การสร้างความปลอดภัยในสวิตช์
ในบทนี้คุณจะได้เรียนรู้วิธีการสร้างความปลอดภัยดังต่อไปนี้
· อธิบายถึงการโจมตีใน
เลเยอร์ 2 (MAC flooding, rogue devices, VLAN hopping,
DHCP spoofing และอื่นๆ)
· อธิบายและตั่งค่า
Port Security, 802.1.x, VACLs, Private VLANs, DHCP snooping และ DAI
สิ่งที่สำคัญมากของอุตสาหกรรมไอทีคือการคำนึงถึง
การให้จุดสนใจไปทีการโจมตีระบบรักษาความปลอดภัย จากภายนอกองค์กรหรือการถูกโจมตี
บนเลเยอร์ด้านบน ตามมาตรฐาน OSI.ความปลอดภัย
สำหรับเครือข่ายส่วนมากมักจะเน้นเพียงอุปกรณ์และ ความสามารถในการกรองปริมาณข้อมูล
โดยใช้เลเยอร์ 3 และ เลเยอร์ 4
อุปกรณ์ปกติจะสแกนส่วนหัว, พอร์ต, และจะตรวจสอบแพ็คเก็ตแบบ stateful. หลายสิ่งที่ได้เข้ามามักจะสร้างปัญหาให้กับเลเยอร์3และส่วนด้านบน โดยเน้นเฉพาะปริมาณข้อมูลเครือข่ายที่มาจากอินเทอร์เน็ต ผู้คนส่วนมากและผู้ดูและระบบไม่น้อย
ไม่คิดว่าจะเข้าถึงอุปกรณ์สื่อสารในระดับเลเยอร์ 2ได้
ในบทนี้จะปูพื้นฐานในความปลอดภัยในเลเยอร์ 2
บทนำ
ถ้าคุณพิจารณาถึงวิธีการปรับแต่งอุปกรณ์เครือข่ายเมื่อคุณได้ซื้อมา ณ ปัจจุบันคุณจะเห็นได้ชัดเจนว่าความปลอดภัยที่ตั้งมาจากโรงงานจะมีความปลอดภัยต่ำมาก
บนอุปกรณ์ที่ใช้ในองค์กร
อุปกรณ์ป้องกันภายนอกเช่นไฟร์วอลล์ที่เกือบรวมรวบความปลอดไว้ทั่งหมด
แต่จะควบคุมเฉพาะข้อมูลที่ได้ระบุไว้เท่านั้น และจะไม่ยอมให้ไหลเข้าสู่ระบบเมื่อไม่ได้อนุญาต
เมื่อได้รับอนุญาตจะให้ความสำคัญกับ เราเตอร์และสวิตซ์ ได้รับว่ามีการ
สื่อสารภายในและทำให้มีประสิทธิภาพ (หรือเร็วที่สุด) ในการส่งข้อมูลในองค์กร
โดยเกือบจะไม่มี
การกำหนดค่าความปลอดภัย ทำให้อุปกรณ์เครือข่ายภายในองค์กรมีช่องโหว่เป็นเป้าหมายในการโจมตีได้
จึงเป็นสาเหตุที่เลเยอร์2ถูกทำลายอย่างรวดเร็ว
โดยส่วนใหญ่เครือข่ายจะไม่ได้ป้อง
การในส่วนของเลเยอร์2เพราะยังขาดความรู้ในการป้องกัน
การในส่วนของเลเยอร์2เพราะยังขาดความรู้ในการป้องกัน
จากบทที่แล้วมาได้กล่าวถึงวิธีการเพิ่มระดับความปลอดภัยให้กับอุปกรณ์เลเยอร์2สมควรที่จะกำหนดนโยบายสำหรับความปลอดภัยชั้นบนเลเยอร์ด้านบนจะสร้างนโยบายให้กับเลเยอร์2เมื่อมีการกำหนดนโยบายมีคุณสมบัติเหมาะสมสามารถกำหนดค่าเพื่อป้องกันอุปกรณ์และในที่สุดก็จะ
ลดความเสี่ยงจากการถูกโจมตี
ลดความเสี่ยงจากการถูกโจมตี
การโจมตีเลเยอร์2
จะเริ่มต้นจากอุปกรณ์ที่ทำการเชื่อมต่อเข้ากับระบบเครือข่ายภายในองค์กรบางที่มันจะอยู่ในเครือข่ายโดยมีเจตนาร้าย
เพื่อหมายจะมาโจมตี
ยิ่งไปกว่านั้นมันยังบีบบังคับให้เครือข่ายของคุณยอมรับมันเพื่อให้คุณเชื่อใจแต่มันกลับมาโจมตีเครือข่ายของคุณ
แต่ในกรณีส่วนใหญ่ คุณ หรือ อุปกรณ์ บนเครือข่ายดูข้อมูลที่มาจากอุปกรณ์นี้
จะเข้าใจว่าเป็นอุปกรณ์ที่ปลอดภัย แต่จริงๆแล้วอุปกรณ์เหล่านี้มักจะรู้จักกันว่าอุปกรณแปลกปลอมในระบบเครือขาย(Rogue
Device) ส่วนถัดไปนี้จะอธิบายในรายละเอียดว่าอุปกรณแปลกปลอมคืออะไร
และมันทำงานได้ยังไง
อุปกรณแปลกปลอมในระบบเครือขาย (Rogue
Device)
การเข้ามาของอุปกรณแปลกปลอมในระบบเครือขายมีเข้ามาหลายรูปแบบ
เช่นการที่ผู้ใช้ทำการเชื่อมต่อกับอุปกรณ์สวิตช์ โดยไม่ได้รับอนุญาต
ซึ่งทำให้อุปกรณ์ที่ทำการเชื่อมต่อสามารถเข้ามาในเครือข่ายได้ จึงทำให้เกิดอันตรายต่อข้อมูลในเครือข่ายยิ่งไปกว่านั้นแล้วอาจจะส่งผลกระทบไปยังระบบที่เชื่อมต่ออยู่กับสวิตช์
แต่ความเสียหายที่เกิดขึ้นในเครือข่ายสามารถจะแก้ไขได้โดยการตั้งค่าและกำหนดค่า
อย่างเช่น การกำหนดค่าให้กับ
STP คุณสามารถที่จะแบ่งเบาการโจมตี
Spanning Tree Protocol (STP)และเปลี่ยนสิทธิให้เป็น Root Guard พร้อมกับการปรับแต่งค่า Bridge Protocol Data Unit (BPDU)
Root Guard ออกแบบมาเพื่อเป็นวิธีการบังคับใช้ Root Bridge ภายในเครือข่าย ส่วน
BPDU Guard ออกแบบมาเพื่ออนุญาตให้เครือข่ายที่ออกแบบมา
ซึ่งทำงานอยู่สามารถทำการคาดการณ์เหตุการณ์ได้ ถึงแม้ว่า BPDU Guard จะไม่จำเป็น ทั้งที่ ผู้ดูแลระบบสามารถกำหนดความสำคัญให้กับอุปกรณ์
bridge เป็นศูนย์ แต่ใช่น่าจะรับประกันได้ว่ามันจะปรับตัวเองให้เป็น
root bridge เพราะว่าความสำคัญไม่ได้อยู่ที่การกำหนด ID
bridge ให้ต่ำ ดังนั้นแล้วการใช้ BPDU
Guard จะใช้งานได้ดีที่สุดก็คือ ผู้ใช้
ทำการเปลี่ยน Port เพื่อปกป้องไม่ให้ อุปกรณแปลกปลอมในระบบเครือขายทำการขยายการโจมตี
ปัญหาใหญ่ของอุปกรณแปลกปลอมในระบบเครือขาย
ก็คือการเพิ่ม wireless access point ในตลาดไอทีสามารถหาซื้อได้ง่ายและมีราคาถูก
แล้วยังง่ายมากสำหรับบุคคลหรือพนังงานภายในการจะเพิ่มเครือข่ายไร้สายลงไปในระบบ LAN
โดยที่ไม่ต้องอาศัยแผนกไอทีหรือการอนุญาตในการเพิ่มอุปกรณ์แน่นอนว่า
APs (access point) แปลกปลอม
เหล่านี้อาจเป็นการละเมิลร้ายแรงในการรักษาความปลอดภัย เพราะว่า APs
(access point) แปลกปลอมนี้สามารถรอดพ้นจากการป้องกันที่อยู่ภายนอก
จากอุปกรณ์ไฟร์วอลล์ แต่สามารถเข้ามาทางข้างหลังได้
ซึ่งหมายความว่าความปลอดภัยของเครือข่ายไม่ปกติแน่นอน
มันทำให้ง่ายสำหรับผู้ที่เป็น Hacker หรือ บุคคลที่
ประสงค์ร้าย สามารถจะเข้ามาเชื่อมต่อกับเครือข่าย
เพื่อหวังจะขโมยข้อมูลหรือทรัพยากร หลังจากนั้นมันย่อยจะทำให้เป็นความเสี่ยงที่ใหญ่มาก
เพราะว่ามันสามารถซ่อนและหลบหลีบภายในเครือข่ายได้
อย่างไรก็ตามสิ่งที่พูดมาก็สามารถเกิดขึ้นได้กับเครือข่ายของคุณหรือองค์กร
เพราะว่า APs (access point) แปลกปลอม
ที่สร้างขึ้นมาโดยไม่มีความปลอดภัยทำการเชื่อมต่อกับเครือข่าย LAN ย่อมจะสร้างความเสี่ยงในเครือข่าย แล้วจะแก้ปัญหา อุปกรณแปลกปลอมที่ประสงค์ร้ายได้ยังไง
การโจมตี เลเยอร์2
การโจมตีหรือการปะทะกับอุปกรณ์เลเยอร์ 2 โดยทั่วไปแล้วจะแบ่งเป็นตามนี้
การโจมตีหรือการปะทะกับอุปกรณ์เลเยอร์ 2 โดยทั่วไปแล้วจะแบ่งเป็นตามนี้
· การโจมตีทาง MAC
· การโจมตีทาง VLAN
· การโจมตีทาง Spoof
· การโจมตีทาง switch devices
ตารางที่
14.1 ราย
ชื่อบางส่วนของภัยคุกคามและแสดงวิธีการแก้ปัญหาปลอดภัยที่เป็นไปได้.
