3.6 Cấu hình các tính năng bảo mật.
3.6.1 Port Security.
Bạn có thể sử dụng chức năng Port Security để ngăn chặn các kết nối vo cổng Ethernet, Fast Ethernet hay Gigabit Ethernet có MAC address khác với MAC address đã được chỉ định cho port.
Ngồi ra còn có thể chỉ định số MAC address tối đa hỗ trợ trên một port, thời gian có hiệu lực của MAC address trên port đó. Bạn còn có thể xác định trạng thái mà một port sẽ được đặt vào nếu có sự xâm phạm về bảo mật. Trạng thái shutdown là trạng thái đầu tiên trong đó bạn có thể shutdown port trong một khoảng thời gian xác định hay không xác định (trạng thi mặc định). Trạng thái thứ hai là trạng thái giới hạn (restrictive mode), trong đó port vẫn trong trạng thi hoạt động và chỉ loại bỏ các packet từ các địa chỉ lạ.
Khi có sự vi phạm về bảo mật LED link của port đó chuyển sang màu cam (orange) và thông báo link-down sẽ được gửi đến Simple Network Management Protocol (SNMP) manager. SNMP trap sẽ không được gửi đi nếu bạn cấu hình port ở chế độ restrictive.
· Cấu hình Port Security
Cấu hình Port Security bao gồm các phần sau:
- Cho phép Port Security
- Xác định số lượng MAC Addresses tối đa
- Xác định thời gian hiệu lực của Port Security
- Xoá MAC Addresses
- Xác định Security Violation Action
- Xác định Shutdown Time
- Loại bỏ Port Security
- Monitoring Port Security
- Cho phép Port Security
Task
|
Command
|
Step 1 Cho phép port security. Nếu cần, xác định MAC address cho phép trên port.
|
set port security mod_num/port_num enable [mac_addr]
|
Step 2 Bổ sung MAC address vào danh sách bảo mật.
|
set port security mod_num/port_num mac_addr
|
Step 3 Xác nhận cấu hình.
|
show port [mod_num[/port_num]]
|
Ví dụ:
Console> (enable) set port security 2/1 enable
Port 2/1 port security enabled with the learned mac address.
Trunking disabled for Port 2/1 due to Security Mode
Console> (enable) show port 2/1
Port Name Status Vlan Level Duplex Speed Type
----- ------------------ ---------- ---------- ------ ------ ----- ------------
2/1 connected 522 normal half 100 100BaseTX
Port Security Secure-Src-Addr Last-Src-Addr Shutdown Trap IfIndex
----- -------- ----------------- ----------------- -------- -------- -------
2/1 enabled 00-90-2b-03-34-08 00-90-2b-03-34-08 No disabled 1081
Port Broadcast-Limit Broadcast-Drop
-------- --------------- --------------
2/1 - 0
Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize
----- ---------- ---------- ---------- ---------- ---------
2/1 0 0 0 0 0
Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts Giants
----- ---------- ---------- ---------- ---------- --------- --------- ---------
2/1 0 0 0 0 0 0 0
Last-Time-Cleared
--------------------------
Fri Jul 10 1998, 17:53:38
Ví dụ bổ sung MAC address vào danh sách bảo mật.
Console> (enable) set port security 2/1 enable 00-90-2b-03-34-08
Port 2/1 port security enabled with 00-90-2b-03-34-08 as the secure mac address
Trunking disabled for Port 2/1 due to Security Mode
Console> (enable)
- Xác định số lượng MAC address tối đa.
Bạn có thể xác định số lượng MAC address tối đa cho phép trên port. Số lượng tối đa cho pép l 1024 MAC address.
Task
|
Command
|
Xác định số lượng MAC address tối đa
|
set port security mod_num/port_num maximum num_of_mac
|
Ví dụ
Console> (enable) set port security 7/7 maximum 20
Maximum number of secure addresses set to 20 for port 7/7.
