Tình huống:
Bạn là Admin của một tổ chức, trong phòng ban A có 2 PC tương ứng cho 2 người làm việc
Nhưng có một số thành viên (bạn thành viên) dùng Laptop rồi cắm thêm HUB/Switch mới…admin khó kiểm soát
Bạn muốn đã đăng ký 2 PC thì chỉ có 2 PC đó hoạt động, nếu hơn phải báo cho Admin, nếu không mạng không hoạt động?
Tính năng Port Security trong Switch Cisco sẽ giúp bạn
Cơ chế của Switch là dựa vào bảng CAM (Content Addressable Memory) của Switch lưu trữ các địa chỉ MAC của các port
Và SW quy định tương ứng port nào thì chỉ có những MAC nào thì được phép hoạt động và tối đa có bao nhiêu MAC (do admin tự đặt)
Nếu vi phạm (tức là cắm PC khác, hay cắm quá số PC cho phép) sẽ bị shudown hoặc đưa Port vào trạng thái không hoạt động
Để Port đó hoạt động trở lại thì admin phải cấu hình để sau bao nhiêu thời gian tự Port bật lên.
Cách cấu hình:
Switch (config)#int e0/3
Switch (config-if)#switchport mode access
Switch (config-if)#switchport port-security
Kích hoạt chế độ Security của Port
Switch(config-if)#sw port-security maximum 2
(Quy đinh chỉ cho 2 PC là tối đa)
Switch(config-if)#sw port-security mac-address 0010.113D.8954
(PC 1 có MAC sau)
Switch(config-if)#sw port-security mac-address 00D0.BA47.5D57
(PC 2 có MAC sau)
Switch(config-if)#sw port-security violation shutdown
(Quy định hành động nếu vi phạm là tắt cổng)
Giả sử phòng A mua thêm Hub hoặc cắm thêm PC khác vào thì cổng F0/3 trên Switch phòng mạng sẽ bị tắt (như hình)
Với cách quy định này thì cổng tại Switch bị tắt và tại phòng A sẽ không còn mạng nữa. Liên hệ Admin
Admin sẽ truy xuất vào cổng F0/3 và No shutdown để kích hoạt cổng đó.
Bài viết chỉ đề cập ngắn gọn cho mục tiêu trên. Bạn muốn tìm hiểu thêm nhiều thuộc tính khác của Port Security, nữa xin đọc bài viết sau.
Xem thêm:
Bảng CAM (Content Addressable Memory) của Switch lưu trữ các địa chỉ MAC của các port, và các tham số VLAN trong switch. Không gian nhớ trong bảng CAM là hạn chế nên có nguy cơ tràn bảng này.
Kiểu tấn công làm tràn MAC sẽ cố gắng làm tràn bảng CAM của các switch, khi đó switch sẽ cư xử như các Hub.
Kiểu này cơ bản giống như lưu lượng từ nhiều máy tính được chuyển đến một port, nhưng thực tế là nó chỉ đến từ 1 máy giả mạo MAC. Switch nghĩ rằng các địa chỉ MAC từ các máy đó là hợp lệ và nó sẽ thêm vào bảng CAM.
Khi tràn bảng CAM, switch sẽ broadcast lưu lượng trên VLAN mà ko cần thông qua bảng CAM nữa.
Giải pháp ngăn chặn cơ bản nhất là cấu hình port security để giới hạn số lượng PC được phép kết nối vào switch.
0 Comments