|
ประเภท
|
ภัยคุกคาม
|
วิธีการแก้ปัญหา
|
|
การโจมตีทาง MAC
|
MAC address flooding
ถ้ามี package ส่งไปหา mac ที่ไม่มีใน mac address table มันจะส่งออกทุก port ยกเว้น port ที่มันรับเข้ามา ง่าย ๆ คือตัว switch ราคาแพงจะกลายเป็น hub ตัวหนึ่งเลย คือ flood mac address มั่ว ๆ ออกมาจน mac address table เต็ม แล้วทำ ให้ switch กลายเป็น hub |
จำกัดเลยว่าแต่ละ port จะจำ mac
ได้ไม่เกินกี่อัน, สร้างสิทธิการเข้าถึงใน VLAN
|
|
การโจมตีทาง VLAN
ประเภท
|
VLAN hopping
การโจมตีแบบนี้เกิดขึ้นเมื่อผู้โจมตี
ภัยคุกคาม
|
การแก้ปัญหาคือ
ปิดช่องทางการสื่อสารทุกพอร์ตยกเว้นพอร์ตที่จำเป็นต้องใช้
วิธีการแก้ปัญหา
|
|
|
หลอกว่ามี สวิตช์อีกตัวต้องการช่องสื่อสารและการโจมตีแบบนี้ต้องการภาระ
Auto เพื่อให้ ภารกิจสำเร็จ ซึ้งถ้าสำเร็จจะกลายเป็นส่วนหนึ่ง
VLAN ทุกแห่งที่เชื่อมต่อกับสวิตช์และสามารถรับส่งข้อมูลบน
VLAN เหล่านี้ได้ |
ช่องทางสื่อสารจริงๆเท่านั่น
|
|
การโจมตีแบบ Spoof
ประเภท
|
การหลอก
Servers Dhcp ให้ปล่อย IP Address
มาให้กับอุปกรณ์เพื่อทำตัวเองแทน Servers Dhcp แทน
Spanning
tree compromises
คือการหลอกให้อุปกรณ์แปลกปลอมยกระดับสิทธิเป็น root bridge ใน STP topology
ถ้าหากทำสำเร็จก็จะสามารถเปลี่ยนแปลง เฟรมข้อมูลที่เห็นได้
MAC spoofing
การทำให้อุปกรณ์แปลกปลอมสามารถนำค่า MAC Address เข้าไปใน
ตาราง CAM ของ Host ทำให้ เฟรมข้อมูลของอุปกรณ์
ภัยคุกคาม
|
หมั่นคอยตรวจสอบการแจก IP DHCP
ควบคุมสถานการณ์นี้โดยการเก็บค่าหลักๆคือการสำรองข้อมูลให้กับอุปกรณ์และทำการเปิดใช้
ROOT Guard
หมั่นคอยตรวจ DHCPและทำการเปิดฟังค์ชัน
Port Security
วิธีการแก้ปัญหา
|
|
ประเภท
|
แปลกปลอมสามารถไปยังเป้าหมายที่ติดต่อกับ
Switch ได้
Address Resolution Protocol (ARP)
spoofing เล่ห์เหลี่ยมการโจมตีอุปกรณ์โดย ARP คือให้ Host ตอบรับยินยอมกลับมา ซึ่งเมื่อได้เป็นส่วนหนึ่งของ Host จะทำให้สามารถส่งข้อมูลผ่านในชั้น Data Link Layer (Layer 2) ได้
Address
Resolution Protocol (ARP)
spoofing เล่ห์เหลี่ยมการโจมตีอุปกรณ์โดย ARP คือให้ Host ตอบรับยินยอมกลับมา ซึ่งเมื่อได้เป็นส่วนหนึ่งของ Host จะทำให้สามารถส่งข้อมูลผ่านในชั้น Data Link Layer (Layer 2) ได้
ภัยคุกคาม
|
Use dynamic ARP inspection, DHCP snooping, Port Security..
วิธีการแก้ปัญหา
|
|
การโจมตีอุปกรณ์ Switch
|
Cisco
Discovery Protocol (CDP) คือการจัดการข้อมูลที่ส่งผ่าน Protocol
CDP ทำให้ไม่สามารถเห็นข้อความภายใน CDP
และยังไม่
สามารถทำการบันทึกข้อมูล
ภายในเครือข่าย topologyได้
การโจมตี ทาง Secure Shell Protocol (SSH) และTelnet
Telnet ไม่มีความปลอดภัยในการใช้งานเพราะว่าข้อความที่ส่งไปในเครือข่ายสามารถถูกดักดูได้โดยไม่มีการป้องกัน ส่วน SSH เป็นตัวช่วยแต่ยังมีปัญหาด้านความปล่อยภัย ในเวอร์ชัน 1 |
ปิด CDP ใน พอร์ต ทั้งหมด ที่ จะ ไม่ ใช้
ใช้ SSH เวอร์ชัน 2 ใช้Telnet
ร่วมกับ ACLs vty
|
อย่างน้อยควรจะมีการกำหนดการเข้าถึง พอร์ตสวิตช์
หรือถ้าไม่ได้ใช้ก็ควรจะปิดพอร์ตสวิตช์ ส่วนมากผู้ดูแลระบบหลายคนไม่ต้องการทำเช่นนี้เพราะไม่สะดวกที่จะเปิดใช้
พอร์ตที่พวกเขาต้องใช้
ผมรู้สึกแปลกใจมากว่าทำไมผู้ดูแลระบบไม่ทำการป้องในเมื่อมันเป็นการป้องการ
Hacked ในเครือข่าย
มีสองสามคุณสมบัติอื่นๆสามารถเปิดใช้งาน
โดยอัตโนมัติที่จะช่วยให้การป้องกันสวิทช์และการ เข้าถึงอุปกรณ์อื่นๆ Private
VLANs (PVLANs) สามารกำหนดค่าให้จัดตั้งพื้นที่รักษาความปลอดภัย
ภายใน VLAN เดียว โดยไม่ต้องทำวิธีการ Subnetting.
การหลอก
Switch (Switch Spoofing)
เรื่องราวปกติทั่วไปที่
ผมได้อธิบายจะเป็นในเรื่องการโจมตีสวิตช์ แต่ผมจะพูดถึงการลวง
สวิตช์การโจมตีจะเป็นการกำหนดค่าในระบบ(มักจะเป็นโฮสต์หรืออุปกรณ์ที่โจมตีที่ได้เข้าถึงถ้าโจมตีเป็นระยะไกล)
เพื่อหลอกตัวเองเป็นสวิตช์ การโจมตีจะพยามยามหรือส่ง
Inter-Link Switch (ISL) หรือ 802.1Q signaling แบบปลอมๆ พร้อมด้วย ข้อความโปรโตคอลแบบไดนามิก trunking(DTP)เพื่อที่พยายามให้สัญญาณสามารถสร้างการเชื่อมต่อไปยัง สวิตช์ได้
สวิตช์ที่ถูกกำหนดในโหมดไดนามิก
DTP (ค่าเริ่มต้น) สามารถเจรจาเป็นลิงค์ลำต้น
ถ้าและเมื่อได้รับแพคเก็ต จากการเจรจา โดยปกติแพ็คเก็ต DTP จะมาจากสวิตช์จากเครือข่ายอื่นที่คุณไว้ใจ
ในกรณีนี้อาจจะโดนโจมตีจากเครือข่ายที่คุณไว้ใจก็ได้. และแน่นอนว่าเมื่อมันได้รับสิทธินี้มันก็จะสามารถรับข้อมูลจากเครือข่ายแล้วยังกำหนดให้ VLAN
สนับสนุนเส้นทางใดก็ได้ อุปกรณ์ที่เป็นอันตรายสามารถส่งแพ็คเก็ตให้หรือเก็บแพ็คเก็ตจาก
VLAN
ใดๆโดยการเจรจา
สาเหตุที่ผู้ว่าจ้างโครงการขาดความไม่เข้าใจในการออกแบบ
ในรูปที่ 14.1 คุณจะเห็นได้ว่ามี
3 สวิตช์ที่ทำการเชื่อมต่อกันอยู่
นอกจากนี้ยังมีเครื่องโจมตีแอบแฝงอยู่ คุณช่วยบอกได้ไหมว่าเครื่องไหนเป็น ,ไม่เป็น,หรือไม่ใช่ทั้ง2 รวม
ที่ไม่ สามารถดูแลระบบเครือ ข่าย จากการโจมตีได้ :
- เครื่องไหนก็ได้ที่มีความน่าเชื่อถือก็จะได้อยู่บนเครือข่าย
- เครื่อง guest ภายในอาคาร ที่ใช้พอร์ตห้องประชุมหรือห้องทำงาน
- การโจมตีระยะไกลผู้ซึ่งสามารถได้การรับการอนุญาต เครื่องนั้นก็จะได้อยู่บนเครือข่าย
สิ่งนี้ทั้งหมดไม่ได้อยู่ในรายการ แต่บ่อยครั้งคุณก็ต้องหาวิธีการเข้าถึงเพื่อให้ เครือข่ายได้รับการบรรจุ การโจมตีเหล่านี้เกิดขึ้นในอนาคตสำนักงาน Corporate Tech เกิดช่องโหว่ความปลอดภัย ได้ตั้งแต่เชื่อม.
รูปที่ 14.1 การหลอก สวิตช์
- เครื่องไหนก็ได้ที่มีความน่าเชื่อถือก็จะได้อยู่บนเครือข่าย
- เครื่อง guest ภายในอาคาร ที่ใช้พอร์ตห้องประชุมหรือห้องทำงาน
- การโจมตีระยะไกลผู้ซึ่งสามารถได้การรับการอนุญาต เครื่องนั้นก็จะได้อยู่บนเครือข่าย
สิ่งนี้ทั้งหมดไม่ได้อยู่ในรายการ แต่บ่อยครั้งคุณก็ต้องหาวิธีการเข้าถึงเพื่อให้ เครือข่ายได้รับการบรรจุ การโจมตีเหล่านี้เกิดขึ้นในอนาคตสำนักงาน Corporate Tech เกิดช่องโหว่ความปลอดภัย ได้ตั้งแต่เชื่อม.
รูปที่ 14.1 การหลอก สวิตช์
ขั้นตอนการโจมตี สวิตช์ โดยใช้วิธีหลอกลวง
1.
