Switch5_Bao mat Switch



Bảo mật switch

Nội dung
- Cấu hình switch
- Bảo mật cổng truyền dữ liệu (dynamic port)
- Kiểm tra bảo mật cổng truyền dữ liệu
- Bảo mật các cổng không sử dụng đến
Hướng dẫn
- Đọc thêm các bài viết Switch1, Switch2
Bài tập
Bảng địa chỉ
Thiết bị
Interface
Địa chỉ IP
Subnet Mask
S1
VLAN99
172.17.99.11
255.255.255.0
PC1
NIC
172.17.99.21
255.255.255.0
PC2
NIC
172.17.99.32
255.255.255.0
Sơ đồ mạng

1. Cấu hình switch
- B1. Sử dụng cáp console, nối cổng RS232 của máy tính PC1 với cổng console của switch S1. (mô hình mạng ở trên đã thực hiện bước này)
- B2. Chọn PC1, chọn thẻ Desktop, chọn Terminal, để mặc định các thiết lập, bấm OK.
- B3. Bạn đã thực hiện kết nối tới S1, gõ phím Enter để xuất hiện dấu nhắc nhập lệnh cho S1.
- B4. Chuyển sang chế độ privileged EXEC
[đọc thêm bài Switch1_basic để biết thêm về các chế độ cấu hình một switch]
Gõ lệnh enable để chuyển sang chế độ privileged EXEC, dấu nhắc sẽ chuyển từ > sang #
Switch>enable
Switch#
Để ý thấy là hệ thống không yêu cầu nhập mật khẩu để vào chế độ cấu hình privileged EXEC.
- B5. Gõ lệnh configure terminal để chuyển sang chế độ global configuration, sau đó sử dụng lệnh enable secret để thiết lập mật khẩu cho phép vào chế độ cấu hình privileged EXEC (mật khẩu là class).
S1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#enable secret class
S1(config)#
B6. Trở về chế độ User (gõ lệnh exit hai lần), sau đó vào lại chế độ cấu hình privileged EXEC để kiểm tra, sẽ thấy việc đặt mật khẩu đã thành công.
S1>
S1>en
Password:
S1#
B7. Đặt mật khẩu cho kết nối console và kết nối virtual terminal (truy cập từ xa), yêu cầu người dùng phải nhập mật khẩu để truy cập tới switch.
- Vào chế độ cấu hình cho đường console, sử dụng lệnh line console 0
- Sử dụng lệnh password để cấu hình mật khẩu cho đường console và vty (mật khẩu là cisco)
- Gõ lệnh login để yêu cầu người dùng phải nhập mật khẩu khi truy cập vào chế độ User
- Sử dụng lệnh line vty 0 15 để vào cấu hình cho đường virtual terminal
- Sử dụng lệnh exit để trở về chế độ cấu hình global
S1(config)#line console 0
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
S1(config)#
B8. Mã hóa mật khẩu.
- Mật khẩu để vào chế độ privileged EXEC đã được mã hóa. Bạn cần thực hiện mã hóa hai mật khẩu vừa đặt ở bước trên. Sử dụng lệnh service password-encryption.
S1(config)#service password-encryption
S1(config)#
B9. Cấu hình và kiểm tra câu thông báo (MOTD banner)
- MOTD(message-of-the-day) là câu thông báo, xuất hiện khi bạn truy cập tới thiết bị.
- Câu thông báo sẽ được thiết lập là Authorized Access Only
- Sử dụng lệnh banner motd, và hai dấu && để thiết lập câu thông báo
- Sau đó đăng nhập lại vào switch để kiểm tra kết quả
S1(config)#banner motd &Authorized Access Only&
S1(config)#exit
S1#
S1#exit
Press RETURN to get started!
Authorized Access Only
User Access Verification
Password:
- Chú ý: mật khẩu để truy cập vào switch là cisco và mật khẩu để vào chế độ privileged EXEC là class, khi gõ mật khẩu, trên màn hình sẽ không hiện bất kì dấu hiệu nào.
2. Cấu hình bảo mật cổng truyền dữ liệu (dynamic port)
- B1. bật VLAN99
S1(config)#int vlan 99
S1(config-if)#no shutdown
S1(config-if)#
- B2. Bật chế độ port security cho cổng Fa0/18
S1(config-if)#int fa0/18
S1(config-if)#switchport port-security
- B3. Thiết lập giới hạn địa chỉ MAC cho port
Cấu hình cho phép một port chỉ gắn với một MAC duy nhất, đặt giá trị maximum là 1.
S1(config-if)#switchport port-security maximum 1
B4. Cấu hình để lưu địa chỉ MAC vào running configuration
S1(config-if)#switchport port-security mac-address sticky
B5. Cấu hình cho phép một port tự tắt, khi chính sách bảo mật trên port bị vi phạm.
S1(config-if)#switchport port-security violation shutdown
B6. Kiểm tra quá trình switch S1 học địa chỉ MAC của PC1.
Thực hiện ping từ PC1 tới S1.
PC>ping 172.17.99.11
Pinging 172.17.99.11 with 32 bytes of data:

Reply from 172.17.99.11: bytes=32 time=0ms TTL=255
Reply from 172.17.99.11: bytes=32 time=0ms TTL=255
Reply from 172.17.99.11: bytes=32 time=0ms TTL=255
Reply from 172.17.99.11: bytes=32 time=0ms TTL=255

Ping statistics for 172.17.99.11:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
Kiểm tra trong bảng địa chỉ MAC của S1. Xem đã có một hàng cho địa chỉ MAC của PC1 với kiểu là static hay chưa?
S1#show mac-address-table
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
  99    0060.5c5b.cd23    STATIC      Fa0/18
Địa chỉ MAC bây giờ đã được lưu vào trong running configuration.
S1#show running-config
...
interface FastEthernet0/18
 switchport access vlan 99
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky 0060.5C5B.CD23
...
3. Kiểm tra bảo mật cổng truyền dữ liệu
B1. Gỡ bỏ kết nối giữa PC1 và S1, thực hiện kết nối PC2 với S1
- Để kiểm tra xem việc cấu hình bảo mật trên cổng Fa0/18 có thành công hay không. Thực hiện xóa kết nối Ethernet giữa PC1 và S1.
- Kết nối PC2 với cổng Fa0/18. Đợi cho đèn sáng (màu xanh). Thực hiện ping PC2 tới S1. Cổng đã được cấu hình bảo mật sẽ tự động tắt (hai đèn chuyển sang màu đỏ).
B2. Kiểm tra cổng đã bị tắt hay chưa?
S1#show interface fa0/18
FastEthernet0/18 is down, line protocol is down (err-disabled)
Hardware is Lance, address is 0090.213e.5712 (bia 0090.213e.5712)
...
Cũng có thể kiểm tra bằng lệnh show port-security interface fa0/18.
S1#show port-security interface fa0/18
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 00E0.F7B0.086E:99
Security Violation Count   : 1
Để ý sẽ thấy Port Status là Secure-shutdown (Bị tắt vì lý do an toàn), và Security Violation Count có giá trị 1 (số lần vi phạm liên quan đến bảo mật là 1).
B3. Thực hiện kết nối lại PC1 vào S1 và khôi phục lại cổng truyền dữ liệu của S1.
Gỡ bỏ kết nối giữa PC2 và S1. Kết nối lại PC1 vào cổng Fa0/18 của S1.
Chú ý là cổng Fa0/18 vẫn ở trạng thái tắt (down), mặc dù PC1 đã được cấu hình từ trước là được phép kết nối tới cổng Fa0/18. Lý do là một cổng bị khóa do vi phạm về bảo mật phải được kích hoạt lại bằng tay. Vì vậy hãy tắt cổng đó đi bằng lệnh shutdown và bật lại bằng lệnh no shutdown.
S1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#interface fa0/18
S1(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down
S1(config-if)#no shutdown
S1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/18, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
S1(config-if)#exit
S1(config)#
B4. Kiểm tra kết nối bằng lệnh ping từ PC1 tới S1. Kết quả ping thành công là được. (bạn đã hoàn thành được 70% công việc của bài thực hành).
4. Bảo mật các cổng không sử dụng
Một phương pháp đơn giản được nhiều nhà quản trị áp dụng để bảo vệ các cổng không sử dụng đến là khóa lại (vô hiệu).
B1. Khóa cổng Fa0/17 trên S1
Vào chế độ interface configuration cho FastEthernet 0/17, và tắt cổng này.
S1(config)#interface fa0/17
S1(config-if)#shutdown
B2. Kết nối thử PC2 tới cổng Fa0/17 của S1 để kiểm tra.
Sử dụng cáp thẳng, kết nối PC2 tới cổng Fa0/17 của S1. Đèn báo sẽ có màu đỏ. PC2 không thể truy cập vào switch.
S3. Kiểm tra kết quả thực hiện bài thực hành.
Nếu bạn thực hiện đúng các thao tác, kết quả bài thực hành sẽ là 100%. Nếu không, bạn hãy bấm nút Check Results để kiểm tra lại những phần chưa thực hiện hoặc thực hiện chưa đúng.
-------------------------
Tham khảo: Activity 2.4.7: Configure Switch Security - Cisco
-------------------------------
Cập nhật 2014/2/25