SỬ DỤNG CƠ CHẾ BẢO MẬT CỔNG ĐỂ HẠN CHẾ TẤN CÔNG
Trong chủ đề này, bạn sẽ được học về các vấn đề cần suy xét khi cấu
hình chế độ bảo mật cổng trên một switch. Các lệnh cấu hình bảo mật cổng
chính của Cisco IOS sẽ được đưa ra và tổng kết lại. Bạn cũng sẽ được học
về cách cấu hình bảo mật cổng động và tĩnh.
 Bảo mật cổng (Port Security)
Một switch không được cấu hình cơ chế bảo mật cổng có thể cho
phép những attacker tấn công vào hệ thống làm cho hệ thống không sử
dụng được hoặc kích hoạt các cổng để thực hiện việc thu thập thông tin
hoặc các thao tác tấn công khác. Một switch có thể bị cấu hình để hoạt động
như là một hub, có nghĩa là mọi hệ thống kết nối vào switch đều có khả năng
xem mọi lưu lượng thông tin truyền qua switch tới mọi hệ thống khác kết nối
vào switch. Do đó, một attacker có thể thu thập dữ liệu về người dùng, mật
khẩu hoặc thông tin cấu hình về các hệ thống trong mạng
Mọi cổng của switch có thể được bảo mật trước khi đưa switch vào sử
dụng và triển khai trong mạng. Bảo mật cổng sẽ hạn chế số lượng địa chỉ
MAC hợp lệ được cho phép trên cổng đó. Khi đó, cổng này sẽ không chuyển
tiếp các gói tin có các địa chỉ nguồn không thuộc vào nhóm các địa chỉ đã
được định nghĩa trước.
Nếu bạn giới hạn số lượng các địa chỉ MAC hợp lệ là 1 địa chỉ và gán
địa chỉ này vào một cổng, máy tính gắn vào cổng này sẽ được đảm bảo truy
cập vào toàn bộ băng thông của cổng và chỉ duy nhất máy tính này với địa
chỉ MAC xác định trước có thể kết nối thành công tới cổng này của switch.
Nếu một cổng được cấu hình là cổng bảo mật và khi đạt đến số lượng
tối đa các địa chỉ MAC an toàn, cơ chế vi phạm bảo mật sẽ xảy ra khi một
máy trạm khác có địa chỉ MAC khác với bất kỳ một trong các địa chỉ MAC an
toàn đã được xác định từ trước tìm cách truy cập vào cổng.
 Các loại địa chỉ MAC an toàn (Secure MAC Address Types)

Có một số cách để cấu hình kỹ thuật bảo mật cổng. Phần sau đây sẽ mô tả
các cách chúng ta có thể sử dụng để cấu hình bảo mật cổng trên một switch
Cisco:



 Địa chỉ MAC an toàn kiểu tĩnh (Static secure MAC addresses): Các
địa chỉ MAC được cấu hình trực tiếp bằng các sử dụng lệnh
switchport port-security mac-address <MAC> ở chế độ cấu hình
cổng của switch. Với cách làm này, địa chỉ MAC được lưu trữ trong
bảng địa chỉ và được đưa vào file cấu hình running-config của switch.
 Địa chỉ MAC an toàn kiểu động (Dynamic secure MAC addresses):
Các địa chỉ MAC được học động và chỉ được lưu trữ vào trong bảng
địa chỉ. Với cách làm này, các địa chỉ MAC sẽ bị xóa khi switch khởi
động lại.
 Địa chỉ MAC an toàn kiểu kết dính (Sticky secure MAC
addresses): Ta có thể cấu hình một cổng để nó học động các địa chỉ
MAC và sau đó switch sẽ tự động ghi các địa chỉ MAC này vào file cấu
hình running-config.

 Địa chỉ MAC an toàn kiểu kết dính
Địa chỉ MAC an toàn kiểu kết dính có một số đặc điểm sau:
- Khi ta cho phép chế độ học kiểu kết dính trên một cổng của switch
bằng cách sử dụng lệnh switchport port-security mac-address
sticky trên một cổng nào đó của switch, cổng này sẽ chuyển đổi mọi
địa chỉ MAC an toàn kiểu động mà nó học động được từ cổng đó
thành địa chỉ MAC an toàn kiểu kết dính và thêm mọi địa chỉ MAC kết
dính vào file cấu hình running-config.
- Nếu ta tắt chế độ học kết dính bằng cách sử dụng lệnh no switchport
port-security mac-address sticky trong chế độ cấu hình cổng, các

địa chỉ MAC an toàn kiểu kết dính vẫn tồn tại trong bảng địa chỉ nhưng
chúng bị xóa khỏi file cấu hình running-config.
- Khi ta cấu hình các địa chỉ MAC an toàn kiểu kết dính bằng cách sử
dụng lệnh switchport port-security mac-address sticky
<MAC_Add> trên một cổng nào đó của switch, địa chỉ này được thêm
vào bảng địa chỉ và file cấu hình running-config. Nếu sau đó, ta vô
hiệu hóa chế độ bảo mật cổng của switch trên cổng này, các địa chỉ