มันใช้ช่วงเวลาที่คนในออฟิกกำลังเร่งรีบเพื่อจะต้องประชุมกันโดยอาศัยช่วงสัปดาห์แรกของเดือนทำการโจมตี
พอร์ตที่ได้เปิดเอาไว้ภายในห้องประชุม โดยมันจะทำ 2 สิ่งที่ง่ายและบริสุทธิ์
คือเข้าไปใน
สวิตช์และเครือข่ายที่เข้าใช้ส่วนมาก
2. การโจมตีถูกบังคับให้เปลี่ยนเส้นทางลิงค์
นี้คือการท้าทายเล็กๆและเทคโนโลยีในอนาคตไม่เคย คิดออกว่าการโจมตีสำเร็จ
นั้นแม้ว่าพวกเขาคิดไปสองวิธีทาง ไม่ว่าจะเป็นไปได้ เนื่องจากเปลี่ยน พอร์ต
ไม่ได้กำหนด ค่าอย่างถูกต้อง ในขณะผู้ดูแลระบบเครือข่าย
ที่คิดว่ามันเกินไม่สะดวกที่ จะเปิดใช้พอร์ตเปลี่ยนเฉพาะสำหรับเข้าร่วมประชุม.
a. ผู้ทำสัญญาอาจมีซอฟต์แวร์ที่โหลดไว้ในแล็ปท็อป ที่จะทำให้เขาส่งข้อความไปเจรจา
สวิตช์ มีซอฟต์แวร์ที่จะช่วยให้มีการโจมตี
ส่งเฟรม DTP
ให้ สวิตช์ และการเจรจา พอ สวิตช์รับเฟรมเชื่อมโยง
ครั้งนี้มีการโจมตีสามารถเข้าถึงได้ในที่สุดของการเข้ามาได้
จาก ทุก VLAN ที่ ได้รับอนุญาตให้สำรวจเส้นทางที่ link นี้โดยปกติจะมีทั้งหมด VLANs กำหนดค่าในสวิตช์
จาก ทุก VLAN ที่ ได้รับอนุญาตให้สำรวจเส้นทางที่ link นี้โดยปกติจะมีทั้งหมด VLANs กำหนดค่าในสวิตช์
b. การโจมตีก็จะใช้สวิตช์ขนาดเล็กบรรทุกได้อย่างง่ายดายในกระเป๋าของเขา
ซิสโก้ ทำ สวิตช์ขนาด 8 พอร์ตได้อย่างดีเยี่ยมพวกเขามีคุณสมบัติและ
ความสามารถใน การ กำหนดค่าบนชั้นวางสวิตช์แต่มันมีขนาดเล็กและ
ไม่ได้มีเสียงขนาดพัดลม ทำงานคนเจตนาหวังร้ายจะสามารถใช้สายเสียบลง
ในพอร์ตสวิตช์และให้สวิตช์ เชื่อมต่อถ้าสวิตช์พอร์ตที่กระทำผิดในห้อง
ประชุมไม่ได้กำหนดค่า เพื่อป้องกัน ประเภทของ การเชื่อมต่อนี้โจมตีจะ
เข้าใช้งานส่วนใหญ่ของเครือข่ายประเภทของ ใช้นี่ เป็นเพียง เล็กน้อยง่ายถ้า
พอร์ตในห้องประชุม มีการตั้งค่าในโหมดปกติที่มัน จะสร้างแบบไดนา มิก
ซิสโก้ ทำ สวิตช์ขนาด 8 พอร์ตได้อย่างดีเยี่ยมพวกเขามีคุณสมบัติและ
ความสามารถใน การ กำหนดค่าบนชั้นวางสวิตช์แต่มันมีขนาดเล็กและ
ไม่ได้มีเสียงขนาดพัดลม ทำงานคนเจตนาหวังร้ายจะสามารถใช้สายเสียบลง
ในพอร์ตสวิตช์และให้สวิตช์ เชื่อมต่อถ้าสวิตช์พอร์ตที่กระทำผิดในห้อง
ประชุมไม่ได้กำหนดค่า เพื่อป้องกัน ประเภทของ การเชื่อมต่อนี้โจมตีจะ
เข้าใช้งานส่วนใหญ่ของเครือข่ายประเภทของ ใช้นี่ เป็นเพียง เล็กน้อยง่ายถ้า
พอร์ตในห้องประชุม มีการตั้งค่าในโหมดปกติที่มัน จะสร้างแบบไดนา มิก
ที่มีการเปลี่ยนหีบโจมตีของแม้เลวเพราะ
Future Tech ใช้ VTP
ใน เครือ
ข่าย และ มีรหัสผ่านไม่ได้ใน configuration เปลี่ยนโจมตีที่จะเรียนรู
ทั้งหมดของ VLANs รวม ทั้ง.
ข่าย และ มีรหัสผ่านไม่ได้ใน configuration เปลี่ยนโจมตีที่จะเรียนรู
ทั้งหมดของ VLANs รวม ทั้ง.
ขั้นตอนการโจมตี สวิตช์ โดยใช้วิธีหลอกลวง(ต่อ)
3. เมื่อลิงค์ลำต้นก่อตั้งขึ้นด้วยการเปลี่ยนให้โจมตีได้อย่างง่ายดายสามารถส่งเฟรมไปยัง
VLAN สิ่งที่เขาเลือก เพราะโจมตีไม่คุ้นเคยกับเครือข่าย (เขาไม่รู้ VLANs ที่ กำหนด)
ก็อาจมีคาดเดาในบางครั้งที่จะส่งเฟรมไปยังเครือข่าย เขายังสามารถมีการมั่วทั้งหมด
ของการเข้าชมที่มาผ่านลิงค์ ครั้งหนึ่งการเข้าชมเคยได้รับการโจมตีได้เห็นแท็กใน
การเข้าชมและรู้อยู่VLANs.
3. เมื่อลิงค์ลำต้นก่อตั้งขึ้นด้วยการเปลี่ยนให้โจมตีได้อย่างง่ายดายสามารถส่งเฟรมไปยัง
VLAN สิ่งที่เขาเลือก เพราะโจมตีไม่คุ้นเคยกับเครือข่าย (เขาไม่รู้ VLANs ที่ กำหนด)
ก็อาจมีคาดเดาในบางครั้งที่จะส่งเฟรมไปยังเครือข่าย เขายังสามารถมีการมั่วทั้งหมด
ของการเข้าชมที่มาผ่านลิงค์ ครั้งหนึ่งการเข้าชมเคยได้รับการโจมตีได้เห็นแท็กใน
การเข้าชมและรู้อยู่VLANs.
4. สุดท้ายโจมตีนั้นสามารถเก็บแล้วส่งข้อมูลกับเครือข่าย.
Double Tagging
Double Tagging
วิธีการกระโดด
VLAN เป็นอุปกรณ์ในการสร้างเฟรมที่มีสองหัวอีก 802.1Q.
นี้ ทำให้ เปลี่ยนไปส่งภาพลงใน VLAN ที่จะ
(และ ควร) จะไม่สามารถเข้าถึงการโจมตีในกรณีปกติ
ก็เป็นไปได้และมีประโยชน์กับแท็กเฟรมมากกว่าหนึ่ง802.1Qheader.คู่แท็กมีการใช้อย่างถูก กฎหมายโดยให้บริการ
ผู้ให้บริการสามารถนำเสนอความสามารถที่จะเข้าถึงได้ VLANs
ระหว่างเว็บไซต์ อื่นในองค์กร นี้ จะกระทำโดยมอบหมายลำลิงค์ออกไปให้บริการที่
จะได้เปิด"ลำใหม่ "หรือที่ลิงค์ลำต้นของลูกค้าในเนื้อตัวเองนี้เรียกว่าปกติ
Q - in- Qtunneling ลิงค์ลำต้นจะบรรทุกผ่านเครือข่ายให้ บริการของใช้ส่วนนอก
เมื่อได้รับข้อมูลที่ขอบของเครือข่ายการให้บริการของมันจะผ่านกลับออกไปยัง
เครือข่ายของลูกค้าและส่วนภายนอกจะถูกลบออก ใบนี้เพียงส่วนแรกที่ระบุ VLAN ของลูกค้านั้นเมื่อ
เข้าชมได้รับกลับเข้าสู่เครือข่ายของลูกค้าที่สวิทช์ดูและจัดการกับมันประหนึ่งว่าไม่มีอะไรเกิดขึ้นไปสลับไปที่ได้รับกรอบสองครั้งที่ติดแท็กเอาแท็กแรกจากกรอบแล้วส่งต่อกรอบออ
แต่นี้เท่านั้นเนื่องจาก
แท็กแรกตรงกับพอร์ตลำต้น
VLAN
สวิตช์ที่ทำการ forwards เฟรม ใช้ 802.1Q ภายในแท็กออกทุกพอร์ตเปลี่ยน นี้รวมถึงพอร์ต ลำต้น
ทั้งหมดกำหนดค่าด้วยภาษาเดียวกัน VLAN โจมตีเครือข่ายที่เชื่อมต่อไป.
เมื่อกรอบถึงสวิตช์ที่สองที่ เปลี่ยน จะ ส่ง เฟรม ที่ ปลายทาง ตาม VLAN ID ใน สอง 802.1Q header ถ้า ลำ ไม่ ตรง กับ VLAN
พื้นเมือง ของ โจมตี ที่ กรอบ จะ untagged และ
ท่วม ถึง เฉพาะ VLAN เดิม
ประเภทของการโจมตีนี้เป็นเหตุผลว่าทำไมแนะนำถิ่น
VLAN พื้นเมืองลิงก์ลำต้นเป็น VLAN ที่พัก VLAN ที่พัก เป็น VLAN ที่
ไม่ ได้ ใช้ พอร์ต ใด VLAN ของลิงค์ลำต้น 802.1Q เป็น VLAN ที่ ประสงค์เปลี่ยนสำหรับ-ขจัดเฟรมที่มี untagged
อื่น เพื่อปกป้องจากภัยคุกคาม คุณไม่ต้องการให้ภาพ Untagged หรือภาพที่มีปลายทางไม่บึกบึนๆ ภาพ untagged ว่าถึงเปลี่ยนจะอยู่ใน
VLAN ที่พัก เมื่อ ใน VLAN ที่พักที่เฟรมจะไม่มีพอร์ตที่จะถูกส่งออกจาก.
