Trước khi cấu hình bài lab này ta nên hiểu xem Port – Security được dùng trong trường hợp nào. Giả sử ta đưa ra một ngữ cảnh như sau, port Fastethernet 0/1 của Switch 1 hoạt động được khi máy tính có Physical Address là 00d0.bc52.90ca Các máy tính có Physial Address khác trên nếu như cắm vào port này thì nó sẽ bị shutdown trên cổng Fastethernet. Ta sẽ thực hiện bài lab có mô hình như sau:
1.Cấu hình vlan 2 trên swith:
swith# conf t
swith(config)# vlan 2
swith(config-vlan)#name test
swith(config-vlan)#exit
swith(config)#
2.Cấu hình đại chỉ ip cho PC và chointerface vlan 2
Cấu hình ip cho pc theo như hình trên.
Cấu hình interface vlan 2:
swith(config)# interface vlan 2
swith(config-if)# ip address 192.168.1.1 255.255.255.0
swith(config-if)# no shutdown
swith(config-if)#exit
swith(config)#
3.Gán interface Fa0/1 và Fa0/2 vào VLAn2
swith(config)#interface range Fa0/1 - 2
swith(config-if)# switchport mode access
swith(config-if)#switchport access VLAN 2
swith(config-if)#exit
swith(config)#
4. Kiểm tra
Ping từ PC 1 tới PC 2
kết quá kiểm tra ok thì sẽ chuyển sang bước 5.
5. Kiểm tra
Kiểm tra địa chỉ MAC của PC 1 trên cổng Fa0/1
swith# show mac-address-table interface fa0/1
Mac address Table
----------------------------------------------------------------------------
Vlan Mac Address Type Port
------ --------------------- ------- -----
2 00d0.bc52.90ca Dynamic Fa0/1
Now. chúng ta sẽ cấu hình port-securit trên công Fa0/1, sao cho chỉ máy tính pc 1 có MAC 00d0.bc52.90ca là sử dụng được, còn các máy tính khác cắm vào cổng Fa0/1 sẽ bị shutdown.
swith# conf t
swith(config)#interface fa0/1
swith(config-if)# switchport port-security
swith(config-if)#switchport port-security maximum 1// chỉ cho phép tối đa một PC
swith(config-if)#switchport port-security mac-address 00d0.bc52.90ca// chỉ cho phép PC có địa chỉ MAC này.
swith(config-if)# switchport port-security violation shutdown // mặc định là sẽ shutdown khi có địa chỉ MAC khác cắm vào port này.
swith(config-if)# exit
swith(config)#
Các bạn làm tương tự với port Fa0/2 cho pc 2 nhé.
Sau khi các bạn cấu hình xong, các bạn thử lấy PC 1 cắm vào port Fa0/2 và PC 2 cắm vào port Fa0/1, xem các port có bị shutdown không.
Chúc các bạn lab tốt.
Thank you !
Như chúng ta đã biết những interface lớp 2 của Cisco được hiểu như là các Port. Một Switch mà không cung cấp khả năng bảo vệ Port, thì cho phép kẻ tấn công tấn công vào hệ thống không dùng đến, enable Port, thu thập thông tin hoặc tấn công. Một Switch có thể cấu hình để hoạt động giống như Hub. Điều đó có nghĩa là mỗi hệ thống kết nối đến Switch có thể thấy tất cả các traffic di chuyển qua Switch để tới các hệ thống kết nối đến Switch. Như vậy 1 kẻ tấn công có thể thu thập traffic chứa đựng các thông tin như: username, passord, những thông tin cấu hình…
Port Security giới hạn số lượng của địa chỉ MAC hợp lệ được cho phép trên Port. Tất cả những port trên Switch hoặc những interface nên được đảm bảo trước khi triển khai. Theo cách này, những đặt tính được cài đặt hoặc gỡ bỏ như là những yêu cầu để thêm vào hoặc làm dài thêm những đặt tính một cách ngẫu nhiên hoặc là những kết quả bảo mật vốn đã có sẵn.
Bài Lab này sử dụng mô hình như sau:
Ta sẽ cấu hình hai phần chính sau:
- Cấu hình Port security manual.
- Cấu hình Port security sticky.
Để cấu hình trước hết ta đặt IP cho Vlan.
1. Cấu hình Port security manual.
Ở mô hình trên ta sẽ cấu hình Port security manual trên interface fa0/1 kết nối trực tiếp với PC1. Sau đó sẽ kết nối PC Hacker1 với interface đã cấu hình.
Thực hiện các lệnh sau:
- Đầu tiên chúng ta phải đưa port vào chế độ access, đây là chế độ bắt buộc cho port khi cấu hình port security.
- Khởi động port security.
- Tiếp đến chỉ định số lần địa chỉ MAC được thay đổi, số lần thay đổi tối thiểu là 1 tối đa là 1024.
- Chỉ định địa chỉ MAC cần được bảo mật trên interface. Với lệnh này khi host có địa chỉ MAC tương ứng sẽ hoạt động bình thường khi kết nối vào Switch trên interface này. Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên interface thì port sẽ vào trạng thái lỗi và hiển nhiên sẽ không có sự chuyển tiếp gói tin trên port này. Lưu ý: Để tìm địa chỉ MAC với PC ta sử dụng lệnh: ipconfig /all, đối với Router ta dùng lệnh: show run.
- Và cuối cùng chỉ định trạng thái của port sẽ thay đổi khi địa chỉ MAC kết nối bị sai. 3 trạng thái được chỉ định khi sử dụng lệnh này.
+ Shutdown: Port sẽ được đưa vào trạng thái lỗi và bị shutdown.
+ Retrict: Port sẽ vẫn ở trạng thái up, tuy nhiên các gói tin đến port này đều bị hủy và sẽ có một bản thông báo về số lượng gói tin bị hủy.
+ Protect: Port vẫn up như retrict, các gói tin đến port bị hủy và không có thông báo về việc hủy bỏ gói tin.
- Sau khi hoàn thành các lệnh ta cắm interface đã cấu hình vào PC Hacker1 tiến hành gửi một số gói tin lập tức trở thành trạng thái error-disable và đèn LED sẽ tắt.
2. Cấu hình Port security sticky.
- Tương tự như cấu hình port security manual, chúng ta cấu hình port security sticky cho interface fa0/2 cho PC2,PC3,PC4. Sử dụng PC Hacker2 để kiểm tra.
- Thực hiện các lệnh sau:
- Các câu lệnh sử dụng tương tự cấu hình port security manual, tuy nhiên mac-address sticky sẽ tự động nhận địa chỉ MAC mà ta không phải nhập vào.
- Khi ta cắm interface fa0/2 vào PC Hacker2 tiến hành gửi gói tin lập tức trở thành trạng thái error-disable và đèn LED sẽ tắt.
- Chúng ta có thể kiểm tra port-security bằng lệnh sau:
Hoặc: Show port-security
- Để khôi phục lại các interface sau khi sử dụng port-security chúng ta vào các interface dùng lệnh shutdownvà sau đó no shutdown.
1.Cấu hình vlan 2 trên swith:
swith# conf t
swith(config)# vlan 2
swith(config-vlan)#name test
swith(config-vlan)#exit
swith(config)#
2.Cấu hình đại chỉ ip cho PC và chointerface vlan 2
Cấu hình ip cho pc theo như hình trên.
Cấu hình interface vlan 2:
swith(config)# interface vlan 2
swith(config-if)# ip address 192.168.1.1 255.255.255.0
swith(config-if)# no shutdown
swith(config-if)#exit
swith(config)#
3.Gán interface Fa0/1 và Fa0/2 vào VLAn2
swith(config)#interface range Fa0/1 - 2
swith(config-if)# switchport mode access
swith(config-if)#switchport access VLAN 2
swith(config-if)#exit
swith(config)#
4. Kiểm tra
Ping từ PC 1 tới PC 2
kết quá kiểm tra ok thì sẽ chuyển sang bước 5.
5. Kiểm tra
Kiểm tra địa chỉ MAC của PC 1 trên cổng Fa0/1
swith# show mac-address-table interface fa0/1
Mac address Table
----------------------------------------------------------------------------
Vlan Mac Address Type Port
------ --------------------- ------- -----
2 00d0.bc52.90ca Dynamic Fa0/1
Now. chúng ta sẽ cấu hình port-securit trên công Fa0/1, sao cho chỉ máy tính pc 1 có MAC 00d0.bc52.90ca là sử dụng được, còn các máy tính khác cắm vào cổng Fa0/1 sẽ bị shutdown.
swith# conf t
swith(config)#interface fa0/1
swith(config-if)# switchport port-security
swith(config-if)#switchport port-security maximum 1// chỉ cho phép tối đa một PC
swith(config-if)#switchport port-security mac-address 00d0.bc52.90ca// chỉ cho phép PC có địa chỉ MAC này.
swith(config-if)# switchport port-security violation shutdown // mặc định là sẽ shutdown khi có địa chỉ MAC khác cắm vào port này.
swith(config-if)# exit
swith(config)#
Các bạn làm tương tự với port Fa0/2 cho pc 2 nhé.
