Quản lý port switch và port security

Go down

Quản lý port switch và port security

Post  telecom1988 on Mon Jul 06, 2009 7:44 pm

1. Quản lý Port

1.1 Tính dễ bị tổn thương

Một hệ điều hành của Switch Cisco có quản lý port, dây Console(line con 0) mà nó cung cấp sự truy xuất trực tiếp đến Switch cho sự quản trị. Nếu sự quản lý port được cài đặt quá lỏng lẻo thì Switch có thể bị ảnh hưởng bởi các cuộc tấn công.Và chi tiết về tính dễ bị tổn thương của việc quản lý Port bao gồm những phần sau đây:

Một Switch với 1 management port sử dụng tài khoản user mặc định cho phép kẻ tấn công cố găng tạo kết nối sử dụng 1 hoặc nhiều tài khoản mặc định được biết đến(administrator, root, security)
Nếu 1 Switch có 1 management port mà không cài password, password mặc định hay password yếu, khi đó 1 kẻ tấn công có thể đoán được pass hay crack chúng và lấy hoặc thay đổi thông tin trên Switch. Cũng vậy việc cài cùng password trên nhiều Switch cung cấp 1 điểm đơn của sự hỏng hóc. Kẻ tấn công, người mà thỏa hiệp được 1 Switch sẽ thỏa hiệp được với các Switch còn lại. Cuối cùng việc cài đặt cùng 1 password cho cả management port và những cài đặt khác trên Switch cho phép sự thỏa hiệp tiềm tàng bởi vì password được cài đặt ở dạng Plaintext có thể bị thu thập trong 1 mạng mà có người phân tích mạng. Kẻ tấn công người mà thu thập được password telnet từ traffic mạng có thể truy cập vào management port của Switch lúc khác.

Nếu một kết nối đến Switch sử dụng management port mà không cài đặt thời gian Timeout hoặc cài đặt khoảng thời gian Timeout lớn (lớn hơn 9 phút), khi đó kết nối sẽ sẵn sang cho 1 kẻ tấn công hack chúng.
Một Banner đưa ra ghi chú cho bất kỳ người nào kết nối đến Switch mà nó thì được chứng thực và sẽ bị theo dõi cho bất kỳ hành động nào.Toà án sẽ bỏ qua trường hợp chống lại người mà tấn công vào một hệ thong không có Banner cảnh báo.

1.2 Giải pháp

Hầu hêt phương pháp bảo đảm cho việc quản trị Switch thì nằm ngoài việc quản lý nhóm.
Phương pháp này không trộn lẫn việc quản lý traffic với việc thao tác traffic.Việc quản lý ngoài nhóm sủ dụng dành cho những hệ thống và truyền thông. Sơ đồ 1 chỉ ra 1 dây Serial kết nối đến Server và chia việc quản lý các máy tính ngoài cổng Console kết nối đến các port của Switch.. Giải pháp này thỉ đủ cho nhiều chức năng quản lý. Tuy nhiên Network-based, ngoài việc truy xuẫt thích hợp cho những chức năng chính xác(cập nhật IOS), nó còn bao gồm việc sử dụng Virtual Local Area Network (VLAN) và được miêu tả trong giải pháp cho VLAN 1 trong phần Virtual Local Area Networks


Giải pháp sau đây sẽ làm giảm tính dễ bi tổn thương khi sử dụng dây Console trên mỗi Switch:
Cài đặt một tài khoản duy nhất cho mỗi nhà quản trị khi truy xuất bằng dây Console. Lệnh sau chỉ ra 1 ví dụ về việc tạo 1 tài khoản ở cấp privilged và cài đặt cấp privilege thành mặc định(0) cho dây Console . Ỏ câp privileged 0 là cấp thấp nhât của Switch Cisco và cho phép cài đặt rất ít lệnh. Người quản trị có thể làm tăng cấp privileged lên 15 bằng câu lệnh enable. Cũng vậy, tài khoản này cũng có thể được truy xuất từ dây virtual terminal.


