protejarea împotriva atacurilor de inundații MAC

într-un atac tipic de inundații MAC, un comutator este inundat cu pachete, fiecare conținând adrese MAC sursă diferite. Intenția este de a consuma memoria limitată pusă deoparte în comutator pentru a stoca tabelul de traducere a adresei MAC la portul fizic.

rezultatul acestui atac face ca comutatorul să intre într-o stare numită mod failopen, în care toate pachetele primite sunt difuzate pe toate porturile (ca în cazul unui hub), în loc de doar în jos portul corect conform funcționării normale. Un utilizator rău intenționat ar putea folosi apoi un sniffer de pachete care rulează în modul promiscuu pentru a capta date sensibile de pe alte computere, care nu ar fi accesibile dacă comutatorul ar funcționa normal.

Cisco vă oferă posibilitatea de a configura protecție împotriva acestui atac cu limitarea și/sau cablarea unor adrese MAC la un port dedicat.

înțelegeți atacul de inundații MAC
să presupunem că aveți un comutator cu 3 PC: PC A, PC B și PC C; în situație normală, când PC a trimite un pachet către PC B, PC C nu vizualizează pachetul trimis între PC A și PC B.

mac_learning

acest lucru deoarece PC-ul 3 sunt conectate la un comutator și nu la un hub.

sub atacul de inundații MAC, comportamentul comutatorului este diferit. În timpul atacului de inundații MAC, atacatorul (în acest caz PC C) inundă comutatorul cu pachete, fiecare cu o adresă MAC sursă diferită.

mac_flooding_attack

dacă memoria adresabilă de conținut (memoria în care sunt stocate adresele MAC) este plină, comutatorul funcționează ca un hub; deci, dacă PC-ul a trimite un pachet la PC B, pachetul va fi primit și la PC C.

mac_flooding_attack_2

protejarea împotriva atacurilor de inundații MAC
Cisco a implementat o caracteristică, numită switchport port-security, pentru a proteja împotriva acestui tip de atac. Puteți utiliza caracteristica port security pentru a restricționa intrarea la o interfață prin limitarea și identificarea adreselor MAC ale stațiilor autorizate să acceseze portul.

există trei tipuri de adrese MAC securizate:

  • adrese MAC securizate statice: Acestea sunt configurate manual utilizând comanda switchport port-security mac-address MAC-address interface configuration, stocată în tabelul de adrese și adăugată la configurația de rulare a comutatorului.
  • adrese MAC securizate dinamice: acestea sunt învățate dinamic, stocate numai în tabelul de adrese și eliminate la repornirea comutatorului.
  • adrese MAC securizate lipicioase: acestea pot fi învățate dinamic sau configurate manual, stocate în tabelul de adrese și adăugate la configurația care rulează. Dacă aceste adrese sunt salvate în fișierul de configurare, interfața nu trebuie să le reînvețe dinamic atunci când comutatorul repornește.

amintiți-vă: un port securizat poate avea de la 1 la 132 de adrese securizate asociate. Numărul total de adrese securizate disponibile pe comutator este 1024.

când numărul maxim de adrese MAC securizate a fost adăugat la tabelul de adrese și o stație a cărei adresă MAC nu se află în tabelul de adrese încearcă să acceseze interfața, apare o încălcare a securității.

comutatorul poate reacționa la o încălcare a securității în trei moduri diferite:

  • protejați: când numărul de adrese MAC securizate atinge limita permisă pe port, pachetele cu adrese sursă necunoscute sunt abandonate până când eliminați un număr suficient de adrese MAC securizate sau creșteți numărul de adrese maxime admise. Nu sunteți notificat că a avut loc o încălcare a securității.
  • restricționează: Când numărul de adrese MAC securizate atinge limita permisă pe port, pachetele cu adrese sursă necunoscute sunt abandonate până când eliminați un număr suficient de adrese MAC securizate sau creșteți numărul de adrese maxime admise. În acest mod, sunteți notificat că a avut loc o încălcare a securității. Mai exact, o capcană SNMP este trimis, un mesaj syslog este conectat, și incremente contra încălcare.
  • oprire: în acest mod, o încălcare a securității portului determină interfața să devină imediat dezactivată de eroare și oprește LED-ul portului. De asemenea, trimite o capcană SNMP, înregistrează un mesaj syslog și crește contorul de încălcări. Când un port securizat se află în starea dezactivată de eroare, îl puteți scoate din această stare introducând comanda de configurare globală pentru cauza de recuperare errdisable psecure-violation sau îl puteți reactiva manual introducând comenzile de configurare a interfeței shutdown și no shutdown. Acesta este modul implicit.

exemplu: limitați la zece adrese MAC, dintre care două sunt statice (aaaa.aaaaa.AAAA, bbbb.bbbb.bbbb), pe FastEthernet 0/1 port. Încălcarea necesară este “restricționată”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

switchport mode access: securitatea portului funcționează numai pe portul de acces, deci definiți-l.
switchport port-securitate: activați securitatea portului pe interfață.
switchport port-securitate maximă 10: setează numărul maxim de adrese MAC securizate pentru interfață la 10.
port switchport-încălcarea securității restricționează: definește “restricționarea” modului de încălcare.
port switchport – securitate mac-adresa aaaa.aaaaa.AAAA: definiți adresa MAC statică; rețineți că, dacă configurați mai puține adrese MAC securizate decât maximul, adresele MAC rămase sunt învățate dinamic.

comenzile utile pentru afișarea stării și configurației controlului traficului sunt:

  • afișează interfețele switchport: afișează starea administrativă și operațională a tuturor porturilor de comutare (nonrouting) sau a portului specificat, inclusiv setările de blocare a porturilor și de protecție a porturilor.
  • arată port-securitate : Afișează setările de securitate port pentru comutator sau pentru interfața specificată, inclusiv numărul maxim permis de adrese MAC securizate pentru fiecare interfață, numărul de adrese MAC securizate din interfață, numărul de încălcări de securitate care au avut loc și modul de încălcare.
  • afișează adresa port-securitate: afișează toate adresele MAC securizate configurate pe toate interfețele switch sau pe o interfață specificată cu informații de îmbătrânire pentru fiecare adresă.

amintiți-vă: puteți activa securitatea porturilor pe o interfață numai dacă portul nu este configurat ca unul dintre acestea:

  • porturi Trunk: dacă încercați să activați securitatea porturilor pe un port trunk, apare un mesaj de eroare și securitatea porturilor nu este activată. Dacă încercați să schimbați modul unui port securizat în portbagaj, modul port nu este modificat.
  • port dinamic: un port în modul dinamic poate negocia cu vecinul său pentru a deveni un port trunchi. Dacă încercați să activați securitatea porturilor pe un port dinamic, apare un mesaj de eroare și securitatea porturilor nu este activată. Dacă încercați să schimbați modul unui port securizat în dinamic, modul port nu este modificat.
  • port cu acces dinamic: dacă încercați să activați securitatea porturilor pe un port cu acces dinamic (VLAN Query Protocol), apare un mesaj de eroare și securitatea porturilor nu este activată. Dacă încercați să modificați un port securizat la atribuirea dinamică VLAN, apare un mesaj de eroare și configurația VLAN nu este modificată.
  • portul EtherChannel: înainte de a activa securitatea portului pe port, trebuie mai întâi să îl eliminați din EtherChannel. Dacă încercați să activați securitatea porturilor pe un EtherChannel sau pe un port activ într-un EtherChannel, apare un mesaj de eroare și securitatea porturilor nu este activată. Dacă activați securitatea portului pe un port care nu este încă activ al unui EtherChannel, portul nu se alătură EtherChannel.
  • 802.1 x port: nu puteți configura un port 802.1 x ca port securizat. Dacă încercați să activați securitatea porturilor pe un port 802.1 x, apare un mesaj de eroare și securitatea porturilor nu este activată. Dacă încercați să schimbați un port securizat la un port 802.1 X, apare un mesaj de eroare și setările 802.1 x nu sunt modificate.
  • portul de destinație Switch Port Analyzer (SPAN): puteți activa securitatea portului pe un port care este un port de destinație SPAN; Cu toate acestea, securitatea portului este dezactivată până când portul este eliminat ca destinație SPAN. Puteți activa securitatea porturilor pe un port sursă de deschidere.

Write a Comment

Adresa ta de email nu va fi publicată.