Console> (enable)
Console> (enable) set port security 7/7 maximum 18
Maximum number of secure addresses set to 18 for port 7/7
00-11-22-33-44-55 cleared from secure address list for port 7/7
00-11-22-33-44-66 cleared from secure address list for port 7/7
Console> (enable)
- Xác định thời gian hiệu lực của port security:
Thời gian hiệu lực này bắt đầu tính từ khi MAC address tương ứng truyền dữ liệu qua port. Khi hết thời gian này MAC address này sẽ tự động bị xóa khỏi danh sách bảo mật. Thời gian này có thể từ 10 đến 1440 phút. Giá trị 0 có nghĩa là không xác định thời gian hiệu lực cho port security.
Task
|
Command
|
Xác định thời gian hiệu lực của port security
|
set port security mod_num/port_num age time
|
Console> (enable) set port security 7/7 age 600
Secure address age time set to 600 minutes for port 7/7.
Console> (enable)
- Xóa bỏ MAC Address
Sử dụng lệnh clear port security để xóa MAC address khỏi danh sách bảo mật:
Task
|
Command
|
Xóa tất cả hay một vài MAC address ra khỏi danh sách bảo mật.
|
clear port security mod_num/port_num {mac_addr | all}
|
Ví dụ:
Console> (enable) clear port security 7/7 00-11-22-33-44-55
00-11-22-33-44-55 cleared from secure address list for port 7/7
Console> (enable)
Console> (enable) clear port security 7/5-7 all
All addresses cleared from secure address list for ports 7/5-7
Console> (enable)
- Xác định Security Violation Action
Khi có sự xâm nhập vào chế độ bảo mật, port có thể được đặt vào 1 trong 2 trạng thái sau:
§ Shutdown: Shutdown port cố định hay trong một khoảng thời gian xác định. Mặc định là shutdown cố định.
§ Giới hạn: Loại bỏ tất cả các packet từ MAC address là những port vẫn ở trạng thái hoạt động..
Task
|
Command
|
Xác định violation action trên port.
|
set port security mod_num/port_num violation {shutdown | restrict}
|
Ví dụ:
Console> (enable) set port security 7/7 violation restrict
Port security violation on port 7/7 will cause insecure packets to be dropped.
Console> (enable)
· Xác định Shutdown Time
Task
|
Command
|
Xác định shutdown time của port khi bị xâm nhập.
|
set port security mod_num/port_num shutdown time
|
Ví dụ:
Console> (enable) set port security 7/7 shutdown 600
Secure address shutdown time set to 600 minutes for port 7/7.
Console> (enable)
- Loại bỏ Port Security
Task
|
Command
|
Step 1 Loại bỏ Port security.
|
set port security mod_num / port_num disable
|
Step 2 Xác nhận cấu hình
|
show port security [mod_num / port_num]
|
Ví dụ:
Console> (enable) set port security 2/1 disable
Port 2/1 port security disabled.
Console> (enable)
Console> (enable) show port security 2/1
Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex
----- ------- --------- ------------- -------- -------- - ------ -------
3/24 disabled restrict 20 300 10 disabled 921
Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr Shutdown/Time-Left
----- -------- ----------------- -------- ----------------- ------------------
3/24 1 00-e0-4f-ac-b4-00 - - - -
Console> (enable)
- Monitoring Port Security
Lệnh show port security hiển thị các thông tin sau:
§ Hiển thị danh sch MAC addressesbảo mật.
§ Số lượng MAC address tối đa.