Switch(config)# username ljones privilege 0
Switch(config)# line con 0
Switch(config-line)# privilege level 0


Sử dụng những dòng hướng dẫn sau để tạo password an toàn: password ít nhất là 8 ký tự; không là những từ cơ bản; và thêm vào ít nhẩt 1 ký tự đặc biệt hay số như:!@#$%^&*()|+_...; thay đổi password ít nhất là 3 tháng 1 lần. Sử dụng


Switch(config)# username ljones secret g00d-P5WD
Switch(config)# line con 0
Switch(config-line)# login local



2.Port Security

2.1 Tính dễ bị tổn thương

Những interface lớp 2 của Cisco được hiểu như là các Port. Một Switch mà không cung cấp khả năng bảo vệ Port, thì cho phép kẻ tấn công tấn công vào hệ thống không dùng đến, enable Port, thu thập thông tin hoặc tấn công. Một Switch có thể cấu hình để hoạt động giống như Hub. Điều đó có nghĩa là mỗi hệ thống kết nối đến Switch mộ cách tiềm tàng có thể thấy tất cả các traffic di chuyển qua Switch để tới các hệ thống kết nối đến Switch. Như vậy 1 kẻ tấn công có thể thu thập traffic chứa đựng các thông tin như: Username, Passord, những thông tin cấu hình và hệ thống trên mạng…

2.2 Giải Pháp

Port Security giới hạn số lượng của dịa chỉ MAC hợp lệ được cho phép trên Port. Tất cả những port trên Switch hoặc những interface nên được đảm bảo trước khi triển khai.Theo cách này, những đặt tính được cài đặt hoặc gỡ bỏ như là những yêu cầu để thêm vào hoặc làm dài thêm những đặt tính 1 cách ngẫu nhiên hoặc là những kết quả bảo mật vốn dã có sẵn.
Nên nhớ rằng Port Security không sử dụng cho những Port access động hoặc port đích cho người phân tích Switch Port. Và cho đến khi đó Port security để bật tính năng Port trên Switch nhiều nhất có thể.
Ví dụ sau cho thấy dòng lệnh shutdonw một interface hoặc một mảng các interface:
Single interface:
Switch(config)# interface fastethernet 0/1
Switch(config-if)# shutdown

Range of interfaces:

Switch(config)# interface range fastethernet 0/2 - 8
Switch(config-if-range)# shutdown


Port Security có khả năng làm thay đổi sự phụ thuộc trên chế độ Switch và phiên bản IOS. Mỗi Port hoạt động có thể bị hạn chế bởi số lượng tối đa địa chỉ MAC với hành dộng lựa chọn cho bất kì sự vi phạm nào. Những vi phạm này có thể làm drop gói tin ( violation protect ) hoặc drop và gửi thông điệp (restrict or action trap) hoặc shutdown port hoàn toàn( violation shutdown or action shutdown). Shutdown là trạng thái mặc định , đảm bảo hầu hết protect và restrict cả hai đều yêu cầu theo dõi địa chỉ MAC mà nó đã được quan sát và phá huỷ tài nguyên xử lí hơn là shutdown. Địa chỉ MAC được thu thập một cách tự động với vài Switch hỗ trợ Entry tĩnh và

