắc chắn rằng trong 15 phút này, bạn giải quyết được vấn đề vì nếu không nó sẽ có một vi phạm khác và giao diện sẽ lại ở trạng thái vô hiệu hóa lần nữa.

    Và đừng quên bật khôi phục tự động ở chế độ cấu hình chung với lệnh "errdisable recovery cause psecure-violation ".

    IV. Các lệnh bảo mật khác

    Switch-TGM(config-if)#switchport port-security violation ?

    protect [Security violation protect mode]
    restrict [Security violation restrict mode]
    shutdown [Security violation shutdown mode]

    Có ba hành động cho mỗi cổng để thực hiện khi có vi phạm trên giao diện. Các tùy chọn này là “Shutdown” (mặc định), “Protect” và “Restrict”.

    Protect: Từ các địa chỉ MAC bị hạn chế, các khung sẽ bị xóa nhưng sẽ không có bất kỳ thông tin ghi nhật ký nào.

    Restrict: Từ các địa chỉ MAC bị hạn chế, các khung sẽ bị xóa nhưng bạn sẽ thấy thông tin ghi nhật ký và SNMP sẽ được gửi.

    Shutdown: Đây là hành động mặc định của giao diện. Nếu một giao diện nhận được các khung từ một địa chỉ MAC bị hạn chế, giao diện đó sẽ chuyển sang trạng thái vô hiệu hóa và thực tế sẽ bị tắt. Sẽ có ghi nhật ký và SNMP sẽ được gửi. Để khôi phục, bạn phải bật giao diện theo cách thủ công hoặc đặt khôi phục tự động.

    Đến đây chắc các bạn đã hiểu cách thực hiện công tác bảo mật trên cổng Switch Cisco

    Chúc các bạn thực hiện thành công.
     
    huyvu1321, 26/4/21
    #1

trang này