ochrana proti Mac flooding attack

v typickém Mac flooding attack je přepínač zaplaven pakety, z nichž každý obsahuje různé zdrojové adresy MAC. Záměrem je spotřebovat omezenou paměť vyhrazenou v přepínači pro uložení překladové tabulky MAC address-to-physical port.

výsledek tohoto útoku způsobí, že přepínač vstoupí do stavu zvaného failopen mode, ve kterém jsou všechny příchozí pakety vysílány na všech portech (jako u rozbočovače), místo toho, aby byl správný port podle normálního provozu. Škodlivý uživatel by pak mohl použít Sniffer paketů běžící v promiskuitním režimu k zachycení citlivých dat z jiných počítačů, které by nebyly přístupné, kdyby přepínač fungoval normálně.

Cisco vám dává možnost nastavit ochranu proti tomuto útoku s omezením a / nebo zapojením některých MAC adres do vyhrazeného portu.

pochopte útok záplavy MAC
Předpokládejme, že máte přepínač s 3 PC: PC a, PC B a PC C; v normální situaci, když PC a odešle paket do PC B, PC C nevidí paket odeslaný mezi PC a a PC B.

mac_learning

to proto, že 3 PC jsou připojeny k přepínači a ne k rozbočovači.

pod útokem Mac flooding je chování přepínače odlišné. Během útoku na zaplavení MAC útočník (v tomto případě PC C) zaplaví přepínač pakety, každý s jinou zdrojovou MAC adresou.

mac_flooding_attack

pokud je obsah adresovatelná paměť (paměť, kde jsou uloženy MAC adresy) Plná, přepínač funguje jako rozbočovač; takže pokud PC a odešle paket do PC B, paket bude přijat také do PC C.

 mac_flooding_attack_2

ochrana proti útoku záplavy MAC
společnost Cisco implementovala funkci nazvanou switchport port-security, která chrání před tímto typem útoku. Pomocí funkce zabezpečení portů můžete omezit vstup na rozhraní omezením a identifikací MAC adres stanic, které mají přístup k portu.

existují tři typy zabezpečených MAC adres:

  • statické zabezpečené MAC adresy: Ty jsou ručně konfigurovány pomocí příkazu switchport port-security MAC-address mac-address interface configuration, uloženého v tabulce adres a přidaného do spuštěné konfigurace přepínače.
  • dynamické zabezpečené adresy MAC: ty se dynamicky učí, ukládají se pouze v tabulce adres a odstraňují se při restartování přepínače.
  • Sticky secure MAC adresy: ty lze dynamicky naučit nebo ručně nakonfigurovat, uloženy v tabulce adres, a přidány do spuštěné konfigurace. Pokud jsou tyto adresy uloženy v konfiguračním souboru, rozhraní je nemusí dynamicky znovu učit, když se přepínač restartuje.

pamatujte: zabezpečený port může mít 1 až 132 přidružených zabezpečených adres. Celkový počet dostupných zabezpečených adres na přepínači je 1024.

pokud byl do tabulky adres přidán maximální počet zabezpečených MAC adres a stanice, jejíž MAC adresa není v tabulce adres, se pokusí o přístup k rozhraní, dojde k narušení zabezpečení.

přepínač může reagovat na narušení bezpečnosti třemi různými způsoby:

  • chránit: když počet zabezpečených MAC adres dosáhne limitu povoleného na portu, pakety s neznámými zdrojovými adresami jsou zrušeny, dokud neodstraníte dostatečný počet zabezpečených MAC adres nebo nezvyšujete počet maximálních přípustných adres. Nejste upozorněni, že došlo k porušení zabezpečení.
  • omezit: Když počet zabezpečených MAC adres dosáhne limitu povoleného na portu, pakety s neznámými zdrojovými adresami jsou zrušeny, dokud neodstraníte dostatečný počet zabezpečených MAC adres nebo nezvyšujete počet maximálních přípustných adres. V tomto režimu budete upozorněni, že došlo k porušení zabezpečení. Konkrétně je odeslána SNMP trap, je zaznamenána zpráva syslog a přírůstky čítače porušení.
  • vypnutí: v tomto režimu způsobí narušení zabezpečení portu okamžité vypnutí rozhraní a vypne LED diodu portu. To také odešle SNMP trap, zaznamená zprávu syslog, a zvyšuje čítač porušení. Je-li zabezpečený port je ve stavu chyba-zakázáno, můžete přivést ji z tohoto stavu zadáním errdisable recovery cause psecure-porušení globální konfigurační příkaz, nebo můžete ručně znovu povolit zadáním vypnutí a žádné příkazy konfigurace vypnutí rozhraní. Toto je výchozí režim.