Sticky Entry. Entry tĩnh thì được cấu hình bằng tay để thêm vào trên mỗi port (e.g., switchport port-security mac- address mac- address) và được luư lại trong file cấu hình.. Sticky Entry đ ược xem như là Entry tĩnh, ngoại nó được học một cách tự động . Những Entry động tồn tại được chuyển sang Sticky Entry sau khi sử dụng câu lệnh (switchport port-security mac- address Stickey). Những Entry động cũ được luư lại trong file cấu hình (switchport port-security mac- address Stickey mac- address) n ếu file c ấu h ình d ược luư v à chạy th ì đ ịa ch ỉ MAC kh ông c ần h ọc l ại l ần n ữacho vi ệc restart l ần sau. V à c ũng v ậy m ột s ố l ư ợng t ối đa đ ịa ch ỉ MAC c ó th ể đ ư ợc c ài đ ặt b ằng c âu l ệnh sau(e.g.,switchport port-security maximun value) .
Người quản trị có thể bật tính năng cấu hình địa chỉ MAC tĩnh trên các port bằng cách sử dụng câu lệnh switchport port-security aging static. Lệnh aging time (e.g., switchport port-security aging time time) có thể đặt dưới dạng phút. Đồng thời dòng lệnh aging có thể đặt cho sự không hoạt động (e.g., switchport port-security aging type inactivity), điều này có nghĩa là độ tuổi các địa chỉ đó được cấu hình trên port ở ngoài nếu không có dữ liệu lưu thông từ những địa chỉ này cho khai báo từng phần bằng dòng lệnh aging time. Đặt tính này cho phép tiếp tục truy cập đến sô lượng những dịa chỉ giới hạn đó.
Ví dụ:
+ Những dòng lệnh sau dùng để giới hạn tĩnh một cổng trên Catalyst Switch 3550.

Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address 0000.0200.0088
Switch(config-if)# switchport port-security aging time 10
Switch(config-if)# switchport port-security aging type inactivity

+ Những dòng lệnh sau để giới hạn động một cổng trên Catalyst Switch 3550. Chú ý những dòng lệnh aging không được sử dụng với những địa chỉ sticky MAC.

Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address sticky

Chú ý khi có sự vi phạm port security xảy ra thì ngay lập tức nó sẽ trở thành trạng thái error-disable và đèn LED sẽ tắt. Switch cũng sẽ gửi một thông điệp SNMP trap, logs (syslog) và làm tăng lên sự phản đối của xâm nhập. Khi một port o trạng thái error-disable, người quản trị có thể đưa nó ra khỏi trạng thái này bằng cách sử dụng dòng lệnh ở chế độ toàn cục errdisable recovery cause psecure-violation hoặc dòng lệnh shutdown và no shutdown trên cổng được cấu hình.
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: Quản lý port switch và port security

Post  telecom1988 on Mon Jul 06, 2009 7:44 pm


Có một số vấn đề quan trọng phát sinh khi cấu hình port security trên port kết nối đến một IP phone. Mặt dù port security không được sử dụng trên Trunk port, địa chỉ MAC phản đối việc xem xét viec gán VLAN của gói tin đến. Cùng IP phone gửi gói tin ra 2 Vlan sẽ có 2 bảng entries được chia ra trong bảng MAC vì thế nó sẽ đếm 2 lần lên đến maximum MAC.
Khi IP Phone có thể sử dụng 2 gói tin không được gán vào (untagged, e.g., Layer 2 CDP protocol ) và gói tin Voice Vlan có gắn(tagged); địa chỉ MAC của IP Phone sẽ được thấy trên cả 2 native VLAN và Voice VLAN. Vì vậy nó sẽ được đếm 2 lần. Việc đặt tối đa địa chỉ MAC cho 1 port kết nối đến 1 IP Phone cho trường hợp nhiều máy tính tấn công vào IP Phone. Nhửng máy tình truyền hợp lệ sử dụng nhiều địa chỉ MAC phải đựơc cấu hình để tính toán.
Một khả năng mới để bảo đảm cho những port của Switch nhanh hơn và thích hộp hơn đó là macros. Macros cho phép nhóm những port sẵn sàng để mà những lệnh đó được chấp nhận bằng cấu hình tay. Bất kì dòng lệnh nào được thêm vào bẳng việc sử dụng kí tự “#” tại đấu mỗi dòng lệnh và kết thúc bởi kí tự”@”.
The following example creates a strict security macro called unused to secure the ports, or interfaces, on
a 3550 switch
Ví dụ sau đây tạo ra sự ngăn cản security macro gọi là unused để bảo đảm trên những port hoặc trên những interface trên Switch 3550.

