Beskytte MOT mac flom angrep

i en typisk mac flom angrep, en bryter er oversvømmet med pakker, hver inneholder forskjellige kilde MAC-adresser. Hensikten er å konsumere det begrensede minnet som er satt til side i bryteren for å lagre MAC-adressen til fysisk portoversettelsestabell.

resultatet av dette angrepet fører til at bryteren går inn i en tilstand som kalles failopen-modus, der alle innkommende pakker sendes ut på alle porter (som med en hub), i stedet for bare ned i riktig port som per normal drift. En ondsinnet bruker kan da bruke en pakkesniffer som kjører i promiskuøs modus for å fange sensitive data fra andre datamaskiner, noe som ikke ville være tilgjengelig dersom bryteren fungerte normalt.

Cisco gir deg en mulighet til å sette opp beskyttelse mot dette angrepet med å begrense OG / eller hardwiring NOEN MAC-adresser til en dedikert port.

Forstå mac flom angrep
Anta å ha en bryter med 3 PC: PC A, PC B OG PC C; i normal situasjon, når PC a sender en pakke TIL PC B, ser PC C ikke pakke sendt mellom PC A Og PC B.

 mac_learning

dette fordi 3-PCEN er koblet til en bryter OG IKKE til en hub.

under mac-flomangrep er bryteradferden annerledes. Under MAC flom angrep, angriper (I dette tilfellet PC C) flommer bryteren med pakker, hver med annen kilde MAC-adresse.

 mac_flooding_attack

hvis Innholdet Adresserbart Minne (minnet DER MAC-adressene er lagret) er fullt, fungerer bryteren som et nav; så HVIS PC A sender en pakke TIL PC B, vil pakken bli mottatt TIL PC C også.

mac_flooding_attack_2

Beskytte MOT mac flom angrep
Cisco har implementert en funksjon, kalt switchport port-security, for å beskytte mot denne typen angrep. Du kan bruke port security-funksjonen til å begrense inndata til et grensesnitt ved å begrense OG identifisere MAC-adressene til stasjonene som får tilgang til porten.

det finnes tre typer sikre MAC-adresser:

  • Statiske sikre MAC-adresser: Disse konfigureres manuelt ved hjelp av kommandoen switchport port-security mac-address mac-address interface configuration, som er lagret i adressetabellen og lagt til i konfigurasjonen som kjører switch.
  • Dynamiske sikre MAC-adresser: disse læres dynamisk, lagres bare i adressetabellen og fjernes når bryteren starter på nytt.
  • Sticky secure MAC-adresser: Disse kan læres dynamisk eller konfigureres manuelt, lagres i adressetabellen og legges til i den løpende konfigurasjonen. Hvis disse adressene lagres i konfigurasjonsfilen, trenger ikke grensesnittet å lære dem på nytt dynamisk når bryteren starter på nytt.

Husk: en sikker port kan ha fra 1 til 132 tilknyttede sikre adresser. Totalt antall tilgjengelige sikre adresser på bryteren er 1024.

når maksimalt antall sikre MAC-adresser er lagt til i adressetabellen og en stasjon SOM IKKE HAR MAC-adresse i adressetabellen, forsøker å få tilgang til grensesnittet, oppstår et sikkerhetsbrudd.

bryteren kan reagere på et sikkerhetsbrudd på tre forskjellige måter:

  • beskytt: når antall sikre MAC-adresser når grensen som er tillatt på porten, slettes pakker med ukjente kildeadresser til du fjerner et tilstrekkelig antall sikre MAC-adresser eller øker antall maksimalt tillatte adresser. Du blir ikke varslet om at det har oppstått et sikkerhetsbrudd.
  • begrense: Når antallet sikre MAC-adresser når grensen som er tillatt på porten, slettes pakker med ukjente kildeadresser til du fjerner et tilstrekkelig antall sikre MAC-adresser eller øker antallet maksimalt tillatte adresser. I denne modusen blir du varslet om at det har oppstått et sikkerhetsbrudd. Spesielt sendes EN SNMP-felle, en syslog-melding logges, og overtredelsestelleren øker.
  • shutdown: i denne modusen, en port sikkerhetsbrudd fører grensesnittet til å umiddelbart bli feil-deaktivert, og slår av port LED. Den sender også EN SNMP-felle, logger en syslog-melding, og øker overtredelsestelleren. Når en sikker port er i feil deaktivert tilstand, kan du ta den ut av denne tilstanden ved å skrive inn kommandoen errdisable recovery cause psecure-violation global configuration, eller du kan aktivere den manuelt ved å angi kommandoene avslutning og ingen avslutning av grensesnittkonfigurasjon. Dette er standardmodus.

