beskyttelse mod Mac-oversvømmelsesangreb

i et typisk Mac-oversvømmelsesangreb oversvømmes en kontakt med pakker, der hver indeholder forskellige MAC-adresser. Hensigten er at forbruge den begrænsede hukommelse, der er afsat i kontakten til at gemme MAC-adresse-til-fysisk portoversættelsestabel.

resultatet af dette angreb får kontakten til at gå ind i en tilstand kaldet failopen-tilstand, hvor alle indgående pakker udsendes på alle porte (som med en hub) i stedet for bare ned i den korrekte port som pr normal drift. En ondsindet bruger kunne derefter bruge en pakkesniffer, der kører i promiskuøs tilstand til at fange følsomme data fra andre computere, som ikke ville være tilgængelige, hvis kontakten fungerede normalt.

Cisco giver dig mulighed for at oprette beskyttelse mod dette angreb med begrænsning og/eller kabelføring nogle MAC-adresser til en dedikeret port.

forstå Mac-oversvømmelsesangrebet
Antag at have en kontakt med 3 PC: PC a, PC B og PC C; i normal situation, når PC A sender en pakke til PC B, ser PC C ikke pakke sendt mellem PC A og PC B.

mac_learning

dette fordi 3 PC ‘ en er tilsluttet en kontakt og ikke til en hub.

under Mac flooding attack er omskifteradfærden anderledes. Under Mac-oversvømmelsesangrebet oversvømmer angriberen (i dette tilfælde PC C) kontakten med pakker, hver med forskellig kilde MAC-adresse.

mac_flooding_attack

hvis den adresserbare hukommelse (hukommelsen, hvor MAC-adresserne er gemt) er fuld, fungerer kontakten som en hub; så hvis PC a sender en pakke til PC B, modtages pakken også til PC C.

mac_flooding_attack_2

beskyttelse mod Mac flooding attack
Cisco har implementeret en funktion, kaldet skiftport port-security, for at beskytte mod denne type angreb. Du kan bruge funktionen port security til at begrænse input til en grænseflade ved at begrænse og identificere MAC-adresser på de stationer, der har adgang til porten.

der er tre typer sikre MAC-adresser:

  • statiske sikre MAC-adresser: Disse konfigureres manuelt ved hjælp af kommandoen skiftport port-security mac-address mac-address interface configuration, gemt i adressetabellen og føjet til konfigurationen af omskifteren, der kører.
  • dynamiske sikre MAC-adresser: disse læres dynamisk, gemmes kun i adressetabellen og fjernes, når kontakten genstarter.
  • Sticky secure MAC-adresser: disse kan læres dynamisk eller konfigureres manuelt, gemmes i adressetabellen og føjes til den kørende konfiguration. Hvis disse adresser gemmes i konfigurationsfilen, behøver grænsefladen ikke at genlære dem dynamisk, når kontakten genstarter.

husk: en sikker port kan have fra 1 til 132 tilknyttede sikre adresser. Det samlede antal tilgængelige sikre adresser på kontakten er 1024.

når det maksimale antal sikre MAC-adresser er føjet til adressetabellen, og en station, hvis MAC-adresse ikke er i adressetabellen, forsøger at få adgang til grænsefladen, opstår der en sikkerhedsovertrædelse.

kontakten kan reagere på en sikkerhedsovertrædelse på tre forskellige måder:

  • Beskyt: når antallet af sikre MAC-adresser når den tilladte grænse på porten, tabes pakker med ukendte kildeadresser, indtil du fjerner et tilstrækkeligt antal sikre MAC-adresser eller øger antallet af maksimalt tilladte adresser. Du får ikke besked om, at der er sket en sikkerhedsovertrædelse.
  • begræns: Når antallet af sikre MAC-adresser når den tilladte grænse på porten, tabes pakker med ukendte kildeadresser, indtil du fjerner et tilstrækkeligt antal sikre MAC-adresser eller øger antallet af maksimalt tilladte adresser. I denne tilstand får du besked om, at der er sket en sikkerhedsovertrædelse. Specifikt sendes en SNMP-fælde, en syslog-meddelelse logges, og overtrædelsestælleren øges.
  • nedlukning: i denne tilstand får en overtrædelse af havnesikkerheden grænsefladen til straks at blive fejlaktiveret og slukker for port-LED ‘ en. Det sender også en SNMP-fælde, logger en syslog-besked og øger overtrædelsestælleren. Når en sikker port er i tilstanden fejl-deaktiveret, kan du bringe den ud af denne tilstand ved at indtaste kommandoen errdisable recovery cause psecure-violation global configuration, eller du kan manuelt genaktivere den ved at indtaste konfigurationskommandoerne for nedlukning og ingen nedlukningsgrænseflade. Dette er standardtilstanden.

eksempel: Begræns til ti MAC-adresser, hvoraf to er statik (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), på FastEthernet 0/1 port. Den krævede overtrædelse er”begrænset”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

adgang til skifteporttilstand: port-sikkerheden fungerer kun på adgangsport, så Definer den.
skift port-sikkerhed: aktiver portsikkerhed på grænsefladen.
skift port-sikkerhed maksimum 10: indstiller det maksimale antal sikre MAC-adresser for grænsefladen til 10.
skift port-sikkerhedsovertrædelsesbegrænsning: det definerer at “begrænse” overtrædelsestilstanden.
skift port-sikkerhed mac-adresse aaaa.aaaa.AAAA: Definer den statiske MAC-adresse; husk, at hvis du konfigurerer færre sikre MAC-adresser end det maksimale, læres de resterende MAC-adresser dynamisk.

nyttige kommandoer til visning af trafikstyringsstatus og konfiguration er:

  • Vis grænseflader skiftport: viser den administrative og operationelle status for alle skift (nonrouting) porte eller den angivne port, herunder portblokering og portbeskyttelsesindstillinger.
  • Vis port-sikkerhed : Viser portsikkerhedsindstillinger for kontakten eller for den angivne grænseflade, herunder det maksimalt tilladte antal sikre MAC-adresser for hver grænseflade, antallet af sikre MAC-adresser på grænsefladen, antallet af sikkerhedsovertrædelser, der er sket, og overtrædelsestilstanden.
  • Vis port-sikkerhedsadresse: viser alle sikre MAC-adresser, der er konfigureret på alle kontaktgrænseflader eller på en bestemt grænseflade med aldringsoplysninger for hver adresse.

husk: du kan kun aktivere portsikkerhed på en grænseflade, hvis porten ikke er konfigureret som en af disse:

  • Trunk ports: hvis du forsøger at aktivere port security på en trunk port, vises en fejlmeddelelse, og port security er ikke aktiveret. Hvis du forsøger at ændre tilstanden for en sikker port til trunk, ændres porttilstanden ikke.
  • dynamisk port: en port i dynamisk tilstand kan forhandle med sin nabo om at blive en bagagerumsport. Hvis du forsøger at aktivere port security på en dynamisk port, vises der en fejlmeddelelse, og port security er ikke aktiveret. Hvis du forsøger at ændre tilstanden for en sikker port til dynamisk, ændres porttilstanden ikke.
  • Dynamic-access port: hvis du forsøger at aktivere port security på en dynamic-access (VLAN Forespørgselsprotokol ) port, vises der en fejlmeddelelse, og port security er ikke aktiveret. Hvis du forsøger at ændre en sikker port til dynamisk VLAN-tildeling, vises en fejlmeddelelse, og VLAN-konfigurationen ændres ikke.
  • EtherChannel porT: før du aktiverer portsikkerhed på porten, skal du først fjerne den fra EtherChannel. Hvis du forsøger at aktivere port security på en EtherChannel eller på en aktiv port i en EtherChannel, vises der en fejlmeddelelse, og port security er ikke aktiveret. Hvis du aktiverer portsikkerhed på en endnu ikke aktiv port i en EtherChannel, slutter porten sig ikke til EtherChannel.
  • 802.1 port: du kan ikke konfigurere en 802.1 Port som en sikker port. Hvis du forsøger at aktivere port security på en 802,1 Port, vises der en fejlmeddelelse, og port security er ikke aktiveret. Hvis du forsøger at ændre en sikker port til en 802,1 Port, vises der en fejlmeddelelse, og 802,1 indstillingerne ændres ikke.
  • skift Portanalysator (SPAN) destinationsport: du kan aktivere port security på en port, der er en SPAN destinationsport; port security er dog deaktiveret, indtil porten fjernes som en SPAN destination. Du kan aktivere portsikkerhed på en SPAN source-port.

Write a Comment

Din e-mailadresse vil ikke blive publiceret.