Switch(config)# macro name unused
macro description unused
shutdown
description *** UNUSED Port ***
no ip address switchport
# Set secure defaults for access mode switchport mode access
switchport access vlan 999
switchport nonegotiate
# Set secure defaults for trunking mode switchport trunk encapsulation dot1q switchport trunk native vlan 999 switchport trunk allowed vlan none
# Only learn source MAC addresses switchport block multicast switchport block unicast
# Enable MAC control and set secure options
switchport port-security
switchport port-security maximum 1
switchport port-security aging time 10
switchport port-security aging type inactivity
# Apply any switch-wide access-lists
ip access-group ip-device-list in
mac access-group mac-device-list in
# Set secure defaults for misc. flags and protocols mls qos cos override
dot1x port-control force-unauthenticated
storm-control broadcast level 0.00 storm-control multicast level 0.00 storm-control unicast level 0.00
no cdp enable
# Default Spanning-tree to secure host settings spanning-tree portfast
spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root
@

Sau khi tạo sự găn cấm security macro, unused, áp đặt macro trên tất cả các port của Switch như sự bảo đảm ranh giới với các dòng lệnh sau.

Switch(config)# interface range fasteth0/1 – 24 , giga0/1 – 2
Switch(config-if-range)# macro apply unused
Sau khi macros được xây dựng tính bảo đảm dựa trên unused macro được thiết lập để bật tính năng bảo mật đủ dể hỗ trợ tất cả các hệ thống theo mong đợi..
Switch(config)# macro name host
# Apply macro 'unused' first!
macro description host
# Set the port for a PC host
dot1x port-control auto
no storm-control broadcast level no storm-control multicast level no storm-control unicast level
no shutdown
# The following are recommended port specific commands
#description Host <10.1.10.3>
#switchport access vlan <10>
#switchport trunk native vlan <10>
@

Switch(config)# macro name ipphone
# Apply macro 'unused' first!
macro description ipphone
#
# Set the port for an ipphone without attached PC host switchport port-security maximum 2
no mls qos cos override
mls qos trust device cisco-phone
mls qos trust dscp
no storm-control broadcast level no storm-control multicast level no storm-control unicast level cdp enable
no shutdown
#
# The following are recommended port specific commands
#description IP PHONE <x1013>
#switchport voice vlan <101>
@
Switch(config)# macro name ipphone-host
# Apply macro 'unused' first!
macro description ipphone & host
#
# Set the port for an ipphone with attached PC host switchport port-security maximum 3
no mls qos cos override
mls qos trust device cisco-phone
mls qos trust dscp
dot1x port-control auto
no storm-control broadcast level no storm-control multicast level no storm-control unicast level cdp enable
no shutdown
#
# The following are recommended port specific commands
#description IP PHONE <x1014> & HOST <10.1.20.5>
#switchport access vlan <20>
#switchport trunk native vlan <20>
#switchport voice vlan <101>
@

Việc chấp nhận những macros sẽ chỉ làm thay đổi đến tính bảo đảm ở những biên được yêu cấu cho những port hỗ trợ hoàn toàn những hệ thống thích hợp.
Ví dụ sau chỉ ra làm thế nào để dùng các macro lần trước để cấu hình cho những port access của những Switch từ những mô hình ví dụ cho mỗi hệ thống như: Host, Ip Phone và IP Phone với một cuộc tấn công host.
Host:

Switch(config)# interface fa0/1
Switch(config-if)# macro apply host
Switch(config-if)# description Host 10.1.10.3
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport trunk native vlan 10
Switch(config-if)# exit

IP phone:

Switch(config)# interface range fa0/2 - 4
Switch(config-if-range)# macro apply ipphone
Switch(config-if-range)# switchport voice vlan 101
Switch(config-if-range)# exit
Switch(config)# interface fa0/2
Switch(config-if)# description IP PHONE x1011
Switch(config)# interface fa0/3
Switch(config)# description IP PHONE x1012
Switch(config)# interface fa0/4
Switch(config-if)# description IP PHONE x1013
Switch(config-if)# exit


IP phone with an attached host:

Switch(config)# interface fa0/5
Switch(config-if)# macro apply ipphone-host
Switch(config-if)# description IP PHONE x1014 & Host 10.1.20.5
Switch(config-if)# switchport access vlan 20
Switch(config-if)# switchport trunk native vlan 20
Switch(config-if)# switchport voice vlan 101
Switch(config-if)# exit

Người quản trị có thể sử dụng câu lệnh macro trace để thay thế cho câu lệnh macro apply bởi vì câu lệnh macro trace có thể xác định debugging cùa macros. Thường xuyên sử dụng show parser macro description để biết macro cuối cùng được áp lên mỗi port.
Cuối cùng địa chỉ MAC tĩnh và port security áp trên mỗi port của Switch có thể trở thành gánh nặng cho người quản trị. Port Access Control List (PACLs) có thể cung cấp khả năng bảo mật tương tự như địa chỉ MAC tĩnh và port security và PACLs cũng cung cấp nhiều tính năng linh động và điều khiển.việc cho phép địa chỉ MAC và địa chỉ IP có thể được chia và dược xem xét từ phía của một Switch mở rộng. Tham chiếu đến phần ALCs đễ biết thêm chi tiết
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Port-Security for switch

Post  telecom1988 on Mon Jul 06, 2009 8:04 pm

B. PORT-SECURITY
Step 1: Enabling Port Security
Switch>enable
Switch#Configure Terminal
Switch(config)#interface fast 0/1 → interface can cau hinh port-security-chi o tren port accesss.
Switch(config-if)#switchport mode access → dua port vao che do access, day la che do bat buoc khi cau hinh
port-security.
Switch(config-if)#switchport port-security → kich hoat port-security.
Step 2: Secure MAC address
You can configure these types of secure MAC addresses:
• Static secure MAC addresses—These are manually configured by using the switchport port-security
mac-address mac-address interface configuration command, stored in the address table, and added to
the switch running configuration.
• Dynamic secure MAC addresses—These are dynamically learned, stored only in the address table, and
removed when the switch restarts.
• Sticky secure MAC addresses—These can be dynamically learned or manually configured, stored in the
address table, and added to the running configuration. If these addresses are saved in the configuration
file, the interface does not need to dynamically relearn them when the switch restarts. Although sticky
secure addresses can be manually configured, we do not recommend it.
Switch(config-if)#switchport port-security maximum value { The range is 1 to 132; the default is 1.}
Switch(config-if)#switchport port-security mac-address mac-address
Switch(config-if)#switchport port-security mac-address sticky
Switch#copy running-config startup-config
Verify
Switch#show port-security
Step 3: Action when Security Violations
• Shutdown: port se dua vao trang thai loi va bi shutdown
• Restric: port se van o trang thai up mac du dia chi MAC ket noi bi sai. Tuy nhien cac goi tin den port
nay deu bi huy, va se co mot ban thong bao ve so luong goi tin bi huy.
• Protect: port van up nhu restric, cac goi tin den port bi huy va khong co thong bao ve viec huy goi tin
nay.
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown}
Switch#debug port-security → quan sat su thay doi.
Step 4: Khoi phuc port ve trang thai binh thuong
Method 1: khoi phuc thu cong
Switch(config)#interface fast 0/1
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
Method 2: khoi phuc tu dong, thiet lap lenh de switch tu dong do tim loi va khoi phuc.
Step 1: Tien hanh tim loi tren port
Switch(config-if)#errdisable detect cause [all|cause-name]
+ all: co nghia la tim tat ca cac loi xay ra
+ cause-name: chi tim loi co ten la cause-name
Step 2 : Cho switch khoi phuc trang thai
Switch(config-if)#errdisable recovery cause all
Step 3: Cai dat thoi gian cho qua trinh khoi phuc. Default la 300 giay.
Switch(config-if)#errdisable recovery second








---------------
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: Quản lý port switch và port security

Post  Sponsored content


Sponsored content


Back to top Go down

Back to top


 
Permissions in this forum:
You cannot reply to topics in this forum