Suojaa MAC tulvilta hyökkäys

tyypillisessä MAC tulvilta hyökkäys, kytkin tulvii paketteja, joista jokainen sisältää eri lähde MAC osoitteet. Tarkoituksena on kuluttaa rajoitettu muisti varattu kytkin tallentaa MAC osoite-fyysinen portti käännös taulukko.

tämän hyökkäyksen tulos saa Kytkimen siirtymään tilaan, jota kutsutaan failopen-tilaksi, jossa kaikki saapuvat paketit lähetetään kaikkiin portteihin (kuten navan kanssa) sen sijaan, että ne vain laskisivat oikeaa porttia normaalin toiminnan mukaisesti. Haitallinen käyttäjä voisi sitten käyttää siveettömässä tilassa toimivaa pakettinuuskijaa tallentaakseen arkaluonteisia tietoja muista tietokoneista, joita ei olisi saatavilla, jos kytkin toimisi normaalisti.

Cisco antaa sinulle mahdollisuuden luoda suojaa tätä hyökkäystä vastaan rajoittamalla ja/tai kytkemällä joitakin MAC-osoitteita tiettyyn porttiin.

ymmärrä Macin tulvimishyökkäys
Oletetaan, että on kytkin, jossa on 3 PC: tä: PC a, PC B ja PC C; normaalitilanteessa, kun PC a lähettää paketin PC B: lle, PC C ei näe PC A: n ja PC B: n välillä lähetettyä pakettia.

mac_learning

tämä siksi, että 3 PC: tä on kytketty kytkimeen eikä napaan.

MAC-tulvahyökkäyksessä kytkinkäyttäytyminen on erilainen. Aikana MAC tulvii hyökkäys, hyökkääjä (tässä tapauksessa PC C) tulvii kytkin paketteja, joista jokaisella on eri lähde MAC-osoite.

mac_flooding_attack

jos Sisällön osoitteellinen muisti (muisti, johon MAC-osoitteet tallennetaan) on täynnä, kytkin toimii kuin napa; joten, jos PC a lähettää paketin PC B: lle, paketti vastaanotetaan myös PC C: lle.

mac_flooding_attack_2

suojautuminen MAC-tulvilta
Cisco on ottanut käyttöön ominaisuuden, nimeltään switchport port-security, suojautuakseen tämän tyyppiseltä hyökkäykseltä. Voit käyttää portin Suojausominaisuutta rajoittaaksesi syöttöä rajapintaan rajoittamalla ja tunnistamalla niiden asemien MAC-osoitteet, joilla on lupa käyttää porttia.

suojattuja MAC-osoitteita on kolmenlaisia:

  • staattiset suojatut MAC-osoitteet: Nämä on määritetty manuaalisesti switchport port-security mac-address mac-address interface configuration command-komennolla, joka on tallennettu osoitetaulukkoon ja lisätty Kytkimen suoritusasetuksiin.
  • dynaamiset suojatut MAC-osoitteet: nämä opitaan dynaamisesti, tallennetaan vain osoitetaulukkoon ja poistetaan, kun kytkin käynnistyy uudelleen.
  • Sticky secure MAC-osoitteet: nämä voidaan dynaamisesti oppia tai määrittää manuaalisesti, tallentaa osoitetaulukkoon ja lisätä käynnissä olevaan asetukseen. Jos nämä osoitteet tallennetaan asetustiedostoon, käyttöliittymän ei tarvitse dynaamisesti opetella niitä uudelleen, kun kytkin käynnistyy uudelleen.

muista: suojattu portti voi olla 1-132 liittyvät Turvalliset osoitteet. Suojattuja osoitteita kytkimessä on yhteensä 1024.

kun osoitetaulukkoon on lisätty turvallisten MAC-osoitteiden enimmäismäärä ja asema, jonka MAC-osoite ei ole osoitetaulukossa, yrittää päästä rajapintaan, tapahtuu tietoturvaloukkaus.

kytkin voi reagoida tietoturvaloukkaukseen kolmella eri tavalla:

  • suojaa: kun suojattujen MAC-osoitteiden määrä saavuttaa portin salliman rajan, paketteja, joiden lähdeosoite on tuntematon, pudotetaan, kunnes poistat riittävän määrän suojattuja MAC-osoitteita tai lisäät sallittujen osoitteiden määrää. Sinulle ei ole ilmoitettu tietoturvaloukkauksesta.
  • Rajoita: Kun suojattujen MAC-osoitteiden määrä saavuttaa portin salliman rajan, paketteja, joiden lähdeosoite on tuntematon, pudotetaan, kunnes poistat riittävän määrän suojattuja MAC-osoitteita tai lisäät sallittujen osoitteiden määrää. Tässä tilassa sinulle ilmoitetaan, että tietoturvaloukkaus on tapahtunut. Erityisesti SNMP-ansa lähetetään, syslog-viesti kirjataan ja rikkomuslaskuri kasvaa.
  • shutdown: tässä tilassa, portin tietoturvaloukkaus aiheuttaa käyttöliittymän välittömästi tullut virhe-pois päältä, ja sammuttaa portin LED. Se lähettää myös SNMP-Ansan, kirjaa syslog-viestin ja lisää rikkomuslaskuria. Kun suojattu portti on virheettömässä tilassa, voit tuoda sen pois tästä tilasta syöttämällä errdisable recovery cause psecure-Breach global configuration command-komennon tai voit manuaalisesti ottaa sen uudelleen käyttöön syöttämällä shutdown and no shutdown interface configuration commands. Tämä on oletustila.

esimerkki: Raja kymmeneen MAC-osoitteeseen, joista kaksi on statiikkaa (aaaa.aaaa.AAAA, bbbb.BB.bbbb), FastEthernet 0/1 port. Vaadittu rikkomus on “rajoitettu”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

switchport mode access: port-security toimii vain access port, joten määrittele se.
switchport port-security: Enable port security on the interface.
switchport port-security maximum 10: asettaa käyttöliittymän suojattujen MAC-osoitteiden enimmäismääräksi 10.
switchport-portti-tietoturvaloukkaus rajoittaa: se määrittelee “rajoittaa” rikkomustilan.
switchport port-security mac-osoite aaaa.aaaa.aaaa: Määrittele staattinen MAC-osoite; muista, että jos määrität vähemmän suojattuja MAC-osoitteita kuin maksimi, loput MAC-osoitteet opitaan dynaamisesti.

hyödyllisiä komentoja liikenteenohjauksen tilan ja kokoonpanon näyttämiseksi ovat:

  • Näytä rajapinnat switchport: näyttää kaikkien kytkentäporttien tai määritetyn portin hallinnollisen ja toiminnallisen tilan, mukaan lukien porttikiellon ja porttisuojauksen asetukset.
  • Näytä portti-turvallisuus : Näyttää portin suojausasetukset kytkimelle tai määritetylle rajapinnalle, mukaan lukien suojattujen MAC-osoitteiden enimmäismäärä kullekin rajapinnalle, suojattujen MAC-osoitteiden määrä rajapinnassa, tapahtuneiden tietoturvaloukkausten määrä ja rikkomustila.
  • Näytä portti-suojausosoite: näyttää kaikki turvalliset MAC-osoitteet, jotka on määritetty kaikkiin kytkinliittymiin tai määritettyyn käyttöliittymään, jossa on kunkin osoitteen vanhenemistiedot.

muista: voit ottaa portin suojauksen käyttöön rajapinnassa vain, jos porttia ei ole määritetty yhdeksi näistä:

  • Runkoportit: jos yrität ottaa portin suojauksen käyttöön runkoportissa, tulee virheilmoitus, eikä portin suojaus ole käytössä. Jos yrität muuttaa suojatun portin tilaa rungoksi, porttitilaa ei muuteta.
  • dynaaminen portti: dynaamisessa tilassa oleva portti voi neuvotella naapurinsa kanssa tullakseen runkoportiksi. Jos yrität ottaa portin suojauksen käyttöön dynaamisessa portissa, tulee virheilmoitus, eikä portin suojaus ole käytössä. Jos yrität muuttaa turvallisen portin tilaa dynamiciksi, porttitilaa ei muuteta.
  • Dynamic-access-portti: jos yrität ottaa portin suojauksen käyttöön dynamic-access (VLAN-Kyselyprotokolla) – portilla, tulee virheilmoitus eikä portin suojaus ole käytössä. Jos yrität muuttaa suojattua porttia dynaamiseksi VLAN-määritykseksi, näkyviin tulee virheilmoitus, eikä VLAN-määritystä muuteta.
  • EtherChannel-portti: ennen portin turvallisuuden mahdollistamista se on ensin poistettava Etherchannelista. Jos yrität ottaa portin suojauksen käyttöön Etherchannelissa tai aktiivisessa portissa Etherchannelissa, tulee virheilmoitus, eikä portin suojaus ole käytössä. Jos otat portin turvallisuuden käyttöön Eetterikanavan ei-vielä aktiivisessa portissa, portti ei liity Eetterikanavaan.
  • 802.1 X-portti: 802.1 X-porttia ei voi määrittää suojatuksi portiksi. Jos yrität ottaa portin suojauksen käyttöön 802.1 X-portilla, tulee virheilmoitus, eikä portin suojaus ole käytössä. Jos yrität muuttaa suojatun portin 802.1 X-porttiin, tulee virheilmoitus, eikä 802.1 X-asetuksia muuteta.
  • Switch Port Analyzer (SPAN) – määräportti: voit ottaa portin turvallisuuden käyttöön portilla, joka on SPAN-määräportti; portin suojaus on kuitenkin pois käytöstä, kunnes portti poistetaan SPAN-määräporttina. Voit ottaa portin turvallisuuden käyttöön SPAN-lähdeportilla.

Write a Comment

Sähköpostiosoitettasi ei julkaista.