- Sử Dụng DHCP Snooping : tránh cấp DHCP từ thiết bị khác (Ngoại trừ Server DHCP cho phép hoặc Router). - DHCP Snooping Binding Table : Ghi lại những thông tin mà DHCP snooping học IP và MAC tự động (dynamic) hoặc bằng thủ công (static) và gói thông tin này sẽ đẫy xuống ARP để kiểm tra, Nếu ARP gởi xuống Host không hợp lệ thì sẽ : bị chặn - ARP Inspection : kiểm tra bản ARP do Bindding table gởi xuống. Cấu Hình:

1. Cấu Hình DHCP Snooping

Chọn Port 24 : là Port gắn vào Server có DHCP Server Trust : là port tin tưởng ARP sẽ không kiểm tra port 24 bởi mình xét nó là tin tưởng rồi ( nó sẽ kiểm tra 23 Port còn lại) Maximun Host Count (Rang 1-32) : Giá trị tinh tưởng trên 1 Port ( 1 : chỉ cho phép 1 IP Ứng với MAC đó được sử dụng)

Chọn IP Server Cấp DHCP xuống.

2. Cấu Hình Binding Table

Chọn Mac address và IP Tướng ứng vào trên 1 Port chỉ định và chỉ IP MAC đó được sử dụng .

3. Cấu Hình ARP Inspection

Chọn Port 24 : Truster là tin tưởng và sẽ không kiểm tra Port 2 4 trên bản ARP ( kiểm tra 23 Port còn lại , nếu IP , MAC , VLAN trùm với Client thì OK , còn không trùm sẽ bị Drop).

Hãy liên lạc với chúng tôi để được hỗ trợ khi các bạn còn ở trước thiết bị và có thể login vào thiết bị.

Trong một số tình huống, ta cần phải kiểm soát được sự truy xuất của client vào một hệ thống mạng. Cách thức đơn giản để quản lý người dùng là dựa vào địa chỉ MAC của người dùng đó. Catalyst Switch cung cấp một tính năng là port security, tính năng này giúp điều khiển truy cập của một người dùng trên một cổng của Switch dựa vào địa chỉ MAC của người dùng đó. Để cấu hình tính năng này trên cổng của Switch ta làm như sau. Đầu tiên bật tính năng port security trên chế độ giao diện (interface mode) bằng lệnh sau:

Switch(config-if)

switchport port-security

Tiếp theo ta chỉ định số địa chỉ MAC tối đa cho phép truy xuất trên cổng:

Switch(config-if)

switchport port-security maximum max-addr

Mặc định chỉ có 1 địa chỉ MAC được cho phép trên cổng. Dãy địa chỉ MAC có thể cấu hình từ 1 đến 1024.

Ta có thể chỉ định trước những địa chỉ MAC nào được cho phép truy xuất trên cổng:

Switch(config-if)

switchport port-security mac-address mac-addr

Theo mặc định khi một người dùng không còn kết nối vào cổng, MAC của người dùng đó cũng sẽ không được lưu lại. Nếu muốn Switch lưu lại địa chỉ MAC của người dùng vào chế độ cấu hình đang chạy (running config) ta dùng lệnh sau:

Switch(config-if)

switchport port-security mac-address sticky

Ví dụ: nếu ta chỉ định số địa chỉ MAC tối đa cho phép trên một port là 5, điều này có nghĩa là tại một thời điểm chỉ được phép có tối đa 5 địa chỉ MAC của người dùng tồn tại trên cổng (hay nói cách khác có tối đa 5 người dùng kết nối vào cổng), nếu thay một người dùng này bằng một người dùng khác thì vẫn không vi phạm điều kiện, vì địa chỉ MAC của người dùng cũ không được lưu lại. Nếu ta chỉ định thêm sticky thì chỉ có 5 người dùng đầu tiên được truy xuất vào cổng, nếu thay 1 máy tính trong nhóm bằng 1 máy tính khác thì sẽ vi phạm điều kiện (vì 5 MAC của 5 máy tính cũ + 1 MAC của máy tính mới = 6 MAC > số MAC tối đa là 5 MAC).

Bình thường khi vi phạm điều kiện, cổng sẽ bị tắt (shutdown) và đưa vào trạng thái lỗi:

Switch(config-if)

switchport port-security violation {shutdown | restrict | protect}

shutdown: khi vi phạm điều kiện port ngay lập tức bị shutdown và đưa vào trạng thái lỗi. Ta phải phục hồi lại bằng tay (dùng lệnh shutdown và no shutdown) hoặc tự động bằng tính năng errdisable recovery (xem lab).

restrict: khi vi phạm cổng vẫn hoạt động, tuy nhiên tất cả những khung (frame) từ địa chỉ MAC vi phạm điều kiện đều bị đánh rớt và một thông điệp bẫy SNMP, syslog được gởi ra.

protect: khi vi phạm port vẫn hoạt động, giống với restrict, tuy nhiên sẽ không gởi thông điệp bẫy SNMP và syslog không được gởi ra.

Một ví dụ cấu hình tính năng port-security chế độ shutdown (mặc định):

Interface fastEthernet 0/10

Switchport access vlan 10

Switchport mode access

Switchport port-security

Switchport port-security violation shutdown

Spanning-tree portfast

Example 15-1 Displaying Port Security Port Status

Switch

show port-security interface fastEthernet0/10

Port Security : Enabled

Port Status : Secure-shutdown

Violation Mode : restrict

Aging Time : 0 mins

Aging Type : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses : 1

Total MAC Addresses : 0

Configured MAC Addresses : 0

Sticky MAC Addresses : 0

Last Source Address : 0003.a089.efc5

Security Violation Count : 1

Tính năng chứng thực trên nền tảng cổng (Port-based Authentication)

Tính năng port-based authentication dựa trên chuẩn IEEE 802.x. Khi được bật lên, switch sẽ ngăn tất cả luồng dữ liệu cho đến khi người dùng được chứng thực thành công với Switch. Để có thể port-based authentication làm việc được, đòi hỏi cả máy tính người dùng và Swith phải hỗ trợ 802.1x, nếu Switch không hỗ trợ 802.1x thì máy tính vẫn có thể truy xuất bình thường, nếu Switch hỗ trợ và bật 802.1x thì máy tính người dùng phải hỗ trợ 802.1x và chứng thực thành công mới có thể truy xuất vào mạng, ngược lại máy tính sẽ không thể truy xuất vào mạng.

Các bước cấu hình chứng thực 802.1x:

Port-based authentication đòi hỏi phải có máy chủ RADIUS để chứng thực và 802.1x chỉ làm việc được duy nhất với máy chủ RADIUS.

Bước 1: bật AAA trên Switch bằng lệnh sau:

Switch(config)

aaa new-model

Bước 2: chỉ định máy chủ RADIUS trên Switch:

Switch(config)

radius-server host {hostname | ip-address} [key string]

Có thể lập lại lệnh này nhiều lần để chỉ định nhiều máy chủ RADIUS.

Bước 3: chỉ định phương thức chứng thực mà 802.1x dùng là RADIUS:

Switch(config)

aaa authentication dot1x default group radius

Bước 4: bật 802.1x trên Switch:

Switch(config)

dot1x system-auth-control

Bước 5: cấu hình 802.1x trên cổng của switch:

Switch(config)

interface type mod/num

Switch(config-if)

dot1x port-control {force-authorized | force-unauthorized | auto}

force-authorized: cổng luôn ở trạng thái được chứng thực, tất cả dữ liệu từ máy tính người dùng đều được chấp nhận

force- unauthorized: cổng luôn ở trạng thái không được chứng thực, tất cả dữ liệu từ người dùng đều bị đánh rớt.

auto: bật 802.1x, cổng trên switch sẽ chuyển từ trạng thái chưa được cấp quyền (unauthorized) sang trạng thái được cấp quyền (authorized) nếu người dùng cung cấp đúng tên truy cập (username) và mật khẩu (password)

Bước 6: cho phép nhiều máy tính người dùng truy xuất trên một cổng của switch cấu hình 802.1x, theo mặc định 802.1x chỉ hỗ trợ một máy tính trên cổng cấu hình 802.1x. Nếu muốn hỗ trợ nhiều máy tính truy xuất trên cùng một cổng cấu hình 802.1x, ta dùng thêm lệnh sau:

Switch(config-if)

dot1x host-mode multi-host

Một ví dụ cấu hình 802.1x:

Switch(config)

aaa new-model

Switch(config)

radius-server host 10.1.1.1 key BigSecret

Switch(config)

radius-server host 10.1.1.2 key AnotherBigSecret

Switch(config)

aaa authentication dot1x default group radius

Switch(config)

dot1x system-auth-control

Switch(config)

interface range FastEthernet0/1 - 40

Switch(config-if)

switchport access vlan 10

Switch(config-if)

switchport mode access

Switch(config-if)

dot1x port-control auto

Tính năng ngăn chặn giả mạo máy chủ DHCP ( DHCP Snooping)

Máy chủ DHCP được dùng để cấp địa chỉ IP, gateway, DNS server, … giúp máy tính có đầy đủ thông tin để truy cập vào mạng. Điều gì sẽ sảy ra nếu một kẻ tấn công tạo một máy chủ DHCP giả mạo trong cùng một mạng con (subnet) với người dùng, như vậy người dùng sẽ nhận thông tin như địa chỉ IP, gateway, … giả mạo từ máy chủ giả mạo DHCP của kẻ tấn công này.

Cisco Catalyst Switch hỗ trợ tính năng DHCP Snooping nhằm ngăn chặn tình huống nêu trên, khi DHCP Snooping được bật lên, các cổng của Switch được chia thành một trong hai chế độ: tin tưởng (trusted) và không tin tưởng (untrusted) trong đó chế độ không tin tưởng được bật mặc định. Trong đó máy chủ DHCP hợp lệ sẽ nằm ở cổng tin tưởng và máy tính người dùng sẽ nằm ở cổng không tin tưởng.