MAC an toàn kiểu kết dính vẫn còn tồn tại trong file cấu hình running-
config.
- Nếu ta ghi các địa chỉ MAC an toàn kiểu kết dính vào file cấu hình
startup-config, khi switch khởi động lại hoặc cổng bị tắt rồi được bật
lại, cổng này không cần học lại các địa chỉ này. Nếu ta không ghi lại
các địa chỉ này vào file cấu hình startup-config, chúng sẽ bị mất trong
tình huống trên.
- Nếu ta tắt chế độ học kiểu kết dính và nhập lệnh switchport port-
security mac-address stick <MAC_Add> vào chế độ cấu hfinh cổng,
switch sẽ hiện ra thông báo lỗi và địa chỉ MAC này sẽ không thể thêm
vào file cấu hình running-config.

 Các chế độ vi phạm bảo mật (Security Violation Modes)
Chế độ vi phạm bảo mật sẽ xảy ra khi có một trong các tình huống sau xảy
ra:
- Số lượng tối đa các địa chỉ MAC an toàn cho một cổng đã được thêm
vào bảng địa chỉ và một máy trạm có một địa chỉ MAC không có trong
danh sách các địa chỉ MAC an toàn ứng với cổng đó trong bảng địa
chỉ gửi gói tin vào cổng đó.
- Một địa chỉ được học hoặc được cấu hình trên một cổng bảo mật
được tìm thấy trên một cổng bảo mật khác trong cùng một VLAN

Ta có thể cấu hình một cổng với một trong ba cơ chế vi phạm bảo mật trên
cơ sở các hành động mà các cơ chế vi phạm bảo mật sẽ thực hiện.
- Bảo mật (Protect): Khi số lượng các địa chỉ MAC an toàn đạt đến giới
hạn tối đa được cho phép trên cổng, các gói tin với các địa chỉ MAC
nguồn không xác định sẽ bị hủy trừ khi ta xóa bớt số lượng các địa chỉ
MAC an toàn đã được cấu hình từ trước hoặc tăng số lượng địa chỉ
MAC an toàn tối đa cho cổng. Với chế độ này, switch sẽ không thông
báo về sự kiện vi phạm bảo mật này.
- Hạn chế (Restrict): Khi số lượng các địa chỉ MAC an toàn đạt đến
giới hạn tối đa được cho phép trên cổng, các gói tin với các địa chỉ
MAC nguồn không xác định sẽ bị hủy trừ khi ta xóa bớt số lượng các
địa chỉ MAC an toàn đã được cấu hình từ trước hoặc tăng số lượng


địa chỉ MAC an toàn tối đa cho cổng. Với chế độ này, switch sẽ thông
báo về sự kiện vi phạm bảo mật này. Thông thường, nó sẽ gửi thông
báo SNMP và ghi lại sự kiện này vào nhật ký. Bộ đếm vi phạm sẽ tăng
giá trị lên 1 đơn vị
- Tắt (Shutdown): Trong chế độ này, một cổng gặp chế độ vi phạm bảo
mật sẽ ngay lập tức chuyển vào chế độ lỗi và đèn LED của cổng sẽ bị
tắt tương tự như việc sử dụng lệnh shutdown trên cổng. Sau đó
switch sẽ gửi thông báo SNMP, ghi lại sự kiện này vào nhật ký và tăng
giá trị bộ đếm vi phạm lên 1 đơn vị

MỘT SỐ LỆNH CẤU HÌNH BẢO MẬT CỔNG TRÊN SWITCH
 Chế độ bảo mật mặc định của cổng
Chế độ bảo mật mặc định của cổng là chế độ Disable (tắt)
 Cấu hình bảo mật cổng kiểu động
Switch(config)#interface fa0/5
Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 3
Switch(config-if)#switchport port-security violation {protect | restrict |
shutdown}
 Cấu hình bảo mật cổng kiểu kết dính
Switch(config)#interface fa0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 3
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation {protect | restrict |
shutdown}


 Cấu hình bảo mật cổng kiểu tĩnh
Switch(config)#interface fa0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 3
Switch(config-if)#switchport port-security mac-address <MAC_add>
Switch(config-if)#switchport port-security violation {protect | restrict |
shutdown}
Trong đó: <MAC_Add> là địa chỉ MAC gán tĩnh vào cổng
 Gán cứng một địa chỉ MAC vào một cổng của switch
Switch(config)#mac-address-table static <MAC address> vlan {1-4096, ALL}
interface interface-id
 Một số lệnh xem cấu hình bảo mật cổng
TT
Lệnh
Ý nghĩa

1
Switch#show mac-address-table
Xem bảng địa chỉ
MAC của switch
2
Switch#show port-security
Xem cấu hình bảo
mật các cổng
3
Switch#show port-security interface fa0/1
Xem cấu hình bảo
mật một cổng cụ thể