skydda mot Mac flooding attack

i en typisk Mac flooding attack, är en switch översvämmas med paket, var och en innehåller olika källa MAC-adresser. Avsikten är att konsumera det begränsade minnet som avsatts i omkopplaren för att lagra ÖVERSÄTTNINGSTABELLEN för MAC-adress till fysisk port.

resultatet av denna attack gör att omkopplaren går in i ett tillstånd som kallas failopen-läge, där alla inkommande paket sänds ut på alla portar (som med ett nav), istället för bara ner rätt port enligt normal drift. En skadlig användare kan sedan använda en paketsniffer som körs i promiskuöst läge för att fånga känslig data från andra datorer, vilket inte skulle vara tillgängligt om omkopplaren fungerade normalt.

Cisco ger dig en möjlighet att ställa in skydd mot denna attack med begränsande och/eller hårdkoppling vissa MAC-adresser till en dedikerad port.

förstå Mac-översvämningsattacken
Antag att ha en switch med 3 PC: PC a, PC B och PC C; i normal situation, när PC a skickar ett paket till PC B, ser PC C inte paket som skickas mellan PC A och PC B.

mac_learning

detta eftersom 3-datorn är ansluten till en omkopplare och inte till ett nav.

under Mac översvämning attack, omkopplaren beteende är annorlunda. Under MAC-översvämningsattacken översvämmer angriparen (i detta fall PC C) omkopplaren med paket, var och en med olika käll-MAC-adresser.

mac_flooding_attack

om innehållet adresserbart minne (minnet där MAC-adresserna är lagrade) är fullt fungerar omkopplaren som ett nav; så om PC a skickar ett paket till PC B kommer paketet att tas emot till PC C också.

mac_flooding_attack_2

skydda mot Mac översvämning attack
Cisco har genomfört en funktion, kallas switchport port-security, för att skydda mot denna typ av attack. Du kan använda portsäkerhetsfunktionen för att begränsa indata till ett gränssnitt genom att begränsa och identifiera MAC-adresser för de stationer som får komma åt porten.

det finns tre typer av säkra MAC-adresser:

  • statiska säkra MAC-adresser: Dessa konfigureras manuellt med kommandot switchport port-security mac-address MAC-address interface configuration, som lagras i adresstabellen och läggs till i switch running configuration.
  • dynamiska säkra MAC-adresser: dessa lärs dynamiskt, lagras endast i adresstabellen och tas bort när omkopplaren startas om.
  • klibbiga säkra MAC-adresser: dessa kan dynamiskt läras in eller konfigureras manuellt, lagras i adresstabellen och läggas till i den löpande konfigurationen. Om dessa adresser sparas i konfigurationsfilen behöver gränssnittet inte dynamiskt lära om dem när omkopplaren startar om.

kom ihåg: en säker port kan ha från 1 till 132 associerade säkra adresser. Det totala antalet tillgängliga säkra adresser på omkopplaren är 1024.

när det maximala antalet säkra MAC-adresser har lagts till i adresstabellen och en station vars MAC-adress inte finns i adresstabellen försöker komma åt gränssnittet inträffar en säkerhetsöverträdelse.

växeln kan reagera på en säkerhetsöverträdelse på tre olika sätt:

  • skydda: när antalet säkra MAC-adresser når den tillåtna gränsen på porten, tappas paket med okända källadresser tills du tar bort ett tillräckligt antal säkra MAC-adresser eller ökar antalet maximalt tillåtna adresser. Du meddelas inte att en säkerhetsöverträdelse har inträffat.
  • begränsa: När antalet säkra MAC-adresser når den tillåtna gränsen på porten, tappas paket med okända källadresser tills du tar bort ett tillräckligt antal säkra MAC-adresser eller ökar antalet maximalt tillåtna adresser. I det här läget meddelas du att en säkerhetsöverträdelse har inträffat. Specifikt skickas en SNMP-fälla, ett syslog-meddelande loggas och överträdelseräknaren ökar.
  • avstängning: i det här läget orsakar en portsäkerhetsöverträdelse att gränssnittet omedelbart blir felinaktiverat och stänger av portlampan. Det skickar också en SNMP-fälla, loggar ett syslog-meddelande och ökar överträdelseräknaren. När en säker port är i felinaktiverat tillstånd kan du ta det ur det här tillståndet genom att ange kommandot errdisable recovery cause psecure-violation global configuration, eller så kan du manuellt aktivera det genom att ange konfigurationskommandona för avstängning och ingen avstängning. Detta är standardläget.

exempel: begränsa till tio MAC-adresser, varav två är statik (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), på FastEthernet 0/1 port. Överträdelsen som krävs är “begränsad”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

switchport mode access: portsäkerheten fungerar bara på åtkomstport, så definiera den.
switchport port-security: aktivera port säkerhet på gränssnittet.
switchport port-säkerhet max 10: ställer in det maximala antalet säkra MAC-adresser för gränssnittet till 10.
switchport port – säkerhetsöverträdelse begränsa: det definierar att “begränsa” överträdelseläget.
switchport port-säkerhet mac-adress aaaa.aaaa.aaaa: definiera den statiska MAC-adressen; kom ihåg att om du konfigurerar färre säkra MAC-adresser än det maximala, lärs de återstående MAC-adresserna dynamiskt.

användbara kommandon för att visa trafikstyrningsstatus och konfiguration är:

  • visa gränssnitt switchport: visar administrativ och operativ status för alla switching (nonrouting) portar eller den angivna porten, inklusive port blockering och portskyddsinställningar.
  • visa port-säkerhet : Visar portsäkerhetsinställningar för växeln eller för det angivna gränssnittet, inklusive det maximala tillåtna antalet säkra MAC-adresser för varje gränssnitt, antalet säkra MAC-adresser på gränssnittet, antalet säkerhetsöverträdelser som har inträffat och överträdelseläget.
  • visa port-security address: visar alla säkra MAC-adresser konfigurerade på alla switch-gränssnitt eller på ett angivet gränssnitt med åldrande information för varje adress.

kom ihåg: du kan aktivera portsäkerhet på ett gränssnitt Endast om porten inte är konfigurerad som en av dessa:

  • Trunk-portar: om du försöker aktivera portsäkerhet på en trunk-port visas ett felmeddelande och portsäkerhet är inte aktiverat. Om du försöker ändra läget för en säker port till trunk ändras inte portläget.
  • dynamisk port: en port i dynamiskt läge kan förhandla med sin granne för att bli en stamport. Om du försöker aktivera portsäkerhet på en dynamisk port visas ett felmeddelande och portsäkerhet är inte aktiverat. Om du försöker ändra läget för en säker port till dynamisk ändras inte portläget.
  • dynamisk åtkomstport: om du försöker aktivera portsäkerhet i en port för dynamisk åtkomst (VLAN Query Protocol ) visas ett felmeddelande och portsäkerhet är inte aktiverat. Om du försöker ändra en säker port till dynamisk VLAN-tilldelning visas ett felmeddelande och VLAN-konfigurationen ändras inte.
  • EtherChannel porT: innan du aktiverar portsäkerhet på porten måste du först ta bort den från EtherChannel. Om du försöker aktivera portsäkerhet på en EtherChannel eller på en aktiv port i en EtherChannel visas ett felmeddelande och portsäkerhet är inte aktiverat. Om du aktiverar portsäkerhet på en ännu inte aktiv port i en EtherChannel, ansluter inte porten till EtherChannel.
  • 802.1 X-port: Du kan inte konfigurera en 802.1 X-port som en säker port. Om du försöker aktivera portsäkerhet på en 802.1 X-port visas ett felmeddelande och portsäkerhet är inte aktiverat. Om du försöker ändra en säker port till en 802.1 X-port visas ett felmeddelande och 802.1 x-inställningarna ändras inte.
  • Switch Port Analyzer (SPAN) destinationsport: du kan aktivera port säkerhet på en port som är en SPAN destination port; dock är port säkerhet inaktiverad tills porten tas bort som en SPAN destination. Du kan aktivera portsäkerhet på en SPAN – källport.

Write a Comment

Din e-postadress kommer inte publiceras.