PORT SECURITY
Như chúng ta đã biết những interface lớp 2 của Cisco được hiểu như là các Port. Một Switch mà không cung cấp khả năng bảo vệ Port, thì cho phép kẻ tấn công tấn công vào hệ thống không dùng đến, enable Port, thu thập thông tin hoặc tấn công. Một Switch có thể cấu hình để hoạt động giống như Hub. Điều đó có nghĩa là mỗi hệ thống kết nối đến Switch có thể thấy tất cả các traffic di chuyển qua Switch để tới các hệ thống kết nối đến Switch. Như vậy 1 kẻ tấn công có thể thu thập traffic chứa đựng các thông tin như: username, passord, những thông tin cấu hình…
Port Security giới hạn số lượng của địa
chỉ MAC hợp lệ được cho phép trên Port. Tất cả những port trên Switch
hoặc những interface nên được đảm bảo trước khi triển khai. Theo cách
này, những đặt tính được cài đặt hoặc gỡ bỏ như là những yêu cầu để thêm
vào hoặc làm dài thêm những đặt tính một cách ngẫu nhiên hoặc là những
kết quả bảo mật vốn đã có sẵn.
Bài Lab này sử dụng mô hình như sau:
Ta sẽ cấu hình hai phần chính sau:
- Cấu hình Port security manual.
- Cấu hình Port security sticky.
Để cấu hình trước hết ta đặt IP cho Vlan.
1. Cấu hình Port security manual.
Ở mô hình trên ta sẽ cấu hình Port security manual trên interface fa0/1 kết nối trực tiếp với PC1. Sau đó sẽ kết nối PC Hacker1 với interface đã cấu hình.
Thực hiện các lệnh sau:
- Đầu tiên chúng ta phải đưa port vào chế độ access, đây là chế độ bắt buộc cho port khi cấu hình port security.
- Khởi động port security.
- Tiếp đến chỉ định số lần địa chỉ MAC được thay đổi, số lần thay đổi tối thiểu là 1 tối đa là 1024.
- Chỉ định địa chỉ MAC cần được bảo mật trên interface. Với lệnh này khi host có địa chỉ MAC tương ứng sẽ hoạt động bình thường khi kết nối vào Switch trên interface này. Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên interface thì port sẽ vào trạng thái lỗi và hiển nhiên sẽ không có sự chuyển tiếp gói tin trên port này. Lưu ý: Để tìm địa chỉ MAC với PC ta sử dụng lệnh: ipconfig /all, đối với Router ta dùng lệnh: show run.
- Và cuối cùng chỉ định trạng thái của port sẽ thay đổi khi địa chỉ MAC kết nối bị sai. 3 trạng thái được chỉ định khi sử dụng lệnh này.
+ Shutdown: Port sẽ được đưa vào trạng thái lỗi và bị shutdown.
+ Retrict: Port sẽ vẫn ở trạng thái up, tuy nhiên các gói tin đến port này đều bị hủy và sẽ có một bản thông báo về số lượng gói tin bị hủy.
+ Protect: Port vẫn up như retrict, các gói tin đến port bị hủy và không có thông báo về việc hủy bỏ gói tin.
- Sau khi hoàn thành các lệnh ta cắm interface đã cấu hình vào PC Hacker1 tiến hành gửi một số gói tin lập tức trở thành trạng thái error-disable và đèn LED sẽ tắt.
2. Cấu hình Port security sticky.
- Tương tự như cấu hình port security manual, chúng ta cấu hình port security sticky cho interface fa0/2 cho PC2,PC3,PC4. Sử dụng PC Hacker2 để kiểm tra.
- Thực hiện các lệnh sau:
- Các câu lệnh sử dụng tương tự cấu hình port security manual, tuy nhiên mac-address sticky sẽ tự động nhận địa chỉ MAC mà ta không phải nhập vào.
- Khi ta cắm interface fa0/2 vào PC Hacker2 tiến hành gửi gói tin lập tức trở thành trạng thái error-disable và đèn LED sẽ tắt.
- Chúng ta có thể kiểm tra port-security bằng lệnh sau:
- Để khôi phục lại các interface sau khi sử dụng port-security chúng ta vào các interface dùng lệnh shutdown và sau đó no shutdown.
Bài Lab này sử dụng mô hình như sau:
- Cấu hình Port security manual.
- Cấu hình Port security sticky.
Để cấu hình trước hết ta đặt IP cho Vlan.
1. Cấu hình Port security manual.
Ở mô hình trên ta sẽ cấu hình Port security manual trên interface fa0/1 kết nối trực tiếp với PC1. Sau đó sẽ kết nối PC Hacker1 với interface đã cấu hình.
Thực hiện các lệnh sau:
- Khởi động port security.
- Tiếp đến chỉ định số lần địa chỉ MAC được thay đổi, số lần thay đổi tối thiểu là 1 tối đa là 1024.
- Chỉ định địa chỉ MAC cần được bảo mật trên interface. Với lệnh này khi host có địa chỉ MAC tương ứng sẽ hoạt động bình thường khi kết nối vào Switch trên interface này. Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên interface thì port sẽ vào trạng thái lỗi và hiển nhiên sẽ không có sự chuyển tiếp gói tin trên port này. Lưu ý: Để tìm địa chỉ MAC với PC ta sử dụng lệnh: ipconfig /all, đối với Router ta dùng lệnh: show run.
- Và cuối cùng chỉ định trạng thái của port sẽ thay đổi khi địa chỉ MAC kết nối bị sai. 3 trạng thái được chỉ định khi sử dụng lệnh này.
+ Shutdown: Port sẽ được đưa vào trạng thái lỗi và bị shutdown.
+ Retrict: Port sẽ vẫn ở trạng thái up, tuy nhiên các gói tin đến port này đều bị hủy và sẽ có một bản thông báo về số lượng gói tin bị hủy.
+ Protect: Port vẫn up như retrict, các gói tin đến port bị hủy và không có thông báo về việc hủy bỏ gói tin.
- Sau khi hoàn thành các lệnh ta cắm interface đã cấu hình vào PC Hacker1 tiến hành gửi một số gói tin lập tức trở thành trạng thái error-disable và đèn LED sẽ tắt.
2. Cấu hình Port security sticky.
- Tương tự như cấu hình port security manual, chúng ta cấu hình port security sticky cho interface fa0/2 cho PC2,PC3,PC4. Sử dụng PC Hacker2 để kiểm tra.
- Thực hiện các lệnh sau:
- Các câu lệnh sử dụng tương tự cấu hình port security manual, tuy nhiên mac-address sticky sẽ tự động nhận địa chỉ MAC mà ta không phải nhập vào.
- Khi ta cắm interface fa0/2 vào PC Hacker2 tiến hành gửi gói tin lập tức trở thành trạng thái error-disable và đèn LED sẽ tắt.
- Chúng ta có thể kiểm tra port-security bằng lệnh sau:
- Để khôi phục lại các interface sau khi sử dụng port-security chúng ta vào các interface dùng lệnh shutdown và sau đó no shutdown.
Nguồn tin: IPEXPERT
http://ipexpert.vn/edu/index.php/vi/news/Bai-huong-dan/PORT-SECURITY-123/
Không có nhận xét nào:
Đăng nhận xét