การโจมตีแบบหลอกลวง (Spoofing
Attacks)
Dynamic Host Configuration
Protocol (DHCP), Media Access Control (MAC) และ Address Protocol (ARP) เป็นวิธีการทั้งหมดที่ใช้ในการเข้าใช้เครือข่ายไม่ได้รับอนุญาตหรือเปลี่ยนเส้นทางการ
จราจร เพื่อให้เกิดอันตราย. DHCP สอดแนม, พอร์ตการรักษาความ ปลอดภัยและการตรวจสอบARPไดนามิกสามารถกำหนดค่าเพื่อป้องกันภัยคุกคามเหล่านี้
การโจมตีและลวง DHCP Server (DHCP Server Spoof
Attack)
ผู้โจมตีสามารถเข้าใช้เครือข่ายการจราจรโดยหลอกลวงตอบว่าจะส่งมาจาก
เซิร์ฟเวอร์ DHCP แบบถูกต้อง. อุปกรณ์ส่ง DHCP แบบ spoofed ตอบกลับข้อความของลูกค้าที่ได้ขอ DHCP เซิร์ฟเวอร์ DHCP ถูกต้อง ตามกฎหมายจะตอบส่วนใหญ่
เช่นกันแต่ถ้าอุปกรณ์ หลอกลวงอยู่ในกลุ่มเดียวกับลูกค้าหรือตอบมันจะได้ รับ
เพียงแค่ลูกค้าแรกข้อมูลโจมตีของจะใช้
การโจมตี DHCP IP เครื่องลูกและเครือข่ายการบังคับอื่นๆ
ข้อมูลที่ใช้ข้อมูลการโจมตีของเป็นประตูเริ่มต้นหรือDomain Name System
(DNS) server เช่น
สมมุติว่าผู้โจมตีจะเริ่มใช้ประตูแบบวิธีการทาง หลังจากที่ลูกค้าได้รับการหลอกลวง
TCP / IP ข้อมูลจาก เซิร์ฟเวอร์ DHCP โกงลูกค้าใช้อยู่โจมตีของและ
จะเริ่มแพ็คเก็ตส่งต่อไปยังอุปกรณ์โกง โจมตีสามารถใน
การหันส่งแพ็คเก็ตไป ยังปลายทางจริง นี้เป็นที่รู้จักเป็นคนใน
ที่โจมตีกลางอาจไปทั้งหมด ตรวจไม่พบเป็น ผู้ บุกรุก intercepts ไหลของข้อมูลผ่านเครือข่าย
การโจมตีและการหลอก ARP
(ARP Spoof Attack)
สำหรับเครื่องโฮสต์เพื่อหาที่อยู่
MAC ของโฮสต์อื่นก็ใช้ ARP ในARP โฮสต์ส่งออกออกอากาศเพื่อ ตรวจสอบที่ อยู่ MAC ของโฮสต์อื่นที่มีที่อยู่ที่รู้จักกันเป็นอย่างอื่น
อุปกรณ์ที่มีการระบุที่อยู่ IP เฉพาะ ตอบกลับด้วยที่อยู่
MACของ เกิดแคชโฮสต์ตอบ ARP; จะใช้ที่อยู่ MAC
กรอกฟิลด์ที่อยู่ปลายทางใน หัว Layer กรอบ 2
ของ แพ็คเก็ตส่งไปที่ที่อยู่
ผู้โจมตีสามารถใช้ประโยชน์จากกระบวนการนี้
โดยการหลอกลวงตอบARP จากอุปกรณ์ถูก ต้องตามกฎหมายที่มีให้ฟรี
ARP อุปกรณ์โจมตีจากนั้นจะปรากฏเป็น โฮสต์ ปลายทาง ตอบ ARP
จาก การโจมตีทำให้ผู้ส่งเพื่อเก็บที่อยู่ MAC ของระบบการโจมตี
ในแคช ARP เป็น Packets ทั้งหมด
กำหนดสำหรับผู้ที่อยู่ที่จะให้-ผลัก ผ่านระบบโจมตี
การโจมตีและการหลอก ARP
ประเภทการโจมตีนี้อาจเกิด ขึ้นเกือบทุกที่
ถ้าไม่ได้รักษาอย่างต่อทั้งหมดก็จะเป็นผู้โจมตีควบคุมพอรับ ผ่าน อุปกรณ์ เครือ
ข่าย กำหนด ค่า เป็น หรือ ทำให้ ซอฟต์แวร์ บน มัน อุปกรณ์ โกง จะ ตอบ รับ คำขอ ARP
อุปกรณ์ อื่น ๆ แต่ลักษณะการโจมตีนี้ สามารถ perpetrated ผ่านการใช้ม้าโทรจันหรือเวิร์มที่ ซอฟต์แวร์ โหลด หรือ
ปล่อยกลับเข้าสู่ระบบประตู คุณสามารถทำสิ่งต่างๆเพื่อให้แน่ใจ ว่าไวรัสไม่ได้
อยู่ในเครือข่าย แต่หากไม่คุณต้องทราบประเภท ของการ โจมตีนี้และสิ่งที่
สามารถทำได้ใน ระดับ Layer 2.หาก คุณ มอง รูป 14.2 คุณ สามารถ ดู ที่ สอง ไพร่พล เชื่อม ต่อ บน subnet เดียวกัน
ผ่าน สลับ ไป เราเตอร์. R1 เป็น ประตู เริ่ม ต้น สำหรับ
ครอบครัว ใน subnet นี้. อุปกรณ์ FT2 เป็น
โฮสต์ ซึ่ง เนื่องจาก
ที่ผู้ดูแลเครือข่ายเดียวกันเชื่องช้าเป็นเอาไปโดยโจมตีหลุมความปลอดภัยนี้ได้รับตั้งแต่เชื่อมและการคาดการณ์ที่ว่าผู้ดูแลงานNetworkนี้ไม่ได้ในfuture-Tech.
รูปที่ 1 4 . 2
การโจมตีและการหลอก ARP
1. FT1, โฮสต์ที่ไม่ได้เอาไปให้ส่งคำขอ ARP หา MAC ที่อยู่ของ R1. (R1 เป็นประตูเริ่มต้นสำหรับ
ครอบครัว ใน subnet นี้.)
2. R1 ส่งตอบกลับ FT1 กับ MAC และบริษัทที่อยู่. นอกจากนี้ยังจะปรับปรุงเองแคช ARP ข้อมูล เกี่ยวกับFT1.
3. FT1 แล้ว binds ที่ อยู่ MAC R1 กับ ที่ อยู่ ใน แคช ARP ท้องถิ่น ของ FT1.
4. FT2, โฮสต์โจมตีแล้วส่งข้อความ ARP ว่าสาเหตุที่อยู่ MAC ของ FT2 ที่จะผูกพันที่อยู่ IP ของR1.
5. ปรับปรุง FT1 แล้ว แคช ARP ด้วย ข้อมูล ใหม่ นี้ ไม่ ถูก ต้อง ผูกพัน FT2 ของ ที่ อยู่ MAC และ ที่ อยู่ IP ของ R1.
6. FT2 แล้วส่งข้อความ ARP ว่าสาเหตุที่อยู่ MAC ของ FT2 ที่จะผูกพันกับ FT1 ขอที่อยู่.
7. ปรับปรุง R1 แคช ARP ของท้องถิ่นที่อยู่ MAC FT2 ของผูกพันขณะที่อยู่IP ของ FT1.
8. ครั้งนี้เสร็จสมบูรณ์ทั้งหมดของการเข้าชมตามปกติและแพ็คเก็ตจาก FT1 และ R1 จะ diverted ผ่านเครื่อง
โจมตี ของ FT2
2. R1 ส่งตอบกลับ FT1 กับ MAC และบริษัทที่อยู่. นอกจากนี้ยังจะปรับปรุงเองแคช ARP ข้อมูล เกี่ยวกับFT1.
3. FT1 แล้ว binds ที่ อยู่ MAC R1 กับ ที่ อยู่ ใน แคช ARP ท้องถิ่น ของ FT1.
4. FT2, โฮสต์โจมตีแล้วส่งข้อความ ARP ว่าสาเหตุที่อยู่ MAC ของ FT2 ที่จะผูกพันที่อยู่ IP ของR1.
5. ปรับปรุง FT1 แล้ว แคช ARP ด้วย ข้อมูล ใหม่ นี้ ไม่ ถูก ต้อง ผูกพัน FT2 ของ ที่ อยู่ MAC และ ที่ อยู่ IP ของ R1.
6. FT2 แล้วส่งข้อความ ARP ว่าสาเหตุที่อยู่ MAC ของ FT2 ที่จะผูกพันกับ FT1 ขอที่อยู่.
7. ปรับปรุง R1 แคช ARP ของท้องถิ่นที่อยู่ MAC FT2 ของผูกพันขณะที่อยู่IP ของ FT1.
