Port security trên Switch

Bạn đang có một hệ thống mạng với rất nhiều switch được đặt ở những nơi không an toàn, không được kiểm soát ra/vào. Bạn lo lắng nhỡ có ai đó dùng sợi dây mạng, cắm vào switch để xâm nhập trái phép vào hệ thống mạng của bạn. Điều này rất dễ xảy ra trong thực tế. Giải pháp cho vấn đề này là Port security.

Port security là gì?

Vui lòng lưu ý cái tên port security dễ làm cho chúng ta nhầm lẫn nó là một port vật lý, thực tế nó chỉ là một chức năng trên thiết bị layer 2 (switch), cho phép switch giới hạn thiết bị kết nối vào một port.

Cơ sở

Nói đến thiết bị layer 2 là ta nói đến địa chỉ MAC. Cơ sở của port security dựa vào việc lọc địa chỉ MAC nguồn (source MAC).

Hoạt động

Khi chức năng port security được bật lên cho một port, switch sẽ được học 3 khái niệm mới:

  • Port được cấu hình chức năng port security trở thành một port bảo mật (secure port).
  • Địa chỉ MAC được phép gán vào secure port được gọi là MAC bảo mật (secure MAC).
  • Sẽ có một bảng địa chỉ (table address) được tạo ra để chứa các secure MAC. Ban đầu bảng địa chỉ là trống vì chưa có secure MAC nào được thêm vào.
    Khi switch nhận được một frame, nó sẽ đối chiếu source MAC với từng secure MAC trong bảng địa chỉ, để xem nó có phải là sercure MAC hay không? Nếu có thì nó sẽ chuyển tiếp frame, nếu không thì sẽ xảy ra vi phảm bảo mật (security violation) switch sẽ drop frame.

Trên switch Cisco, để bật chức năng port security ta làm như sau:

Switch(config)#interface fa0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)# switchport port-security 
maximum 2    //cho phép gán 2 secure MAC

Vậy làm sao để thêm secure MAC vào table address? Có 3 lựa chọn:

  • Thêm secure MAC bằng tay (cách này phổ biến nhất)
Switch(config-if)# switchport port-security mac-address AAAA.BBBB.CCCC.DDDD
  • Dynamic learning: cho phép một port tự động học MAC của các thiết bị đã kết nối, đưa chúng vào bảng secure MAC.
  • Bạn có thể nhóm một số địa chỉ MAC không được phép và cho phép những địa chỉ MAC còn lại như là secure MAC được đưa vào bảng địa chỉ.

Lưu ý

Nếu một port bị shutdown hoặc switch khởi động lại, bảng địa chỉ secure MAC sẽ bị xóa. Điều này nảy sinh một khái niệm gọi là Sticky MAC, đề xuất bởi Cisco.

Sticky MAC cho phép switch lưu lại bảng địa chỉ Secure MAC khi người quản trị gõ lệnh write memory hoặc copy running-config startup-config. Lúc này danh sách Secure Port sẽ được lưu lại như lưu file startup-config.

Security Violation

Như tôi đã nhắc ở trên về vi phạm bảo mật (security violation) xảy ra khi một source MAC không có trong bảng địa chỉ secure MAC. Bên cạnh đó, vi phạm bảo mật còn xảy ra trong trường hợp Secure MAC đang được học trên một Secure Port, nhưng đồng thời được học trên một Secure Port khác cùng VLAN.

Khi ở trạng thái Security Violation, bạn có thể cấu hình lựa chọn các hành động cho Violated Port:

  • Protect: Violated Port sẽ drop frame có source MAC không nằm trong danh sách Secure MAC.
  • Restrict: Tương tự như Protect, nhưng sẽ tăng giá trị của Security Violation counter lên một.
  • Shutdown: Violated Port sẽ bị vào trạng thái err-diabled (tương tự như khi gõ lệnh shutdown trên interface), đồng thời thiết bị sẽ gửi bản tin SNMP Trap lên SNMP server (nếu đang cấu hình SNMP cho thiết bị).

Khi port bị vào trạng thái err-disabled, người quản trị có thể cho phép thiết bị tự khôi phục lại trạng thái up của port (dùng lệnh errdisable recovery cát violation_mode trong mode global) hoặc cấu hình shutdown và no shutdown trong mode interface.

Nếu bạn sử dụng switch cisco, tôi khuyến nghị tham khảo thêm ở đây sau khi đã hiểu được ý tưởng về chức năng port security.

Leave a Comment