Bảo mật switch
Nội dung
- Cấu hình switch
- Bảo mật cổng truyền dữ liệu (dynamic port)
- Kiểm tra bảo mật cổng truyền dữ liệu
- Bảo mật các cổng không sử dụng đến
- Bảo mật các cổng không sử dụng đến
Hướng dẫn
- Đọc thêm các bài viết Switch1,
Switch2
Bài tập
Bảng địa chỉ
Thiết bị
|
Interface
|
Địa chỉ IP
|
Subnet Mask
|
S1
|
VLAN99
|
172.17.99.11
|
255.255.255.0
|
PC1
|
NIC
|
172.17.99.21
|
255.255.255.0
|
PC2
|
NIC
|
172.17.99.32
|
255.255.255.0
|
Sơ đồ mạng
1. Cấu hình switch
- B1. Sử dụng cáp console, nối cổng RS232 của máy tính PC1 với
cổng console của switch S1. (mô hình mạng ở trên đã thực hiện bước này)
- B2. Chọn PC1, chọn thẻ Desktop, chọn Terminal, để mặc định các
thiết lập, bấm OK.
- B3. Bạn đã thực hiện kết nối tới S1, gõ phím Enter để xuất
hiện dấu nhắc nhập lệnh cho S1.
- B4. Chuyển sang chế độ privileged EXEC
[đọc thêm bài
Switch1_basic để biết thêm về các chế độ cấu hình một switch]
Gõ lệnh enable để chuyển
sang chế độ privileged EXEC, dấu nhắc sẽ chuyển từ > sang #
Switch>enable
Switch#
Để ý thấy là hệ thống không yêu cầu nhập mật khẩu để vào chế
độ cấu hình privileged EXEC.
- B5. Gõ lệnh configure
terminal để chuyển sang chế độ global configuration, sau đó sử dụng lệnh enable secret để thiết lập mật khẩu cho
phép vào chế độ cấu hình privileged EXEC (mật khẩu là class).
S1#configure terminal
Enter configuration
commands, one per line. End with CNTL/Z.
S1(config)#enable secret
class
S1(config)#
B6. Trở về chế độ User (gõ lệnh exit hai lần), sau đó vào lại chế độ cấu hình privileged EXEC để
kiểm tra, sẽ thấy việc đặt mật khẩu đã thành công.
S1>
S1>en
Password:
S1#
B7. Đặt mật khẩu cho kết nối console và kết nối virtual
terminal (truy cập từ xa), yêu cầu người dùng phải nhập mật khẩu để truy cập
tới switch.
- Vào chế độ cấu hình cho đường console, sử dụng lệnh line console 0
- Sử dụng lệnh password để cấu hình mật khẩu cho đường
console và vty (mật khẩu là cisco)
- Gõ lệnh login để
yêu cầu người dùng phải nhập mật khẩu khi truy cập vào chế độ User
- Sử dụng lệnh line vty 0 15 để vào cấu hình cho đường virtual
terminal
- Sử dụng lệnh exit
để trở về chế độ cấu hình global
S1(config)#line console
0
S1(config-line)#password
cisco
S1(config-line)#login
S1(config-line)#line vty
0 15
S1(config-line)#password
cisco
S1(config-line)#login
S1(config-line)#exit
S1(config)#
B8. Mã hóa mật khẩu.
- Mật khẩu để vào chế độ privileged EXEC đã được mã hóa. Bạn
cần thực hiện mã hóa hai mật khẩu vừa đặt ở bước trên. Sử dụng lệnh service password-encryption.
S1(config)#service
password-encryption
S1(config)#
B9. Cấu hình và kiểm tra câu thông báo (MOTD banner)
- MOTD(message-of-the-day) là câu thông báo, xuất hiện khi bạn
truy cập tới thiết bị.
- Câu thông báo sẽ được thiết lập là Authorized Access Only
- Sử dụng lệnh banner
motd, và hai dấu && để thiết lập câu thông báo
- Sau đó đăng nhập lại vào switch để kiểm tra kết quả
S1(config)#banner motd
&Authorized Access Only&
S1(config)#exit
S1#
S1#exit
…
Press RETURN to get
started!
Authorized Access Only
User Access Verification
Password:
- Chú ý: mật khẩu để truy cập vào switch là cisco và mật khẩu để vào chế độ
privileged EXEC là class, khi gõ mật
khẩu, trên màn hình sẽ không hiện bất kì dấu hiệu nào.
2. Cấu hình bảo mật
cổng truyền dữ liệu (dynamic port)
- B1. bật VLAN99
S1(config)#int vlan 99
S1(config-if)#no
shutdown
S1(config-if)#
- B2. Bật chế độ port security cho cổng Fa0/18
S1(config-if)#int fa0/18
S1(config-if)#switchport
port-security
- B3. Thiết lập giới hạn địa chỉ MAC cho port
Cấu hình cho phép một port chỉ gắn với một MAC duy nhất, đặt
giá trị maximum là 1.