Eksempel: Begrens til ti MAC-adresser, hvorav to er statikk (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), På FastEthernet 0/1 port. Overtredelsen som kreves er “begrenset”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

switchport mode access: port-sikkerhet fungerer bare på access port, så definere det.
switchport port-sikkerhet: Aktiver port sikkerhet på grensesnittet.
switchport port-sikkerhet maksimum 10: Angir maksimalt antall sikre MAC-adresser for grensesnittet til 10.
switchport port – sikkerhetsbrudd begrense: det definerer å “begrense” brudd modus.
switchport port – sikkerhet mac-adresse aaaa.aaaa.aaaa: Definer den statiske MAC-adressen; husk at hvis du konfigurerer færre sikre MAC-adresser enn maksimum, blir de gjenværende MAC-adressene dynamisk lært.

Nyttige kommandoer for å vise trafikkontrollstatus og konfigurasjon er:

  • vis grensesnitt switchport: Viser administrativ og operativ status for alle koblingsporter (ikke-ruting) eller den angitte porten, inkludert portblokkering og portbeskyttelsesinnstillinger.
  • vis port-sikkerhet : Viser portsikkerhetsinnstillinger for bryteren eller for det angitte grensesnittet, inkludert maksimalt tillatt ANTALL sikre MAC-adresser for hvert grensesnitt, antall sikre MAC-adresser på grensesnittet, antall sikkerhetsbrudd som har oppstått og bruddmodus.
  • vis portsikkerhetsadresse: Viser alle sikre MAC-adresser som er konfigurert på alle brytergrensesnitt eller på et angitt grensesnitt med aldringsinformasjon for hver adresse.

Husk: du kan bare aktivere portsikkerhet på et grensesnitt hvis porten ikke er konfigurert som en av disse:

  • Trunk porter: hvis du prøver å aktivere port sikkerhet på en trunk port, vises en feilmelding, og port sikkerhet er ikke aktivert. Hvis du prøver å endre modusen for en sikker port til trunk, endres ikke portmodusen.
  • Dynamisk port: en port i dynamisk modus kan forhandle med naboen for å bli en bagasjerom. Hvis du prøver å aktivere portsikkerhet på en dynamisk port, vises en feilmelding, og portsikkerhet er ikke aktivert. Hvis du prøver å endre modusen for en sikker port til dynamisk, endres ikke portmodusen.
  • Dynamisk tilgangsport: hvis du prøver å aktivere portsikkerhet på en dynamisk tilgangsport (VLAN Query Protocol), vises en feilmelding, og portsikkerhet er ikke aktivert. Hvis du prøver å endre en sikker port til dynamisk VLAN-tildeling, vises en feilmelding, OG VLAN-konfigurasjonen endres ikke.
  • EtherChannel porT: Før du aktiverer portsikkerhet på porten, må du først fjerne den fra EtherChannel. Hvis du prøver å aktivere portsikkerhet på En EtherChannel eller på en aktiv port i En EtherChannel, vises en feilmelding, og portsikkerhet er ikke aktivert. Hvis du aktiverer portsikkerhet på en ikke-aktiv port i En EtherChannel, blir ikke porten Med I EtherChannel.
  • 802.1 x-port: du kan ikke konfigurere en 802.1 x-port som en sikker port. Hvis du prøver å aktivere portsikkerhet på en 802.1 x-port, vises en feilmelding, og portsikkerhet er ikke aktivert. Hvis du prøver å endre en sikker port til en 802.1 x-port, vises en feilmelding, og 802.1 x-innstillingene endres ikke.
  • Switch Port Analyzer (SPAN) målport: du kan aktivere portsikkerhet på en port som er EN span målport. Du kan aktivere portsikkerhet på EN SPENNINGSKILDEPORT.

Write a Comment

Din e-postadresse vil ikke bli publisert.