8. ครั้งนี้เสร็จสมบูรณ์ทั้งหมดของการเข้าชมตามปกติและแพ็คเก็ตจาก FT1 และ R1 จะ diverted ผ่านเครื่อง
โจมตี ของ FT2
การโจมตี
อุปกรณ์ สวิตช์
(Switch Device Attacks)
ประเภทของการโจมตีในสวิทช์นี้ไม่มากต่างจากการโจมตี
คล้ายมุ่งออกมองหาเราเตอร์และอุปกรณ์ Layer 3. เพื่อป้องกันเครือข่ายของคุณจากการโจมตีเหล่านี้
คุณต้องดูโปรโตคอล การบริหารจัดการและวิธีการที่ คุณอุปกรณ์ เข้าถึงระยะไกล. เพราะส่วนใหญ่ของสวิทช์
ของคุณ จะไม่ได้หันนอกเครือข่ายที่ฉันเพิ่งจะชี้ สอง สิ่ง
ครั้งแรกแม้ว่า เครื่องจะไม่หันนอก
(เป็นฉันแล้วกล่าวว่าไม่เรื่องถ้าอุปกรณ์อยู่ในภายนอกหรือไม่ คุณ
ต้องเป็นที่ปลอดภัยที่สุด) คุณต้องมีความปลอดภัยการสื่อสารที่คุณใช้ในการเข้าถึง
อุปกรณ์ระยะไกล Telnet เป็นตัวอย่างที่ดีของโปรโตคอลที่คุณไม่ต้องการ ที่จะใช้ในเครือข่าย มันไม่ปลอดภัยและส่งข้อมูล
ทั้งหมดในข้อความ ที่ชัดเจนคุณควรมุ่งที่จะย้ายทั้งหมดของอุปกรณ์ของคุณเพื่อใช้ SSH กระบวนการ ตั้ง ค่า SSH ในสวิทช์เหมือนกับสำหรับเราเตอร์
โปรโตคอลอื่นๆ
หรือประเภทของการสื่อสารที่ฉันต้องการจะพูดถึงนี่คือ CDP คุณจะอ่านในสถานที่ มากมายที่
คุณควรจะปิด ซึ่งไม่จำเป็นต้องและฉันขอสนับสนุนให้คุณทำที่
เพิ่งทราบว่ามีจะเป็นสถานที่ ที่คุณจะออกบนเช่นพอร์ตที่โทรศัพท์ Cisco VOIP เชื่อมต่อ. ภายหลังในบทที่
17 "Voice" ฉันจะไปกว่า สาเหตุที่คุณต้องมี CDP
เปิดสำหรับพอร์ตเหล่า ตอนนี้ทราบว่าโทรศัพท์ และ
สวิทช์พูดคุยเพื่อให้ สามารถยอมรับการตั้งค่า QoS และตระหนักทั้งนี้
ความปลอดภัยของเลเยอร์ 2
คุณสามารถใช้เทคนิคและคุณสมบัติบางประการเพื่อลดอันตรายจาก DHCP,
MAC และ การหลอกลวง ARP คุณสมบัติต่อไปนี้สามารถกำหนดค่าเพื่อป้องกันภัยคุกคามเหล่านี้
- DHCP snooping
- DHCP snooping
- Port
Security
- Dynamic
ARP inspection (DAI)
อันตรายจากการโจมตีผู้ Hops VLANs และ
สร้างช่องโหว่ด้านความปลอดภัยได้ควบคุมโดยการกำหนดค่าที่เหมาะสมของพอร์ต คุณสมบัติที่สามารถต่อต้านความคิดเพื่อช่วยในการ
ป้องกันภัยคุกคาม เหล่านี้รวมถึง
- Private VLANs (PVLANs)
- Private VLANs (PVLANs)
- VLAN
access control lists (VACLs)
การรักษาความปลอดภัยพอร์ต
Port Security เป็นคุณลักษณะที่มีประโยชน์และมีประสิทธิภาพสูงสุด
สนับสนุนสวิทช์ Cisco ที่จำกัด port เปลี่ยนไปกำหนดหรือจำนวนที่อยู่
MAC โดยระบุจำนวนที่อยู่ MAC
ในพอร์ตคุณสามารถจำกัดหรือควบคุม อุปกรณ์ที่เชื่อมต่อกับสวิทช์ของคุณและให้ผู้ใช้แนบจุดเชื่อมไร้สายและเปิดหลุมรักษาความปลอดภัย
ที่เป็นเครือข่าย. โดยระบุStatically MAC ที่อยู่อนุญาตในพอร์ตคุณสามารถบาร์
untrusted อุปกรณ์จากการเชื่อมต่อ. มาตรการเหล่านี้ในสถานที่ซึ่งเป็นที่ประสงค์จะโจมตีจะมีเวลายากมากดมจราจรตาราง
MAC พิษเปลี่ยนของให้หลอกลวง ARP หรือวางเซิร์ฟเวอร์
DHCP ในเครือข่ายโกง
Port Security สามารถเรียนรู้ที่อยู่ MAC
อนุญาตแบบไดนามิกหรือ หากคุณจำกัดจำนวนที่อยู่แต่ไม่ได้กำหนดค่าที่อยู่
MACเฉพาะพอร์ตจะช่วยให้ MAC ที่อยู่ที่จะเรียนรู้แบบไดนามิกจนกว่าจำนวนสูงสุดพอร์ตการรักษาความปลอดภัยรวมถึงเหนียว คุณลักษณะที่อยู่ MAC ที่สามารถจำกัดการเข้าถึงพอร์ตในสวิตช์เดียวที่อยู่
MAC โดย เฉพาะผู้ดูแลเครือข่ายที่มี
การรวบรวมที่อยู่ MAC ของอุปกรณ์ที่ถูกต้องด้วยตนเองทุกเชื่อมโยง เข้ากับพอร์ตเปลี่ยนเฉพาะเมื่ออยู่ MAC เหนียวจะใช้พอร์ตเปลี่ยนแปลงเรียนรู้แบบไดนามิก ที่อยู่ MAC ที่อยู่ MAC เหนียวและภายหลังเพิ่มให้ต่อต้านการทำงาน-อุปมาเป็นถ้ารายการ พวกเขาคงที่สำหรับที่อยู่ MAC เดียวได้โดย Port Security เหนียวที่อยู่ MAC ปลอดภัยจะเพิ่ม การตั้งค่าการทำงาน
การรวบรวมที่อยู่ MAC ของอุปกรณ์ที่ถูกต้องด้วยตนเองทุกเชื่อมโยง เข้ากับพอร์ตเปลี่ยนเฉพาะเมื่ออยู่ MAC เหนียวจะใช้พอร์ตเปลี่ยนแปลงเรียนรู้แบบไดนามิก ที่อยู่ MAC ที่อยู่ MAC เหนียวและภายหลังเพิ่มให้ต่อต้านการทำงาน-อุปมาเป็นถ้ารายการ พวกเขาคงที่สำหรับที่อยู่ MAC เดียวได้โดย Port Security เหนียวที่อยู่ MAC ปลอดภัยจะเพิ่ม การตั้งค่าการทำงาน
แต่ไม่ become part ของไฟล์กำหนดค่าเริ่มต้นนอกจากการตั้งค่าการ
ทำงานจะถูกคัดลอกการกำหนดค่า the startup หลังจากที่อยู่ได้รับรู้
หากคุณบันทึกการตั้งค่า ทำงานในการกำหนดค่าเริ่มต้น, ที่อยู่ที่ปลอดภัยจะไม่ต้อง
relearned เมื่อเริ่มต้นเปลี่ยนและนี้
มีระดับสูงกว่าการรักษาความปลอดภัยเครือข่าย พอร์ตการรักษาความปลอดภัย
รวมถึงเหนียวคุณลักษณะที่อยู่ MAC ที่สามารถจำกัดการเข้าถึง
พอร์ตในสวิตช์เดียวที่อยู่ MAC โดยเฉพาะผู้ดูแลเครือข่ายที่มี
การ รวบรวม ที่อยู่ MAC ของอุปกรณ์ที่ถูกต้องด้วยตนเองทุกเชื่อม
โยงเข้ากับพอร์ตเปลี่ยน เฉพาะ. เมื่อ อยู่ MAC เหนียวจะใช้พอร์ตเปลี่ยนแปลงเรียนรู้แบบ
ไดนามิกที่อยู่ MAC ที่อยู่ MAC เหนียวและภายหลังเพิ่มให้ต่อต้านการทำงานเป็นถ้ารายการพวกเขาคงที่สำหรับที่อยู่
MAC เดียวได้โดยPort Security เหนียวที่อยู่
MAC ปลอดภัยจะเพิ่มการตั้งค่าการทำงานแต่ไม่ become
part ของไฟล์กำหนดค่าเริ่มต้นนอกจากการตั้งค่า
การทำงานจะถูกคัดลอกการกำหนดค่า the startup หลังจากที่อยู่ได้รับรู้
หากคุณบันทึกการตั้งค่าทำงานในการกำหนดค่าเริ่มต้น, ที่อยู่ที่ปลอดภัยจะไม่ต้อง
relearned เมื่อเริ่มต้นเปลี่ยนและนี้มีระดับสูงกว่าการรักษาความปลอดภัยเครือข่าย
คำสั่งที่ตามแปลงทุกพอร์ตการรักษาความปลอดภัยแบบไดนามิกเรียนรู้
MAC ที่อยู่ MAC
ปลอดภัย:
switchport port-security mac-address sticky
คำสั่งที่แปลงทั้งหมดพอร์ตการรักษาความปลอดภัยแบบไดนามิกเรียนรู้ MAC ที่อยู่ ในเหนียวอยู่ MAC ปลอดภัยไม่สามารถใช้ในพอร์ตที่ VLAN เสียงมีการกำหนดค่า.
switchport port-security mac-address sticky
คำสั่งที่แปลงทั้งหมดพอร์ตการรักษาความปลอดภัยแบบไดนามิกเรียนรู้ MAC ที่อยู่ ในเหนียวอยู่ MAC ปลอดภัยไม่สามารถใช้ในพอร์ตที่ VLAN เสียงมีการกำหนดค่า.
ความน่าสนใจของ Port Security Points
ในที่นี้มีไม่กี่จุดที่จำเกี่ยวกับการกำหนดค่า Port Security คือ
ในที่นี้มีไม่กี่จุดที่จำเกี่ยวกับการกำหนดค่า Port Security คือ
-
Port Security จะต้องเปิดใช้งานพอร์ตแต่ล่ะพอร์ต
-
โดยค่าเริ่มต้นเดียวที่
อยู่ MAC จะได้รับอนุญาตเข้าใช้งานผ่านพอร์ตสวิตช์หนึ่งเมื่อPort Security เปิดใช้
-
Port
Security ไม่ได้จำกัดเฉพาะในที่อยู่ MAC เฉพาะเพียงจำนวนที่อยู่บนพอร์ต
-
การรับรู้ Address
โดยปกติแล้วจะไม่มีหมดอายุ แต่สามารถกำหนดค่าให้ทำหลังจากเวลา
ที่กำหนดโดยใช้ switch port สั่ง ค่ารักษาความปลอดภัย
ตัวเลือกสามารถเลือกได้ 1-1024 หมายเลข
-
การเข้าถึง พอร์ต สวิตช์ สามารถ
จำกัดหนึ่งหรือมากกว่า ที่อยู่ MAC เฉพาะ
-
ถ้าจำนวนเฉพาะ MAC ที่อยู่ระบุต่ำกว่าค่าที่กำหนดใน port
สั่งค่าความปลอดภัยที่เหลือ อนุญาตให้อยู่ได้เรียนรู้แบบไดนามิก.
-
หากท่านระบุชื่อที่อยู่ MAC ที่เท่ากับจำนวนสูงสุดที่อนุญาตให้เข้าถึงถูกจำกัดใน รายชื่อที่อยู่ MAC
ที่.
-
โดยปกติถ้าจำนวนสูงสุดของการเชื่อมต่อที่มีความใหม่และMAC พยายามที่จะเข้าถึงพอร์ต
เปลี่ยนจะต้องใช้เวลาหนึ่งในการดำเนินการเหล่านี้
1. Protect: เฟรมที่ไม่ได้รับอนุญาต address จะลดลง แต่มี log การละเมิด
2. Restrict: เฟรมข้อมูลที่ไม่ได้รับอนุญาต address ลดลงข้อความเข้าสู่ระบบจะถูก สร้างและดัก Simple Network Management Protocol (SNMP)ถูกส่ง
1. Protect: เฟรมที่ไม่ได้รับอนุญาต address จะลดลง แต่มี log การละเมิด
2. Restrict: เฟรมข้อมูลที่ไม่ได้รับอนุญาต address ลดลงข้อความเข้าสู่ระบบจะถูก สร้างและดัก Simple Network Management Protocol (SNMP)ถูกส่ง
3. Shut down: ถ้าภาพใด ๆ
เห็นจากไม่ใช่ได้อยู่หน้าจอเป็นไถล-ยก เลิก รายการ log มี ทำ กับ ดัก SNMP
ถูก ส่ง และ การ แทรกแซง ด้วย ตนเอง หรือ ทำ ผิด-ฟื้นตัว
ปิดต้องใช้เพื่อให้อินเตอร์เฟซใช้งานได้ให้
แน่ใจว่าคุณกำหนดค่าพารามิเตอร์มูลค่า 2 เมื่อคุณมีพอร์ตสนับสนุนโทรศัพท์ VoIP และคอมพิวเตอร์
ถ้าค่าเริ่มต้นการใช้ พอร์ต แบบการละเมิดการรักษาความปลอดภัยจะส่งผล.
