Kiến Thức An Ninh Mạng

Port Security trên Switch

Posted on by ChuyenGiaBaoMat

Tình huống:

Bạn là Admin của một tổ chức, trong phòng ban A có 2 PC tương ứng cho 2 người làm việc

Nhưng có một số thành viên (bạn thành viên) dùng Laptop rồi cắm thêm HUB/Switch mới…admin khó kiểm soát

Bạn muốn đã đăng ký 2 PC thì chỉ có 2 PC đó hoạt động, nếu hơn phải báo cho Admin, nếu không mạng không hoạt động?

port-security

Tính năng Port Security trong Switch Cisco sẽ giúp bạn

Cơ chế của Switch là dựa vào bảng CAM (Content Addressable Memory) của Switch lưu trữ các địa chỉ MAC của các port

Và SW quy định tương ứng port nào thì chỉ có những MAC nào thì được phép hoạt động và tối đa có bao nhiêu MAC (do admin tự đặt)

Nếu vi phạm (tức là cắm PC khác, hay cắm quá số PC cho phép) sẽ bị shudown hoặc đưa Port vào trạng thái không hoạt động

Để Port đó hoạt động trở lại thì admin phải cấu hình để sau bao nhiêu thời gian tự Port bật lên.

Cách cấu hình:

Switch (config)#int e0/3
Switch (config-if)#switchport mode access

Switch (config-if)#switchport port-security

Kích hoạt chế độ Security của Port

Switch(config-if)#sw port-security maximum 2

(Quy đinh chỉ cho 2 PC là tối đa)

Switch(config-if)#sw port-security mac-address 0010.113D.8954

(PC 1 có MAC sau)

Switch(config-if)#sw port-security mac-address 00D0.BA47.5D57

(PC 2 có MAC sau)

Switch(config-if)#sw port-security violation shutdown

(Quy định hành động nếu vi phạm là tắt cổng)

Giả sử phòng A mua thêm Hub hoặc cắm thêm PC khác vào thì cổng F0/3 trên Switch phòng mạng sẽ bị tắt (như hình)

Xem Thêm Bài Viết  Hướng dẫn cài đặt và cấu hình CSF chống DoS, chống Hack (ConfigServer & Firewall) – P2 Cấu hình

vipham-port-security

Với cách quy định này thì cổng tại Switch bị tắt và tại phòng A sẽ không còn mạng nữa. Liên hệ Admin

Admin sẽ truy xuất vào cổng F0/3 và No shutdown để kích hoạt cổng đó.

Bài viết chỉ đề cập ngắn gọn cho mục tiêu trên. Bạn muốn tìm hiểu thêm nhiều thuộc tính khác của Port Security, nữa xin đọc bài viết sau.

Xem thêm:

Bảng CAM (Content Addressable Memory) của Switch lưu trữ các địa chỉ MAC của các port, và các tham số VLAN trong switch. Không gian nhớ trong bảng CAM là hạn chế nên có nguy cơ tràn bảng này.

CAM

Kiểu tấn công làm tràn MAC sẽ cố gắng làm tràn bảng CAM của các switch, khi đó switch sẽ cư xử như các Hub.

Kiểu này cơ bản giống như lưu lượng từ nhiều máy tính được chuyển đến một port, nhưng thực tế là nó chỉ đến từ 1 máy giả mạo MAC. Switch nghĩ rằng các địa chỉ MAC từ các máy đó là hợp lệ và nó sẽ thêm vào bảng CAM.

Khi tràn bảng CAM, switch sẽ broadcast lưu lượng trên VLAN mà ko cần thông qua bảng CAM nữa.
Giải pháp ngăn chặn cơ bản nhất là cấu hình port security để giới hạn số lượng PC được phép kết nối vào switch.

Lượt xem (3565)

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *