Port Security là gì? Cách cấu hình Port Security trên Switch Cisco

Port Security (Bảo mật cổng) là gì?

Cài đặt mặc định của bộ chuyển mạch Cisco thì tất cả các cổng đều được bật. Tức là nếu có kẻ xấu tấn công thì chúng có thể kết nối với mạng của bạn thông qua ổ cắm trên tường và điều này đe dọa đến an ninh mạng của bạn

bảo mật cổng trên Switch Cisco là gì

Tính năng bảo mật cổng (Port Security) của Switch Cisco cho phép bạn kiểm soát các thiết bị được kết nối bằng địa chỉ MAC. Theo đó các quản trị viên mạng sẽ kết nối các địa chỉ MAC cụ thể với từng cổng kết nối. Khi đó nếu thiết bị của kẻ xấu cắm vào cổng kết nối. Switch sẽ nhận diện địa chỉ MAC này không nằm trong danh sách cho phép và hạn chế quyền truy cập của thiết bị đó.

Cách thức bảo mật cổng

Bảo mật cổng thực hiện hai phương pháp lọc lưu lượng, khóa động và khóa tĩnh. Những phương pháp này có thể được sử dụng đồng thời.

Khóa động:

Bạn có thể chỉ định số lượng địa chỉ MAC tối đa có thể học được trên một cổng. Số lượng địa chỉ MAC tối đa phụ thuộc vào nền tảng và được nêu trong Ghi chú phát hành phần mềm. Sau khi đạt đến giới hạn, các địa chỉ MAC bổ sung sẽ không được học. Chỉ các khung có địa chỉ MAC nguồn cho phép mới được chuyển tiếp.

Lưu ý: Nếu bạn muốn đặt một địa chỉ MAC cụ thể cho một cổng, hãy đặt các mục động thành 0, sau đó chỉ cho phép các gói có địa chỉ MAC khớp với địa chỉ MAC trong danh sách tĩnh.

Địa chỉ bị khóa động có thể được chuyển đổi thành địa chỉ bị khóa tĩnh. Các địa chỉ MAC bị khóa động sẽ bị lỗi thời nếu không nhìn thấy gói khác có địa chỉ đó trong thời gian chờ. Bạn có thể đặt giá trị thời gian chờ. Các địa chỉ MAC bị khóa động có đủ điều kiện để được một cổng khác học. Địa chỉ MAC tĩnh không đủ điều kiện để lão hóa.

Khóa tĩnh:

Bạn có thể chỉ định thủ công danh sách địa chỉ MAC tĩnh cho một cổng. Địa chỉ bị khóa động có thể được chuyển đổi thành địa chỉ bị khóa tĩnh.

Lệnh cấu hình Port Security trên Switch Cissco

Để định cấu hình bảo mật cổng, cần có ba bước:

  1. Xác định giao diện là giao diện truy cập bằng cách sử dụng lệnh phụ giao diện truy cập chế độ cổng chuyển mạch
  2. Kích hoạt bảo mật cổng bằng cách sử dụng lệnh con giao diện bảo mật cổng chuyển mạch
  3. Xác định địa chỉ MAC nào được phép gửi khung thông qua giao diện này bằng cách sử dụng cổng chuyển mạch -security mac-address MAC_ADDRESS lệnh con giao diện hoặc sử dụng lệnh con giao diện cố định địa chỉ mac swichport port-security mac để tự động tìm hiểu địa chỉ MAC của máy chủ hiện được kết nối

Hai bước tùy chọn:

  1. Xác định hành động mà switch sẽ thực hiện khi nhận khung Frames từ một thiết bị trái phép bằng cách sử dụng vi phạm bảo mật cổng {protect | restrict | shutdown} . Tất cả ba tùy chọn đều loại bỏ lưu lượng truy cập từ thiết bị trái phép. Các tùy chọn restrict và shutdown sẽ gửi thông báo tường trình khi xảy ra vi phạm. Chế độ Shut down cũng tắt cổng.
  2. Xác định số lượng địa chỉ MAC tối đa có thể được sử dụng trên cổng bằng cách sử dụng lệnh chế độ con giao diện NUMBER giao diện tối đa cổng bảo mật cổng chuyển mạch

Ví dụ sau đây hiển thị cấu hình bảo mật cổng trên thiết bị chuyển mạch Cisco:

ví dụ về cấu hình bảo mật cổng trên Switch Cisco
ví dụ về cấu hình bảo mật cổng trên Switch Cisco

Trước tiên, bạn cần kích hoạt bảo mật cổng và xác định địa chỉ MAC nào được phép gửi khung:

SW1(config)#interface fastEthernet0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security mac-address stick

Tiếp theo, bằng cách sử dụng show port-security giao diện fa0/1, bạn có thể thấy rằng switch đã học được địa chỉ MAC của máy chủ A:

SW1#show interfaces fastEthernet0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
Hardware is Lance, address is 0001.c79a.4501 (bia 0001.c79a.4501)
BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255

Theo mặc định, số lượng địa chỉ MAC tối đa được phép là một, vì vậy nếu bạn kết nối một máy chủ khác vào cùng một cổng thì sẽ xảy ra vi phạm bảo mật:

SW1#show interfaces fastEthernet0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
Hardware is Lance, address is 0001.c79a.4501 (bia 0001.c79a.4501)
BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255

Mã trạng thái bị err-disabled có nghĩa là cổng đã xảy ra vi phạm bảo mật.

Tổng hợp lại thì các bước cấu hình cổng bảo mật như sau:

Bước 1: Truy cập giao diện dòng lệnh của switch thông qua SSH, Telnet hoặc cổng console. Chuyển sang chế độ cấu hình:

enable
configure terminal

Bước 2: Chọn cổng bạn muốn cấu hình bảo mật. Ví dụ, để cấu hình cổng Ethernet 0/1, bạn sẽ thực hiện:

interface Ethernet0/1

Bước 3: Bật tính năng Port Security:

switchport port-security

Bước 4: Xác định kiểu giới hạn (limit type) cho cổng. Một trong những tùy chọn phổ biến là giới hạn dựa trên địa chỉ MAC (MAC address-based):

switchport port-security violation restrict

Các tùy chọn cho “violation” bao gồm: restrict (không cho phép truy cập thêm), protect (bảo vệ gói tin và gửi thông báo cảnh báo), và shutdown (tắt cổng).

Bước 5: Xác định số lượng địa chỉ MAC tối đa được phép trên cổng. Ví dụ, để giới hạn cổng này chỉ cho phép một địa chỉ MAC:

switchport port-security maximum 1

Chế độ “sticky” sẽ tự động học và lưu trữ địa chỉ MAC đầu tiên được thấy trên cổng.

Bước 6: Lưu cấu hình

end
write memory

Cấu hình trên sẽ bật tính năng Port Security trên cổng Ethernet 0/1 của switch và giới hạn số địa chỉ MAC được phép trên cổng đó. Bạn có thể tùy chỉnh các tùy chọn khác tùy theo yêu cầu cụ thể của mạng của bạn.

Lưu ý rằng việc cấu hình bảo mật cổng trên switch Cisco có thể được mở rộng và phức tạp hơn tùy thuộc vào mô hình mạng của bạn và các yêu cầu cụ thể.

Xem thêm các bài viết liên quan khác: