bescherming tegen MAC flooding attack

bij een typische MAC flooding attack wordt een switch overspoeld met pakketten die elk verschillende bron MAC-adressen bevatten. De bedoeling is om het beperkte geheugen gereserveerd in de switch te verbruiken om de MAC adres-naar-fysieke poort vertaling tabel op te slaan.

het resultaat van deze aanval zorgt ervoor dat de switch een toestand genaamd failopen mode, waarin alle inkomende pakketten worden uitgezonden op alle poorten (zoals bij een hub), in plaats van gewoon beneden de juiste poort zoals gebruikelijk. Een kwaadwillende gebruiker kan dan een pakketsniffer gebruiken die in promiscue modus draait om gevoelige gegevens van andere computers vast te leggen, die niet toegankelijk zouden zijn als de switch normaal zou werken.

Cisco biedt u de mogelijkheid om bescherming tegen deze aanval in te stellen door bepaalde MAC-adressen te beperken en/of uit te breiden naar een dedicated poort.

begrijp de MAC flooding attack
stel dat er een switch is met 3 PC’ s: PC a, PC B en PC C; in normale situaties, wanneer PC A een pakket naar PC B stuurt, ziet PC C geen pakket verzonden tussen PC A en PC B.

mac_learning

dit omdat de 3 PC is aangesloten op een switch en niet op een hub.

bij MAC flooding attack is het schakelgedrag anders. Tijdens de Mac overstroming aanval, de aanvaller (in dit geval PC C) overstromingen van de schakelaar met pakketten, elk met verschillende bron MAC-adres.

mac_flooding_attack

als het adresseerbare geheugen (het geheugen waarin de MAC-adressen zijn opgeslagen) vol is, werkt de switch als een hub; dus als PC A een pakket naar PC B stuurt, wordt het pakket ook naar PC C ontvangen.

mac_flooding_attack_2

bescherming tegen overstromingsaanvallen op MAC
Cisco heeft een functie geïmplementeerd, genaamd switchport port-security, om te beschermen tegen dit type aanvallen. U kunt de poort beveiligingsfunctie gebruiken om invoer te beperken tot een interface door MAC-adressen te beperken en te identificeren van de stations die toegang hebben tot de poort.

er zijn drie soorten beveiligde MAC-adressen:

  • statische veilige MAC-adressen: Deze worden handmatig geconfigureerd met behulp van het switchport port-security mac-address mac-address interface configuration commando, opgeslagen in de adreslijst, en toegevoegd aan de switch draaiende configuratie.
  • dynamische beveiligde MAC-adressen: deze worden dynamisch geleerd, alleen opgeslagen in de adreslijst en verwijderd wanneer de schakelaar opnieuw wordt opgestart.
  • Sticky secure MAC-adressen: deze kunnen dynamisch worden geleerd of handmatig worden geconfigureerd, worden opgeslagen in de adreslijst en worden toegevoegd aan de lopende configuratie. Als deze adressen worden opgeslagen in het configuratiebestand, hoeft de interface ze niet dynamisch opnieuw te leren wanneer de switch opnieuw wordt opgestart.

onthoud: een beveiligde poort kan van 1 tot 132 beveiligde adressen hebben. Het totale aantal beschikbare beveiligde adressen op de switch is 1024.

wanneer het maximum aantal beveiligde MAC-adressen aan de adreslijst is toegevoegd en een station waarvan het MAC-adres niet in de adreslijst staat, probeert toegang te krijgen tot de interface, treedt een beveiligingsovertreding op.

de switch kan op drie verschillende manieren reageren op een inbreuk op de beveiliging:

  • beveiligen: wanneer het aantal beveiligde MAC-adressen de limiet bereikt die op de poort is toegestaan, worden pakketten met onbekende bronadressen geschrapt totdat u een voldoende aantal beveiligde MAC-adressen verwijdert of het aantal maximaal toegestane adressen verhoogt. U wordt niet op de hoogte gesteld van een inbreuk op de beveiliging.
  • beperken: Wanneer het aantal beveiligde MAC-adressen de limiet bereikt die op de poort is toegestaan, worden pakketten met onbekende bronadressen geschrapt totdat u een voldoende aantal beveiligde MAC-adressen verwijdert of het aantal maximaal toegestane adressen verhoogt. In deze modus krijgt u een melding dat er een beveiligingsinbreuk heeft plaatsgevonden. Specifiek, een SNMP-trap wordt verzonden, een syslog-bericht wordt gelogd, en de overtreding teller stappen.
  • shutdown: in deze modus zorgt een schending van de poortbeveiliging ervoor dat de interface onmiddellijk fout-uitgeschakeld wordt, en schakelt de poortlamp uit. Het stuurt ook een SNMP-trap, logt een syslog-bericht, en verhoogt de schending teller. Wanneer een beveiligde poort zich in de fout-uitgeschakelde staat bevindt, kunt u deze uit deze toestand halen door het errdisable Recovery cause psecure-violation global configuration commando in te voeren, of u kunt het handmatig opnieuw inschakelen door de shutdown en geen shutdown interface configuratie commando ‘ s in te voeren. Dit is de standaardmodus.

voorbeeld: beperk tot tien MAC-adressen, waarvan twee statica (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), op FastEthernet 0/1 poort. De vereiste overtreding is “beperkt”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

switchport mode access: De Poort-beveiliging werkt alleen op toegangspoort, dus definieer het.
switchport port-security: poortbeveiliging inschakelen op de interface.
switchport port-security maximum 10: stelt het maximum aantal beveiligde MAC-adressen voor de interface in op 10.
switchport poort-beveiliging overtreding beperken: het definieert om “beperken” de overtreding modus.
switchport poort-beveiliging mac-adres aaaa.aaaa.aaaa: Definieer het statische MAC-adres; onthoud dat als u minder veilige MAC-adressen configureert dan het maximum, de resterende MAC-adressen dynamisch worden geleerd.

handige commando ‘ s voor het weergeven van de status en configuratie van verkeersbeheer zijn:

  • toon interfaces switchport: toont de administratieve en operationele status van alle switching (niet-routing) poorten of de opgegeven poort, inclusief poortblokkering en poortbeveiligingsinstellingen.
  • Havenbeveiliging tonen : Hier worden poortbeveiligingsinstellingen weergegeven voor de switch of voor de opgegeven interface, waaronder het maximaal toegestane aantal beveiligde MAC-adressen voor elke interface, het aantal beveiligde MAC-adressen op de interface, het aantal beveiligingsschendingen en de overtredingsmodus.
  • poort-beveiligingsadres weergeven: hier worden alle beveiligde MAC-adressen weergegeven die zijn geconfigureerd op alle switch-interfaces of op een opgegeven interface met verouderingsinformatie voor elk adres.

onthouden: u kunt poortbeveiliging op een interface alleen inschakelen als de poort niet als een van deze is geconfigureerd:

  • Trunk ports: als u poortbeveiliging probeert in te schakelen op een trunk-poort, verschijnt er een foutmelding en poortbeveiliging is niet ingeschakeld. Als u probeert de modus van een beveiligde poort te veranderen in trunk, wordt de poortmodus niet gewijzigd.
  • dynamische poort: een poort in dynamische modus kan met zijn buurman onderhandelen om een trunk-poort te worden. Als u poortbeveiliging probeert in te schakelen op een dynamische poort, verschijnt er een foutmelding en poortbeveiliging is niet ingeschakeld. Als u probeert de modus van een beveiligde poort in dynamisch te veranderen, wordt de poortmodus niet gewijzigd.
  • Dynamic-access-poort: als u poortbeveiliging probeert in te schakelen op een dynamic-access-poort (VLAN Query Protocol), verschijnt er een foutmelding en poortbeveiliging is niet ingeschakeld. Als u een beveiligde poort wilt wijzigen in dynamische VLAN-toewijzing, verschijnt er een foutmelding en wordt de VLAN-configuratie niet gewijzigd.
  • EtherChannel porT: voordat u port security op de poort inschakelt, moet u deze eerst uit het EtherChannel verwijderen. Als je probeert port security in te schakelen op een EtherChannel of op een actieve poort in een EtherChannel, verschijnt er een foutmelding en port security is niet ingeschakeld. Als je port security inschakelt op een nog niet actieve poort van een EtherChannel, sluit de port zich niet aan bij het EtherChannel.
  • 802.1 X-poort: u kunt een 802.1 X-poort niet configureren als een beveiligde poort. Als u poortbeveiliging probeert in te schakelen op een 802.1 X-poort, verschijnt er een foutmelding en poortbeveiliging is niet ingeschakeld. Als u probeert een beveiligde poort te wijzigen naar een 802.1 X-poort, verschijnt er een foutmelding en worden de 802.1 X-instellingen niet gewijzigd.
  • Switch Port Analyzer (SPAN) destination port: u kunt poortbeveiliging inschakelen op een poort die een span destination port is; poortbeveiliging is echter uitgeschakeld totdat de poort als SPAN destination is verwijderd. U kunt poortbeveiliging inschakelen op een SPAN source poort.

Write a Comment

Het e-mailadres wordt niet gepubliceerd.