Khi người dùng gởi ra thông điệp yêu cầu DHCP để xin địa chỉ IP, lúc đó chỉ có thông điệp trả lời DHCP từ máy chủ DHCP hợp lệ nằm ở cổng tin tưởng là được phép đi qua, còn các thông điệp trả lời DHCP từ các cổng khác đều bị chặn lại.

Tính năng bảo vệ địa chỉ IP nguồn (IP Source Guard)

Bình thường, khi một máy tính được cấp địa chỉ IP, theo quy tắc mọi gói tin bắt đầu từ máy tính này đều có địa chỉ IP nguồn (source IP) phải là địa chỉ IP đã được cấp. Nhưng nếu máy tính này cố tình can thiệp để phá hoại quy tắc này, tức là khi gởi gói tin ra lại dùng một địa chỉ IP khác nhằm mục đích tất công từ chối dịch vụ chẳng hạn? Cisco Catalyst Switch hỗ trợ tính năng IP Source Guard nhằm ngăn chặn tình huống này. IP Source Guard dùng cơ sở dữ liệu của DHCP Snooping để kiểm tra địa chỉ IP nguồn (có thể kiểm tra địa chỉ MAC nguồn) của gói tin nhận được từ một cổng có hợp lệ hay không, hợp lệ ở đây nghĩa là địa chỉ IP nguồn đó phải là địa chỉ IP mà máy tính đã xin qua máy chủ DHCP, nếu là địa chỉ IP khác tức là không phải IP xin từ máy chủ DHCP gói tin sẽ bị đánh rớt.

Ví dụ: trong mô hình sau

Máy tính có địa chỉ IP 10.10.50.50/16 gọi là A xin địa chỉ IP qua DHCP server. Như vậy gói tin bắt nguồn từ A phải có địa chỉ IP nguồn là: 10.10.50.50/16, nếu A cố tình giả mạo một địa chỉ IP khác ví dụ: 10.10.10.10, lúc đó những gói tin bắt nguồn từ A có địa chỉ IP nguồn 10.10.10.10 đến Switch sẽ bị đánh rớt.

Tính năng kiểm tra tính hợp lệ của gói tin ARP động (Dynamic ARP Inspection)

giao thức ARP (Address Resolution Protocol) – giao thức phân giải từ địa chỉ IP sang MAC, được máy tính dùng để tìm địa chỉ MAC khi đã biết địa chỉ IP.

Trong mô hình trên, A muốn tìm địa chỉ MAC của C sẽ làm như sau:

A gởi gói tin ARP request để tìm địa chỉ MAC của C có IP 10.1.1.1

C trả lời lại với gói tin ARP reply với địa chỉ MAC tương ứng là C.C.C.C

Và như vây A biết được rằng địa chỉ MAC của C là C.C.C.C

Tuy nhiên nếu B là kẻ tấn công thì quá trình sẽ như sau:

A gởi ARP request tìm địa chỉ MAC của C có IP 10.1.1.1

C trả lời ARP reply với địa chỉ MAC tương ứng là C.C.C.C

B liên tục gởi ARP reply đến A với nội dung: IP 10.1.1.1 có địa chỉ MAC là B.B.B.B

A tin địa chỉ IP 10.1.1.1 (địa chỉ IP của C) có MAC là B.B.B.B (địa chỉ MAC của B)

Như vậy gói tin gởi từ A đến C sẽ được đóng gói ở lớp 2 với địa chỉ MAC đích (destination MAC) là B.B.B.B lúc này B sẽ nhận được, ăn cắp thông tin và tiếp tục gởi đến cho C

Chiều gói tin đi từ C đến A cũng tương tự như vậy, đi qua B

A và C không hề hay biết là B đang nghe lén nội dung nói chuyện giữa A và C

Cisco Catalyst Switch cung cấp tính năng Dynamic ARP Inspection (DAI) để ngăn chặn trường hợp này. Cũng giống với tính năng DHCP Snooping, DAI khi được cấu hình sẽ phân chia thành 2 loại cổng: không tin tưởng (untrusted) và tin tưởng (trusted). Nếu là cổng tin tưởng DAI không kiểm tra gói tin ARP reply đi vào cổng này, nếu là cổng không tin tưởng DAI sẽ dùng cơ sở dữ liệu của DHCP Snooping kiểm tra gói tin ARP reply nhận được từ cổng này có hợp lệ không, hợp lệ ở đây nghĩa là địa chỉ IP và MAC trong gói tin ARP reply phải trùng với địa chỉ IP và MAC có trong cơ sở dữ liệu của DHCP Snooping. Nếu trùng, gói tin ARP reply được phép đi qua, ngược lại gói tin ARP reply sẽ bị đánh rớt khi đi vào cổng này.