příklad: omezit na deset MAC adres, z nichž dvě jsou statika (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), na portu FastEthernet 0/1. Požadované porušení je “omezeno”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

přístup do režimu switchport: port-security funguje pouze na přístupovém portu, takže jej definujte.
switchport port-security: povolte zabezpečení portů na rozhraní.
switchport port-security maximum 10: nastaví maximální počet zabezpečených MAC adres pro rozhraní na 10.
switchport port-omezení narušení bezpečnosti: definuje” omezit ” režim narušení.
switchport port-security mac-adresa aaaa.aaaa.aaaa: Definujte statickou MAC adresu; nezapomeňte, že pokud nakonfigurujete méně zabezpečených MAC adres než maximum, zbývající MAC adresy se dynamicky naučí.

užitečné příkazy pro zobrazení stavu a konfigurace řízení provozu jsou:

  • show interfaces switchport: zobrazuje administrativní a provozní stav všech spínacích (neroutících) portů nebo zadaného portu, včetně blokování portů a nastavení ochrany portů.
  • Zobrazit zabezpečení portů : Zobrazí nastavení zabezpečení portů pro přepínač nebo pro zadané rozhraní, včetně maximálního povoleného počtu zabezpečených MAC adres pro každé rozhraní, počtu zabezpečených MAC adres na rozhraní, počtu porušení zabezpečení, ke kterým došlo, a režimu narušení.
  • Zobrazit port-security address: zobrazuje všechny zabezpečené MAC adresy nakonfigurované na všech přepínacích rozhraních nebo na určeném rozhraní s informacemi o stárnutí pro každou adresu.

pamatovat: zabezpečení portů na rozhraní můžete povolit pouze v případě, že port není nakonfigurován jako jeden z těchto:

  • Trunk porty: pokud se pokusíte povolit zabezpečení portů na portu trunk, zobrazí se chybová zpráva a zabezpečení portů není povoleno. Pokud se pokusíte změnit režim zabezpečeného portu na trunk, režim portu se nezmění.
  • dynamický port: port v dynamickém režimu může vyjednávat se svým sousedem, aby se stal kmenovým portem. Pokud se pokusíte povolit zabezpečení portů na dynamickém portu, zobrazí se chybová zpráva a zabezpečení portů není povoleno. Pokud se pokusíte změnit režim zabezpečeného portu na dynamický, režim portu se nezmění.
  • Port dynamického přístupu: pokud se pokusíte povolit zabezpečení portů na portu s dynamickým přístupem (VLAN Query Protocol), zobrazí se chybová zpráva a zabezpečení portů není povoleno. Pokud se pokusíte změnit zabezpečený port na dynamické přiřazení VLAN, zobrazí se chybová zpráva a konfigurace VLAN se nezmění.
  • EtherChannel porT: před povolením zabezpečení portu na portu jej musíte nejprve odebrat z Etherchannelu. Pokud se pokusíte povolit zabezpečení portů na EtherChannel nebo na aktivním portu v EtherChannel, zobrazí se chybová zpráva a zabezpečení portů není povoleno. Pokud povolíte zabezpečení portů na dosud neaktivním portu EtherChannel, port se nepřipojí k EtherChannel.
  • 802.1 x port: nelze nakonfigurovat 802.1 x port jako zabezpečený port. Pokud se pokusíte povolit zabezpečení portů na portu 802.1 X, zobrazí se chybová zpráva a zabezpečení portů není povoleno. Pokud se pokusíte změnit zabezpečený port na port 802.1 X, zobrazí se chybová zpráva a nastavení 802.1 X se nezmění.
  • přepínač Port Analyzer (SPAN) cílový port: můžete povolit zabezpečení portů na portu, který je cílovým portem rozpětí; zabezpečení portů je však zakázáno, dokud není port odstraněn jako cíl rozpětí. Zabezpečení portů můžete povolit na zdrojovém portu SPAN.

Write a Comment

Vaše e-mailová adresa nebude zveřejněna.