védelem a MAC árvíz támadás ellen

egy tipikus MAC árvíz támadás esetén a kapcsolót csomagok árasztják el, amelyek mindegyike különböző forrás MAC-címeket tartalmaz. A szándék az, hogy a kapcsolóban elkülönített korlátozott memóriát felhasználja a MAC cím-fizikai port fordítási táblázat tárolására.

ennek a támadásnak az eredménye miatt a kapcsoló az úgynevezett állapotba lép failopen mód, amelyben az összes bejövő csomagot az összes porton sugározzák (mint egy hub esetében), ahelyett, hogy csak a megfelelő porton haladnának le a normál működés szerint. Egy rosszindulatú felhasználó ezután egy ígéretes módban futó csomagszippantót használhat érzékeny adatok rögzítésére más számítógépekről, amelyek nem lennének elérhetők, ha a kapcsoló normálisan működne.

a Cisco lehetőséget ad arra, hogy védelmet nyújtson a támadás ellen, korlátozva és/vagy bekötve néhány MAC-címet egy dedikált portra.

értsd meg a MAC árvíz támadást
tegyük fel, hogy van egy kapcsoló 3 PC-vel: PC a, PC B és PC C; normál helyzetben, amikor a PC a csomagot küld a PC B-nek, a PC C nem látja a PC A és PC B között küldött csomagot.

mac_learning

ez azért van, mert a 3 PC egy kapcsolóhoz csatlakozik, nem pedig egy hubhoz.

Mac flooding attack alatt a kapcsoló viselkedése eltérő. A MAC elárasztási támadás során a támadó (ebben az esetben a PC C) csomagokkal árasztja el a kapcsolót, mindegyik más-más forrás MAC címmel.

mac_flooding_attack

ha a tartalom címezhető memória (a memória, ahol a MAC címeket tárolják) megtelt, a kapcsoló úgy működik, mint egy hub; tehát, ha a PC A küld egy csomagot PC B, a csomag érkezik PC C is.

mac_flooding_attack_2

védelem a MAC árvíz támadás ellen
a Cisco bevezette a switchport port-security nevű funkciót az ilyen típusú támadások ellen. A portbiztonsági funkcióval korlátozhatja a bemenetet egy interfészre, korlátozva és azonosítva azon állomások MAC-címeit, amelyek hozzáférhetnek a porthoz.

a biztonságos MAC-címeknek három típusa van:

  • statikus biztonságos MAC-címek: Ezek manuálisan konfigurálhatók a switchport port-security mac-address MAC-address interface configuration paranccsal, amelyet a címtáblában tárolnak, és hozzáadnak a switch futó konfigurációjához.
  • dinamikus biztonságos MAC-címek: ezeket dinamikusan megtanulják, csak a címtáblában tárolják, és a kapcsoló újraindításakor eltávolítják.
  • Sticky secure MAC címek: ezek dinamikusan megtanulhatók vagy manuálisan konfigurálhatók, tárolhatók a címtáblában, és hozzáadhatók a futó konfigurációhoz. Ha ezeket a címeket a konfigurációs fájlba menti, akkor az interfésznek nem kell dinamikusan újra megtanulnia őket, amikor a kapcsoló újraindul.

ne feledje: a biztonságos portnak 1-132 társított biztonságos címe lehet. A kapcsolón elérhető biztonságos címek száma összesen 1024.

ha a maximális számú biztonságos MAC-címet hozzáadta a címtáblához, és egy állomás, amelynek MAC-címe nem szerepel a címtáblában, megkísérli elérni az interfészt, biztonsági megsértés történik.

a kapcsoló három különböző módon reagálhat a biztonsági megsértésre:

  • védelem: amikor a biztonságos MAC-címek száma eléri a porton megengedett határértéket, az ismeretlen forráscímeket tartalmazó csomagok eldobásra kerülnek, amíg elegendő számú biztonságos MAC-címet nem távolít el, vagy nem növeli a maximálisan megengedett címek számát. Ön nem kap értesítést arról, hogy biztonsági jogsértés történt.
  • korlátozás: Amikor a biztonságos MAC-címek száma eléri a porton megengedett határértéket, az ismeretlen forráscímekkel rendelkező csomagok eldobásra kerülnek, amíg elegendő számú biztonságos MAC-címet nem távolít el, vagy nem növeli a maximálisan megengedett címek számát. Ebben a módban értesítést kap arról, hogy biztonsági jogsértés történt. Pontosabban egy SNMP trap kerül elküldésre, egy syslog üzenet naplózásra kerül, és a szabálysértési számláló növekszik.
  • shutdown: ebben a módban a port biztonsági megsértése miatt az interfész azonnal hibaelhárítóvá válik, és kikapcsolja a port LED-et. Ezenkívül küld egy SNMP csapdát, naplózza a syslog üzenetet, és növeli a szabálysértési számlálót. Ha egy biztonságos port hibaelhárított állapotban van, akkor az errdisable recovery ok psecure-violation globális konfigurációs parancs megadásával hozhatja ki ebből az állapotból, vagy manuálisan újra engedélyezheti a shutdown and no shutdown interfész konfigurációs parancsának megadásával. Ez az alapértelmezett mód.

példa: korlátozzon tíz MAC-címet, amelyek közül kettő statika (aaaa.áááá.aaaa, bbbb.bbbb.bbbb), a FastEthernet 0/1 porton. A szükséges jogsértés “korlátozott”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

switchport mód hozzáférés: a port-security csak a hozzáférési porton működik, ezért határozza meg.
switchport port-security: engedélyezze a portbiztonságot az interfészen.
switchport port-security maximum 10: Az interfész biztonságos MAC-címeinek maximális számát 10-re állítja.
switchport port-biztonsági megsértés korlátozása: meghatározza a megsértési mód “korlátozását”.
switchport port-biztonság mac-cím aaaa.áááá.aaaa: határozza meg a statikus MAC-címet; ne feledje, hogy ha a maximálisnál kevesebb biztonságos MAC-címet konfigurál, a fennmaradó MAC-címek dinamikusan megtanulódnak.

hasznos parancsok a forgalomirányítás állapotának és konfigurációjának megjelenítéséhez:

  • show interfaces switchport: megjeleníti az összes kapcsoló (nem routing) port vagy a megadott port adminisztrációs és működési állapotát, beleértve a portblokkolást és a portvédelmi beállításokat.
  • Port-biztonság megjelenítése : Megjeleníti a kapcsoló vagy a megadott interfész portbiztonsági beállításait, beleértve az egyes interfészek biztonságos MAC-címeinek maximálisan megengedett számát, az interfészen lévő biztonságos MAC-címek számát, A bekövetkezett biztonsági jogsértések számát, valamint a megsértési módot.
  • Port-biztonsági cím megjelenítése: Megjeleníti az összes switch interfészen vagy egy meghatározott felületen konfigurált összes biztonságos MAC-címet az egyes címek öregedési adataival.

ne feledje: csak akkor engedélyezheti a portbiztonságot egy interfészen, ha a port nincs konfigurálva ezek egyikeként:

  • Trunk portok: ha megpróbálja engedélyezni a portbiztonságot egy trunk porton, hibaüzenet jelenik meg, és a portbiztonság nincs engedélyezve. Ha megpróbálja megváltoztatni a biztonságos port módját törzsre, a port mód nem változik.
  • dinamikus port: a dinamikus módban lévő port tárgyalhat a szomszédjával, hogy törzsport legyen. Ha megpróbálja engedélyezni a portbiztonságot egy dinamikus porton, hibaüzenet jelenik meg, és a portbiztonság nincs engedélyezve. Ha megpróbálja megváltoztatni a biztonságos port módját dinamikusra, a port mód nem változik.
  • dinamikus hozzáférési port: ha megpróbálja engedélyezni a portbiztonságot egy dinamikus hozzáférési (VLAN lekérdezési protokoll ) porton, hibaüzenet jelenik meg, és a portbiztonság nincs engedélyezve. Ha egy biztonságos portot dinamikus VLAN-hozzárendelésre próbál változtatni, hibaüzenet jelenik meg, és a VLAN konfigurációja nem változik.
  • EtherChannel porT: mielőtt engedélyezné a port biztonságát a porton, először el kell távolítania az EtherChannel-ből. Ha megpróbálja engedélyezni a portbiztonságot egy EtherChannel-en vagy egy EtherChannel aktív portján, hibaüzenet jelenik meg, és a portbiztonság nincs engedélyezve. Ha engedélyezi a portbiztonságot egy EtherChannel még nem aktív portján, akkor a port nem csatlakozik az EtherChannel-hez.
  • 802.1 X port: a 802.1 X port nem konfigurálható biztonságos portként. Ha egy 802.1 X-es porton próbálja engedélyezni a portbiztonságot, hibaüzenet jelenik meg, és a portbiztonság nincs engedélyezve. Ha megpróbál egy biztonságos portot 802.1 X portra változtatni, hibaüzenet jelenik meg, és a 802.1 X beállításai nem változnak.
  • Switch Port Analyzer (SPAN) célport: engedélyezheti a portbiztonságot egy olyan porton, amely SPAN célport; a portbiztonság azonban le van tiltva, amíg a portot SPAN célállomásként nem távolítja el. Engedélyezheti a portbiztonságot egy SPAN forrásporton.

Write a Comment

Az e-mail-címet nem tesszük közzé.