AAA
บริการรักษาความปลอดภัยเครือข่ายให้กรอบหลักที่ผ่านการเข้าใช้
การตั้งค่าในการเปลี่ยน. ประเมินเป็น Architectural กรอบสำหรับการกำหนดค่าตั้งสามหน้าที่
รักษาความปลอดภัยอิสระ ในลักษณะที่ สอดคล้อง ประเมินให้ทาง modular ของประสิทธิภาพบริการเหล่านี้ ดำเนินธุรกิจเดียวกันวิธี ใน Layer 2
อุปกรณ์ ตาม ที่ ได้ บน อุปกรณ์ Layer 3. ตรวจ
สอบ การ ประเมิน โปรด ดู บท ที่ 13 "Device Security."
802.1 xs
IEEE
802.1x มาตรฐานกำหนดพอร์ตที่ใช้ควบคุมการเข้าถึงและโปรโตคอลการตรวจสอบที่
จำกัดไม่ได้รับอนุญาตจากสถานีเชื่อมต่อ LAN ผ่านสาธารณชน
สามารถเข้าถึงพอร์ตเปลี่ยน. เซิร์ฟเวอร์ตรวจสอบสิทธิ authenticates เวิร์กสเตชันที่เชื่อมต่อกับพอร์ตเปลี่ยนก่อนการให้
บริการที่นำเสนอโดยการเปลี่ยนหรือ LAN แต่ละจนกว่าเวิร์กสเตชันเป็นสิทธิ์,
802.1x ควบคุมการ เข้าให้เข้าชมเฉพาะ Extensible Authentication Protocol ผ่าน LAN (EAPOL) ผ่านพอร์ตที่ เวิร์กสเตชันเชื่อมต่อ หลังจากการตรวจสอบความสำเร็จการจราจรปกติสามารถผ่านพอร์ตกับ
802.1x port-based ตรวจสอบอุปกรณ์ในเครือข่ายที่มีบทบาทเฉพาะตามที่อธิบายในตาราง
ที่ 14.2.
ตารางที่ 14. 2 802.1x
Device Roles
|
Role
|
รายละเอียด
|
|
Client
|
อุปกรณ์ (เวิร์กสเตชัน) ที่เข้าขอLAN และ
บริการเปลี่ยนและตอบสนองการร้องขอจากเปลี่ยน เวิร์กสเตชันต้องใช้ 802.1x ซอฟต์แวร์ลูกค้าตาม, เช่นลูกค้าซอฟต์แวร์ที่มีให้ใน Microsoft Windows XP ระบบปฏิบัติการ. (พอร์ต ที่ ลูกค้า จะ แนบ ไป เป็น ผู้ อุทธรณ์ [client] ใน IEEE802.1x ข้อกำหนด.) |
|
Authentication
server
|
ดำเนินการตรวจสอบจริงของลูกค้า. เซิร์ฟเวอร์การ
ตรวจสอบยืนยันข้อมูลประจำตัวของลูกค้าและแจ้ง
เปลี่ยนหรือไม่ลูกค้าจะได้รับอนุญาตให้เข้าใช้ LAN และ บริการเปลี่ยน. เพราะสลับทำหน้าที่เป็น
พร็อกซี่บริการ การตรวจสอบจะโปร่งใสให้ลูกค้า.
RADIUS ระบบ รักษาความปลอดภัยกับ
Extensible Authentication Protocol (EAP) นามสกุลเป็นเซิร์ฟเวอร์ ตรวจ
สอบ สิทธิ การ สนับสนุน เท่านั้น
|
|
Switch
(also called the authenticator)
|
การควบคุมการเข้าถึงทางเครือข่ายจากการตรวจ
สอบสถานะ ของ client ทำ หน้าที่เป็นตัวกลาง switch ระหว่างและการตรวจสอบเซิร์ฟเวอร์ ระบุขอ ข้อมูล จากลูกค้าที่ ยืนยันข้อมูลที่มีเซิร์ฟเวอร์ ตรวจสอบสิทธิ และ relaying เพื่อตอบสนองลูกค้าโดยใช้ RADIUS |
สถานะพอร์ต
Switch กำหนดหรือไม่ client
ได้รับการเข้าใช้งานเครือข่าย พอเริ่มอยู่ในสถานะไม่ได้รับ
อนุญาตขณะที่พอร์ตปิด การเข้า และ การจราจร egress นอกจาก 802.1x protocol
packets. เมื่อลูกค้ามีสิทธิ์สำเร็จการเปลี่ยนพอร์ตที่
อนุญาตให้สามารถเข้าชมสำหรับ client ทั้งหมดที่ไหลปกติ
หากขอเปลี่ยน identity client (authenticator
initiation) และ client ไม่สนับสนุน 802.1x, พอร์ตอยู่ในสถานะที่ไม่ได้รับอนุญาตและ client
ไม่ได้รับการเข้าถึงเครือข่าย.
ในทางตรงกันข้ามเมื่อ 802.1x client ที่ใช้เชื่อมต่อกับพอร์ตและclient เริ่มกระบวนการตรวจสอบ (ริเริ่มผู้อุทธรณ์)โดย ส่ง EAPOL เริ่มต้นเฟรมเพื่อสลับที่ไม่ได้ ทำงาน 802.1x protocol หนึ่งไม่ได้รับการตอบสนองและclient เริ่มส่งภาพเช่นถ้าพอร์ตที่อยู่ใน authorized state
คุณสามารควบคุมอนุมัติ port โดยใช้พอร์ต dot1x ควบคุมสั่งการกำหนดค่าหน้าจอ และคำหลักที่อธิบายไว้ในตารางที่ 14.3.
ในทางตรงกันข้ามเมื่อ 802.1x client ที่ใช้เชื่อมต่อกับพอร์ตและclient เริ่มกระบวนการตรวจสอบ (ริเริ่มผู้อุทธรณ์)โดย ส่ง EAPOL เริ่มต้นเฟรมเพื่อสลับที่ไม่ได้ ทำงาน 802.1x protocol หนึ่งไม่ได้รับการตอบสนองและclient เริ่มส่งภาพเช่นถ้าพอร์ตที่อยู่ใน authorized state
คุณสามารควบคุมอนุมัติ port โดยใช้พอร์ต dot1x ควบคุมสั่งการกำหนดค่าหน้าจอ และคำหลักที่อธิบายไว้ในตารางที่ 14.3.
|
Keyword
|
รายละเอียด
|
|
Force-authorized
|
ปิดการใช้งาน802.1x port-based ตรวจสอบและทำให้พอร์ตที่
เปลี่ยนแปลงไปมีอำนาจโดยการแลกเปลี่ยนการตรวจสอบที่ จำเป็น พอร์ตส่งและรับการจราจรตามปกติโดยไม่
802.1x-based รับรองความถูกต้องของ client ซึ่งเป็นค่าเริ่มต้นที่
|
|
Force-unauthorized
Keyword
|
ทำให้พอที่จะอยู่ในสถานะไม่ได้รับอนุญาตให้ละเว้นการ
พยายามทั้งหมดโดยลูกค้าสามารถตรวจสอบ เปลี่ยนไม่สามารถ ให้ บริการ ตรวจ สอบ ให้
ลูกค้า ผ่าน ทาง อินเตอร์เฟส
รายละเอียด
|
|
Auto
|
ช่วย 802.1x port-based ตรวจ สอบ และ
ทำให้ พอร์ต ไป
เริ่ม ต้น ใน รัฐ ไม่ ได้ รับ อนุญาต ทำให้ ภาพ EAPOL เท่านั้น จะ ส่ง และ รับ ผ่าน พอร์ต. กระบวนการ ตรวจ สอบ จะ เริ่ม ขึ้น เมื่อ รัฐ ลิงค์ ของ พอร์ต เปลี่ยน จาก ลง ที่ริเริ่มขึ้น (authenticator)หรือ เมื่อ EAPOL กรอบ เริ่ม ต้น คือ ได้ (รับการอุทธรณ์)
ขอ เปลี่ยน identity ของ ลูกค้า และ เริ่ม relaying ข้อความ การ ตรวจ สอบ ระหว่าง ไคลเอ็นต์ กับ
เซิร์ฟเวอร์ ตรวจ สอบ สิทธิ. สลับ เอกลักษณ์ ระบุ ลูกค้า พยายาม ใช้ เครือ ข่าย แต่ละ โดย ใช้ client ที่ อยู่ MAC
|
หากลูกค้ามีสิทธิ์สำเร็จ(ได้รับการ
"ยอมรับ" กรอบจากเซิร์ฟเวอร์การตรวจสอบ)
การเปลี่ยนแปลงสถานะพอร์ตการอนุญาตและภาพทั้งหมดจากลูกค้าสิทธิ์ได้รับ
อนุญาตผ่านทางพอร์ต หากการตรวจสอบล้มเหลวพอร์ตอยู่ในสถานะที่ไม่ได้รับอนุญาต
แต่การตรวจสอบสามารถ ตรวจสอบอีกครั้ง หากเซิร์ฟเวอร์ไม่สามารถบรรลุ สวิตช์สามารถส่งอีกครั้งตามคำขอ
หากไม่ได้รับการ ตอบสนองจาก เซิร์ฟเวอร์
หลังจากจำนวนที่กำหนดไว้ของพยายามการตรวจสอบล้มเหลวและการเข้าใช้ เครือข่ายไม่รับ
เมื่อลูกค้าเข้าระบบออกก็
EAPOL ส่งข้อความออกจากระบบทำให้ พอร์ต สวิตช์ การเปลี่ยนแปลง
ที่รัฐไม่ได้รับอนุญาต
การกำหนดค่าของ Dot1x จะคล้ายกับที่ของ รายการปกติประเมิน การตรวจสอบว่าคุณได้เห็น แล้ว แตกต่างหลักที่อยู่ในรายการตรวจสอบคำสั่งที่คุณระบุ dot1x แทน login
การกำหนดค่าของ Dot1x จะคล้ายกับที่ของ รายการปกติประเมิน การตรวจสอบว่าคุณได้เห็น แล้ว แตกต่างหลักที่อยู่ในรายการตรวจสอบคำสั่งที่คุณระบุ dot1x แทน login
VACLs
ระบบ Cisco’ multilayer switches ACLs รองรับ ACLs 3 ชนิด:
- Router access
control list (RACL)
- Port access
control list (PACL)
- VLAN access
control list (VACL
Router Access Control Lists RACLs สนับสนุนในฮาร์ดแวร์ TCAM ใน switches หลายตัวของCisco ใน Switches Cisco, RACL สามารถ ใช้ กับ อินเตอร์เฟซ ที่กำหนดเส้นทางรวมถึงการสลับ อินเตอร์เฟซเสมือน (SVI) หรือ Layer 3 port โอน
Router Access Control Lists RACLs สนับสนุนในฮาร์ดแวร์ TCAM ใน switches หลายตัวของCisco ใน Switches Cisco, RACL สามารถ ใช้ กับ อินเตอร์เฟซ ที่กำหนดเส้นทางรวมถึงการสลับ อินเตอร์เฟซเสมือน (SVI) หรือ Layer 3 port โอน