S1(config-if)#switchport
port-security maximum 1
B4. Cấu hình để lưu
địa chỉ MAC vào running configuration
S1(config-if)#switchport port-security mac-address
sticky
B5. Cấu hình cho
phép một port tự tắt, khi chính sách bảo mật trên port bị vi phạm.
S1(config-if)#switchport port-security violation
shutdown
B6. Kiểm tra quá
trình switch S1 học địa chỉ MAC của PC1.
Thực hiện ping từ
PC1 tới S1.
PC>ping 172.17.99.11
Pinging 172.17.99.11 with 32 bytes of data:
Reply from 172.17.99.11: bytes=32 time=0ms TTL=255
Reply from 172.17.99.11: bytes=32 time=0ms TTL=255
Reply from 172.17.99.11: bytes=32 time=0ms TTL=255
Reply from 172.17.99.11: bytes=32 time=0ms TTL=255
Ping statistics for 172.17.99.11:
Packets:
Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum
= 0ms, Maximum = 0ms, Average = 0ms
Kiểm tra trong bảng
địa chỉ MAC của S1. Xem đã có một hàng cho địa chỉ MAC của PC1 với kiểu là
static hay chưa?
S1#show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac
Address Type Ports
----
----------- -------- -----
99 0060.5c5b.cd23 STATIC
Fa0/18
Địa chỉ MAC bây giờ
đã được lưu vào trong running configuration.
S1#show running-config
...
interface FastEthernet0/18
switchport
access vlan 99
switchport
mode access
switchport
port-security
switchport
port-security mac-address sticky
switchport
port-security mac-address sticky 0060.5C5B.CD23
...
3. Kiểm tra bảo mật cổng truyền dữ liệu
B1. Gỡ bỏ kết nối
giữa PC1 và S1, thực hiện kết nối PC2 với S1
- Để kiểm tra xem
việc cấu hình bảo mật trên cổng Fa0/18 có thành công hay không. Thực hiện xóa
kết nối Ethernet giữa PC1 và S1.
- Kết nối PC2 với
cổng Fa0/18. Đợi cho đèn sáng (màu xanh). Thực hiện ping PC2 tới S1. Cổng đã
được cấu hình bảo mật sẽ tự động tắt (hai đèn chuyển sang màu đỏ).
B2. Kiểm tra cổng
đã bị tắt hay chưa?
S1#show interface fa0/18
FastEthernet0/18 is down, line protocol is down
(err-disabled)
Hardware is Lance, address is 0090.213e.5712 (bia
0090.213e.5712)
...
Cũng có thể kiểm
tra bằng lệnh show port-security
interface fa0/18.
S1#show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 00E0.F7B0.086E:99
Security Violation Count : 1
Để ý sẽ thấy Port
Status là Secure-shutdown (Bị tắt vì
lý do an toàn), và Security Violation Count có giá trị 1 (số lần vi phạm liên
quan đến bảo mật là 1).
B3. Thực hiện kết
nối lại PC1 vào S1 và khôi phục lại cổng truyền dữ liệu của S1.
Gỡ bỏ kết nối giữa
PC2 và S1. Kết nối lại PC1 vào cổng Fa0/18 của S1.
Chú ý là cổng
Fa0/18 vẫn ở trạng thái tắt (down), mặc dù PC1 đã được cấu hình từ trước là
được phép kết nối tới cổng Fa0/18. Lý do là một cổng bị khóa do vi phạm về bảo
mật phải được kích hoạt lại bằng tay. Vì vậy hãy tắt cổng đó đi bằng lệnh shutdown và bật lại bằng lệnh no shutdown.
S1#config t
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#interface fa0/18
S1(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/18,
changed state to administratively down
S1(config-if)#no shutdown
S1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/18,
changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/18, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface
Vlan99, changed state to up
S1(config-if)#exit
S1(config)#
B4. Kiểm tra kết
nối bằng lệnh ping từ PC1 tới S1. Kết quả ping thành công là được. (bạn đã hoàn
thành được 70% công việc của bài thực hành).
4. Bảo mật các cổng không sử dụng
Một phương pháp đơn
giản được nhiều nhà quản trị áp dụng để bảo vệ các cổng không sử dụng đến là
khóa lại (vô hiệu).
B1. Khóa cổng
Fa0/17 trên S1
Vào chế độ
interface configuration cho FastEthernet 0/17, và tắt cổng này.
S1(config)#interface fa0/17
S1(config-if)#shutdown
B2. Kết nối thử PC2
tới cổng Fa0/17 của S1 để kiểm tra.
Sử dụng cáp thẳng,
kết nối PC2 tới cổng Fa0/17 của S1. Đèn báo sẽ có màu đỏ. PC2 không thể truy
cập vào switch.
S3. Kiểm tra kết
quả thực hiện bài thực hành.
Nếu bạn thực hiện
đúng các thao tác, kết quả bài thực hành sẽ là 100%. Nếu không, bạn hãy bấm nút
Check Results để kiểm tra lại những phần chưa thực hiện hoặc thực hiện chưa
đúng.
-------------------------
Tham khảo: Activity 2.4.7:
Configure Switch Security - Cisco
-------------------------------
Cập nhật 2014/2/25