Sau khi các bạn cấu hình xong, các bạn thử lấy PC 1 cắm vào port Fa0/2 và PC 2 cắm vào port Fa0/1, xem các port có bị shutdown không.
Chúc các bạn lab tốt.
Thank you !
Port security
Như chúng ta đã biết những interface lớp 2 của Cisco được hiểu như là các Port. Một Switch mà không cung cấp khả năng bảo vệ Port, thì cho phép kẻ tấn công tấn công vào hệ thống không dùng đến, enable Port, thu thập thông tin hoặc tấn công. Một Switch có thể cấu hình để hoạt động giống như Hub. Điều đó có nghĩa là mỗi hệ thống kết nối đến Switch có thể thấy tất cả các traffic di chuyển qua Switch để tới các hệ thống kết nối đến Switch. Như vậy 1 kẻ tấn công có thể thu thập traffic chứa đựng các thông tin như: username, passord, những thông tin cấu hình…
Port Security giới hạn số lượng của địa chỉ MAC hợp lệ được cho phép trên Port. Tất cả những port trên Switch hoặc những interface nên được đảm bảo trước khi triển khai. Theo cách này, những đặt tính được cài đặt hoặc gỡ bỏ như là những yêu cầu để thêm vào hoặc làm dài thêm những đặt tính một cách ngẫu nhiên hoặc là những kết quả bảo mật vốn đã có sẵn.
Bài Lab này sử dụng mô hình như sau:
Ta sẽ cấu hình hai phần chính sau:
- Cấu hình Port security manual.
- Cấu hình Port security sticky.
Để cấu hình trước hết ta đặt IP cho Vlan.
1. Cấu hình Port security manual.
Ở mô hình trên ta sẽ cấu hình Port security manual trên interface fa0/1 kết nối trực tiếp với PC1. Sau đó sẽ kết nối PC Hacker1 với interface đã cấu hình.
Thực hiện các lệnh sau:
- Đầu tiên chúng ta phải đưa port vào chế độ access, đây là chế độ bắt buộc cho port khi cấu hình port security.
- Khởi động port security.
- Tiếp đến chỉ định số lần địa chỉ MAC được thay đổi, số lần thay đổi tối thiểu là 1 tối đa là 1024.
- Chỉ định địa chỉ MAC cần được bảo mật trên interface. Với lệnh này khi host có địa chỉ MAC tương ứng sẽ hoạt động bình thường khi kết nối vào Switch trên interface này. Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên interface thì port sẽ vào trạng thái lỗi và hiển nhiên sẽ không có sự chuyển tiếp gói tin trên port này. Lưu ý: Để tìm địa chỉ MAC với PC ta sử dụng lệnh: ipconfig /all, đối với Router ta dùng lệnh: show run.
- Và cuối cùng chỉ định trạng thái của port sẽ thay đổi khi địa chỉ MAC kết nối bị sai. 3 trạng thái được chỉ định khi sử dụng lệnh này.
+ Shutdown: Port sẽ được đưa vào trạng thái lỗi và bị shutdown.
+ Retrict: Port sẽ vẫn ở trạng thái up, tuy nhiên các gói tin đến port này đều bị hủy và sẽ có một bản thông báo về số lượng gói tin bị hủy.
+ Protect: Port vẫn up như retrict, các gói tin đến port bị hủy và không có thông báo về việc hủy bỏ gói tin.
- Sau khi hoàn thành các lệnh ta cắm interface đã cấu hình vào PC Hacker1 tiến hành gửi một số gói tin lập tức trở thành trạng thái error-disable và đèn LED sẽ tắt.
2. Cấu hình Port security sticky.
- Tương tự như cấu hình port security manual, chúng ta cấu hình port security sticky cho interface fa0/2 cho PC2,PC3,PC4. Sử dụng PC Hacker2 để kiểm tra.
- Thực hiện các lệnh sau:
- Các câu lệnh sử dụng tương tự cấu hình port security manual, tuy nhiên mac-address sticky sẽ tự động nhận địa chỉ MAC mà ta không phải nhập vào.
- Khi ta cắm interface fa0/2 vào PC Hacker2 tiến hành gửi gói tin lập tức trở thành trạng thái error-disable và đèn LED sẽ tắt.
- Chúng ta có thể kiểm tra port-security bằng lệnh sau:
Hoặc: Show port-security
- Để khôi phục lại các interface sau khi sử dụng port-security chúng ta vào các interface dùng lệnh shutdownvà sau đó no shutdown.
Koh hiu lm
Trả lờiXóaĐăng nhận xét