Port Access Control Lists
เข้ากรอง PACLs ในระดับพอร์ต PACLs สามารถใช้ใน Layer เปลี่ยนพอร์ต 2 พอร์ตลำต้นหรือพอร์ต Ether Channel
VLAN Access Control Lists VACLs
สนับสนุนในซอฟต์แวร์ในหลายสวิตช์ CiscoCisco ตัวเร่งสนับสนุนสวิทช์สี่ lookups
ACL ต่อแพ็คเก็ต: input และ output ACL
ความปลอดภัย และการเข้าออกและคุณภาพของบริการ (QoS) ACLs. สวิทช์ใช้สองวิธีที่มีประสิทธิภาพรวม
เพื่ออิสระและการพึ่งพาคำสั่งอิสระรวม ACLs
จะเปลี่ยนจากชุดคำสั่งแบบการกระทำขึ้นอยู่กับชุดของคำสั่ง-มาสก์
อิสระและรูปแบบ. การเข้าถึงรายการผลการควบคุม (ACE) ได้มาก ขนาดใหญ่ตัดเป็นโปรเซสเซอร์และหน่วยความจำเข้ม
สั่งตัดเป็นขึ้นอยู่กับการปรับปรุงล่าสุดใน
บางสวิทช์ตัวเร่งที่ ACLs เก็บ เพื่อ-รูป ขึ้นอยู่กับ พวกเขา. คำนวณเป็น
อย่างมากและรวดเร็วน้อย Processor-เข้ม
RACLs สนับสนุนในฮาร์ดแวร์ผ่าน IP ACLs มาตรฐานและขยาย IP
ACLs มีใบอนุญาต
และปฏิเสธ การ กระทำ. การประมวลผล ACL เป็นส่วนเนื้อแท้ของการส่งต่อแพ็คเก็ต. รายการ ACL มีโปรแกรมในฮาร์ดแวร์ Lookups เกิดขึ้นในท่อได้หรือไม่ ACLs รับการกำหนดค่า กับRACLs สถิติรายการเข้าถึงและ เข้าไม่รองรับ
และปฏิเสธ การ กระทำ. การประมวลผล ACL เป็นส่วนเนื้อแท้ของการส่งต่อแพ็คเก็ต. รายการ ACL มีโปรแกรมในฮาร์ดแวร์ Lookups เกิดขึ้นในท่อได้หรือไม่ ACLs รับการกำหนดค่า กับRACLs สถิติรายการเข้าถึงและ เข้าไม่รองรับ
Private VLANs
ผู้ให้บริการมักจะมีอุปกรณ์ จากลูกค้าหลาย
ๆ นอกเหนือจากเซิร์ฟเวอร์ของตนเอง ในเขต ปลอดทหารเดียว (ส่วน DMZ) หรือ VLAN. เป็น ปัญหาด้านความปลอดภัยนั้นจะต้องให้
แยกการจราจรระหว่างอุปกรณ์และแม้ว่าพวกเขาจะอยู่ใน Layer เดียวกัน 3 ส่วนและVLAN ตัวเร่ง 6500/4500 สวิทช์ใช้ส่วนตัวVLANs
(PVLANs) เพื่อให้มีการเปลี่ยนพอร์ต
เพื่อใช้งานร่วมกันและเก็บบางพอร์ตสวิตช์แยก แม้ว่าพอร์ตทั้งหมดอยูใน VLAN เดียวกัน สวิทช์ 2,950 และ 3550 สนับสนุนการป้องกันพอร์ตซึ่งมี หน้าที่คล้ายกับ PVLANs บนพื้นฐานต่อการเปลี่ยน
โซลูชั่นแบบดั้งเดิมที่อยู่ผู้ให้บริการอินเทอร์เน็ต
(ISP ต้องการ) คือการให้หนึ่ง VLAN ต่อลูกค้าด้วย
VLAN มี subnet IP ของตนเองแต่ละ
Layer 3 อุปกรณ์แล้วให้ interconnectivity ระหว่าง
VLANsต่อลูกค้าด้วย VLAN มี subnet
IP ของตนเองแต่ละ Layer 3 อุปกรณ์แล้วให้ interconnectivity
ระหว่าง VLANs และจุดหมาย Internet
นี่ ท้าทาย ด้วย วิธี ดั้งเดิม นี้:
- สนับสนุน
VLAN แยกต่อลูกค้าอาจต้องมีจำนวนการเชื่อมโยงกับบริการ อุปกรณ์ เครือ ข่ายผู้ให้บริการ
- Spanning tree จะ ซับซ้อน มาก ยิ่ง ขึ้น ด้วย การ แสดง หลาย VLAN
- Spanning tree จะ ซับซ้อน มาก ยิ่ง ขึ้น ด้วย การ แสดง หลาย VLAN
- แบ่งพื้นที่ที่อยู่เครือข่ายในพื้นที่
subnets มากเสียและความซับซ้อนการบริหารเพิ่ม.
- ความปลอดภัยโปรแกรม ACL หลายในการรักษาความปลอดภัยในผลลัพธ์ VLANs หลายการ จัดการ ความ ซับซ้อนมากขึ้น
- ความปลอดภัยโปรแกรม ACL หลายในการรักษาความปลอดภัยในผลลัพธ์ VLANs หลายการ จัดการ ความ ซับซ้อนมากขึ้น
PVLANsให้Layer 2 แยกระหว่างพอร์ตภายใน
VLAN เดียวกัน แยกนี้ไม่จำเป็นต้องสำหรับการแยก VLAN และ subnet IP ต่อ ลูกค้า
Port ใน PVLAN สามารถ เป็น หนึ่ง ใน สาม ประเภท:
- Isolated
- Promiscuous
Port ใน PVLAN สามารถ เป็น หนึ่ง ใน สาม ประเภท:
- Isolated
- Promiscuous
- Community
Isolated พอแยกได้สมบูรณ์ Layer
2 แยกจากพอร์ตอื่นๆ ภายใน PVLAN เดียวกันยกเว้นพอร์ตมั่ว
PVLANs ป้องกันเข้าชมทั้งหมด ในพอร์ตแยกยกเว้นการเข้าชมจากพอร์ตมั่ว
เข้าชมได้รับจากพอร์ตแยก เป็น-ผลักเพียงพอร์ตมั่ว
Promiscuous พอร์ตกายสามารถสื่อสารกับพอร์ตทั้งหมด
ภายในPVLANรวมทั้งชุมชนและพอร์ต แยก เกตเวย์เริ่มต้นสำหรับส่วนจะมีโอกาสเป็นเจ้าภาพใน
พอร์ตมั่วให้รับว่าอุปกรณ์ทั้งหมด ใน PVLAN จะ ต้อง สื่อสาร
กับ พอร์ต
Community พอร์ตชุมชนสื่อสารระหว่างกันเองและกับพอร์ตกายของพวกเขา
Interfaces เหล่านี้ แยกที่ Layer 2
จาก interfaces อื่นๆ ในชุมชน อื่นๆ หรือในพอร์ตแยกภายใน PVLAN
ของเนื่องจาก Trunks สามารถสนับสนุน VLANs
ดำเนินการจราจรระหว่าง แยก ชุมชนและพอร์ตมั่ว, แยกและการจราจรport ชุมชนจะ เข้าหรือออกจากการ
เปลี่ยนผ่านทางอินเตอร์เฟซ
พอร์ต PVLAN เกี่ยวข้องกับชุดสนับสนุน VLANs ที่ใช้ในการสร้างโครงสร้าง
PVLAN PVLANใช้ VLANs ในสามวิธี
- เป็น a primary VLAN
- เป็น a primary VLAN
- เป็น
an isolated VLAN
- เป็น a community VLAN
- เป็น a community VLAN
Primary VLAN
VLAN หลักประกอบการเข้าชมจากพอร์ต promiscuous เพื่อแยกชุมชนและพอร์ต promiscuous อื่น ๆ ใน VLAN
หลัก เดียวกัน
Isolated VLAN VLAN แยกประกอบการเข้าชมจากพอร์ตแยกกับพอร์ตมั่ว
Community VLAN ประกอบการเข้าชมระหว่างพอร์ตชุมชน และ พอร์ตมั่ว คุณสามารถกำหนดค่า หลาย VLANs ชุมชน PVLAN
แยก VLANs และ ชุมชน เรียก ว่า VLANs รอง. คุณ สามารถ ขยาย PVLANs ผ่าน อุปกรณ์ หลาย โดย trunking หลัก แยก และ ชุมชน VLANs อุปกรณ์ อื่น ๆ ที่ สนับสนุน PVLANs
Isolated VLAN VLAN แยกประกอบการเข้าชมจากพอร์ตแยกกับพอร์ตมั่ว
Community VLAN ประกอบการเข้าชมระหว่างพอร์ตชุมชน และ พอร์ตมั่ว คุณสามารถกำหนดค่า หลาย VLANs ชุมชน PVLAN
แยก VLANs และ ชุมชน เรียก ว่า VLANs รอง. คุณ สามารถ ขยาย PVLANs ผ่าน อุปกรณ์ หลาย โดย trunking หลัก แยก และ ชุมชน VLANs อุปกรณ์ อื่น ๆ ที่ สนับสนุน PVLANs
Port promiscuous สามารถบริการเพียงหนึ่ง
VLAN หลัก. Port promiscuous สามารถ
บริการ หนึ่ง VLAN แยก หรือ Server VLANs
กับพอร์ตมั่วคุณสามารถเชื่อมต่อหลากหลายของอุปกรณ์เป็นจุดเชื่อมเพื่อ PVLAN ตัวอย่างเช่นคุณ สามารถเชื่อมต่อพอร์ตมั่วกับพอร์ตเซิร์ฟเวอร์เพื่อเชื่อมต่อVLAN แยกหรือหมายเลขของVLANs ชุมชน กับ เซิร์ฟเวอร์
คุณสามารถใช้ balancerโหลดสมดุลเซิร์ฟเวอร์ปัจจุบัน ในแยกหรือ VLANs ชุมชนหรือคุณ สามารถใช้พอร์ตมั่ว ตรวจสอบหรือสำรองข้อมูลทั้งหมดจาก เซิร์ฟเวอร์ PVLAN เวิร์กสเตชัน บริหาร
กับพอร์ตมั่วคุณสามารถเชื่อมต่อหลากหลายของอุปกรณ์เป็นจุดเชื่อมเพื่อ PVLAN ตัวอย่างเช่นคุณ สามารถเชื่อมต่อพอร์ตมั่วกับพอร์ตเซิร์ฟเวอร์เพื่อเชื่อมต่อVLAN แยกหรือหมายเลขของVLANs ชุมชน กับ เซิร์ฟเวอร์
คุณสามารถใช้ balancerโหลดสมดุลเซิร์ฟเวอร์ปัจจุบัน ในแยกหรือ VLANs ชุมชนหรือคุณ สามารถใช้พอร์ตมั่ว ตรวจสอบหรือสำรองข้อมูลทั้งหมดจาก เซิร์ฟเวอร์ PVLAN เวิร์กสเตชัน บริหาร
การสอดแนม DHCP (DHCP
Snooping)
DHCP
สอดแนมเป็นคุณลักษณะ Cisco ที่กำหนดพอร์ตที่สวิตช์สามารถตอบสนอง
คำขอ DHCP พอร์ต ถูกกำหนดเป็นที่เชื่อถือและ untrusted.
พอร์ตTrustedแหล่งสามารถข้อความ DHCP ทั้งหมด ขณะ untrusted พอร์ตสามารถร้องขอมาเท่านั้น
Trusted พอร์ตโฮสต์ เซิร์ฟเวอร์ DHCP หรือ
สามารถ uplink ไป ยัง เซิร์ฟเวอร์ DHCP. หาก อุปกรณ์ โกง ใน untrusted พยายาม พอ ที่ จะ ส่ง
แพ็ก เก็ ต ตอบ DHCP ใน เครือ ข่าย port คือ ปิด. คุณลักษณะ นี้ สามารถ คู่ กับ DHCP Option 82 ซึ่ง ใน การ เปลี่ยน ข้อมูลเช่น พอร์ต ID ของ คำขอ DHCP
สามารถ ใส่ ลง ใน แพค เก็ ต ขอ DHCP
พอร์ต Untrusted มีผู้ที่ไม่ได้
กำหนดอย่างชัดเจนเป็นที่เชื่อถือ ตาราง DHCP ผูกพันสร้างขึ้น
สำหรับพอร์ต untrusted แต่ละรายการมีลูกค้าที่อยู่ MAC
ที่อยู่ IP เวลาเช่าผูกพันพิมพ์หมายเลข VLANพอร์ตและID บันทึกเป็นลูกค้าขอ DHCP ตารางจะใช้แล้วเพื่อกรองการจราจร ภายหลัง DHCP จากมุมมอง
ของการสอดแนม DHCP, untrusted เข้าพอร์ตไม่ ควรส่งคำตอบใด ๆ DHCP
server เช่น DHCPOFFER, DHCPACK หรือ DHCPNAK
server เช่น DHCPOFFER, DHCPACK หรือ DHCPNAK
ขั้นตอนในการตั้งค่า
DHCP สอดแนมเป็น
1.ปรับแต่ง global DHCP snooping.
2.ปรับแต่ง trusted ports.
3.ปรับแต่ง Option 82 insertion off (default enabled by step 2).
4.ปรับแต่ง rate limiting on untrusted ports.
5.ปรับแต่ง DHCP snooping for the selected VLANs.
2.ปรับแต่ง trusted ports.
3.ปรับแต่ง Option 82 insertion off (default enabled by step 2).
4.ปรับแต่ง rate limiting on untrusted ports.
5.ปรับแต่ง DHCP snooping for the selected VLANs.
IP Source Guard
IP
Source Guard คล้ายกับ DHCP สอดแนม คุณลักษณะนี้สามารถเปิดใช้งานใน
DHCP สอดแนม untrusted Layer 2 พอร์ต
เพื่อ ป้องกันการหลอกลวงที่อยู่ เพื่อเริ่มต้นทุก จราจร IP ในพอร์ตถูก
บล็อคอจาก packets DHCP ที่บันทึกโดย DHCP สอดแนมกระบวนการเมื่อลูกค้าได้รับที่อยู่ที่ถูกต้องจากเซิร์ฟเวอร์ DHCP
หรือเมื่อคง IP แหล่งผูกพันมีการกำหนดโดย
ผู้ใช้ที่พอร์ตต่อและVLAN รายการ ควบคุมการเข้าใช้ (PVACL) ติดตั้งอยู่ในพอร์ต
กระบวนการนี้จำกัดลูกค้าจราจร IP เพื่อกำหนดแหล่งที่อยู่ในผลผูกพันบรรดาใดจราจร
IP กับแหล่ง IP ที่อยู่นอกเหนือจากที่ในแหล่ง
IP ผูกพันจะถูกกรองออกนี้วงเงินการกรอง
ความสามารถโฮสต์ของเครือข่ายที่จะถูกโจมตี โดยอ้างที่อยู่โฮสต์เพื่อนบ้านของ
ความสามารถโฮสต์ของเครือข่ายที่จะถูกโจมตี โดยอ้างที่อยู่โฮสต์เพื่อนบ้านของ
IP Source Guard สนับสนุน
เฉพาะ Layer 2 พอร์ตรวมถึงการเข้าถึงและเส้นทาง สำหรับ แต่ละ
untrusted Layer 2 port สอง ระดับ การ
รักษาความปลอดภัยการจราจรIPกรอง มีดังนี้
Source
IP Address Filter การจราจร IP
เป็นกรองตามแหล่งที่อยู่ของ IP เพียงเข้าชม IP
ที่มี แหล่งที่อยู่ที่ตรงกับที่มา IP เข้าผูกพันรับอนุญาตกรอง
IP ที่อยู่มาเมื่อมีการเปลี่ยนแปลงใหม่ เข้ามา IP ผูกพันสร้างหรือลบในพอร์ต พอร์ต PVACL จะคำนวณใหม่และ
reapplied ในฮาร์ดแวร์เพื่อแสดงที่มา IP เปลี่ยนผูกพัน โดยปกติถ้ากรอง IP ใช้ไม่ใดๆแหล่ง IP
ผูกพันในพอร์ตเป็นค่าเริ่มต้น PVACL ที่ denies
ทุกจราจร IP ติดตั้งอยู่ในพอร์ต ในทำนองเดียวกันเมื่อมีการยกเลิกตัวกรอง
IP ใด ๆ แหล่งกรอง IP PVACL จะถูกลบออกจากอินเตอร์เฟซ
Source IP and MAC Address Filter การจราจร IP เป็นกรองตามแหล่งที่อยู่ของIPนอกเหนือ จากที่อยู่ MAC ของมันเท่านั้นจราจร IP
กับแหล่งที่อยู่ IP และ MAC ที่ ตรงกับที่มา IP ผูกพัน เข้ารับอนุญาต
Dynamic ARP Inspection
เพื่อป้องกันการหลอกลวง
ARP หรือพิษเปลี่ยนต้องให้ถูกต้องเท่านั้นขอ
ARP และการตอบสนองจะ relayed. ตรวจ Dynamic
ARP ป้องกันการโจมตีเหล่านี้โดย ระหว่าง accepting และตรวจสอบความถูกของ ARP และแต่ละตอบ ARP
intercepted เป็น verified ให้ถูกต้องที่อยู่ MAC-to-IP
อยู่ bindings ก่อนที่จะส่งต่อไปยังเครื่อง
คอมพิวเตอร์เพื่อปรับปรุงแคช ARP
ตอบกลับมาจากอุปกรณ์ไม่ถูกต้องจะลดลง
ตอบกลับมาจากอุปกรณ์ไม่ถูกต้องจะลดลง
ตรวจสอบความถูกต้องของ
แพ็กเก็ต ARP ตามที่อยู่ที่ถูกต้อง
MAC-to-IP ที่อยู่ ฐานข้อมูล bindings สร้างโดย
DHCP สอดแนม นอกจากนี้การจัดการกับโฮสต์
ที่ใช้statically ที่อยู่กำหนดค่ายังสามารถตรวจสอบ แพ็คเก็ต ARP กับผู้ใช้กำหนดค่าACLs
ARPเพื่อให้มั่นใจว่าถูกต้องเพียงคำขอ
ARP และการตอบสนองจะ
relayed,จะดำเนินการนี้
- แพ็คเก็ตส่งต่อARPได้รับในอินเตอร์เฟซที่ไว้วางใจโดยไม่ตรวจสอบใด ๆ
- Intercepts ทั้งหมด packets ARP ในพอร์ต untrusted
- ยืนยันว่าแต่ละแพ็คเก็ต intercepted มี IP
ที่ถูกต้องเพื่อที่อยู่ MAC ผูกพันก่อนสำหรับ
แพ็คเก็ต warding ที่สามารถปรับปรุงแคช ARP ท้องถิ่น
แพ็คเก็ต warding ที่สามารถปรับปรุงแคช ARP ท้องถิ่น
- บันทึกหรือมาพบและบันทึก ARP packets โดยไม่ถูกต้อง IP-to-MAC
bindings อยู่
การตั้งค่าทั้งหมดเข้าพอร์ตเปลี่ยน
untrusted เป็นและเปลี่ยนพอร์ตเชื่อมต่ออื่นๆสวิทช์ไว้
วางใจเป็น ในกรณีนี้ทั้งหมด packets ARP ป้อนเครือข่ายจะกระจายจากต้นน้ำหรือเปลี่ยน
หลักผ่านการตรวจสอบความปลอดภัยและไม่ต้องตรวจสอบเพิ่มเติม ยังสามารถใช้อัตรา
วงเงิน packets ARP แล้ว ไถล-interface ปิด ถ้า อัตรา การ อยู่ เกิน