§ Thời gian hiệu lực
§ Shutdown/security mode
Task
|
Command
|
Step 1 Hiển thị cấu hình port security.
|
show port security [statistics] mod_num / port_num
|
Step 2 Hiển thị trạng thái phân tích của port security.
|
show port security statistics [system] [mod_num / port_num]
|
Ví dụ:
Console> (enable) show port security 3/24
Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex
----- -------- --------- ------------- -------- -------- -------- -------
3/24 enabled shutdown 300 60 10 disabled 921
Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr Shutdown/Time-Left
----- -------- ----------------- -------- ----------------- ------------------
3/24 4 00-e0-4f-ac-b4-00 60 00-e0-4f-ac-b4-00 no -
00-11-22-33-44-55 0
00-11-22-33-44-66 0
00-11-22-33-44-77 0
Console> (enable) show port security statistics 3/24
Port Total-Addrs Maximum-Addrs
----- ----------- -------------
3/24 4 10
Console> (enable)
Port Total-Addrs Maximum-Addrs
----- ----------- -------------
3/24 1 10
Console> (enable)
Console> (enable) show port security statistics 7
Port Total-Addrs Maximum-Addrs
----- ----------- -------------
7/1 0 1
7/2 0 1
7/3 0 1
7/4 0 1
7/5 0 1
7/6 0 1
7/7 0 1
7/8 0 1
7/9 0 1
7/10 0 200
7/11 0 1
7/12 0 1
7/13 0 1
7/14 0 1
7/15 0 1
7/16 0 1
7/17 0 1
7/18 0 1
7/19 0 1
7/20 0 1
7/21 0 1
7/22 0 1
7/23 0 1
7/24 0 1
Module 7:
Total ports: 24
Total MAC address(es): 223
Total global address space used (out of 1024): 199
Status: installed
Console> (enable)
Console> (enable) show port security statistics system
Module 1:
Total ports: 2
Total MAC address(es): 2
Total global address space used (out of 1024): 0
Status: installed
Module 3:
Module does not support port security feature
Module 6:
Total ports: 48
Total MAC address(es): 48
Total global address space used (out of 1024): 0
Status: installed
Module 7:
Total ports: 24
Total MAC address(es): 223
Total global address space used (out of 1024): 199
Status: installed
Console> (enable)
3.6.2 IP permit list.
Tính năng IP permit ngăn chặn các IP address không có thẩm quyền truy cập vào switch thông qua Telnet hay SNMP. Các dịch vụ TCI/IP khác (như IP traceroute và IP ping) vẫn hoạt động bình thường. Các phiên outbound telnet, TFTP và các dịch vụ dựa trên IP khác cũng không bị ảnh hưởng.
Bạn có thể cấu hình đến 10 entry trong IP permit list. Mỗi một entry bao gồm một cặp IP address và subnet mask. Trong câu lệnh xác định IP permit, nếu không xác định subnet mask hay sử dụng tên host thay cho IP address, gi trị mặc định của subnet mask sẽ l 255.255.255.255, nếu không xác định loại truy cập bị giới hạnl Telnet hay SNMP, cả hai dịch vụ sẽ cùng bị giới hạn.
· Cấu hình IP Permit mặc định
Tính năng
|
Giá trị mặc định
|
IP permit list enable state
|
Disabled
|
Permit list entries
|
None configured
|
IP syslog message severity level
|
2
|
SNMP IP permit trap (ippermit)
|
Disabled
|
· Cấu hình IP Permit List
- Bổ sung IP Address vào IP Permit List
- Cho phép IP Permit List
- Tắt theo IP Permit List
- Xóa IP Permit List Entry
- Bổ sung IP Address vào IP Permit List
Task
|
Command
|
Step 1 Xác định IP addresses để bổ sung vào IP permit list.
|
set ip permit ip_address [mask] [all | snmp | telnet]
|
Step 2 Xác nhận cấu hình
|
show ip permit
|
Ví dụ:
Console> (enable) set ip permit 172.16.0.0 255.255.0.0 telnet
172.16.0.0 with mask 255.255.0.0 added to telnet permit list.
Console> (enable) set ip permit 172.20.52.32 255.255.255.224 snmp
172.20.52.32 with mask 255.255.255.224 added to snmp permit list.
Console> (enable) set ip permit 172.20.52.3 all
172.20.52.3 added to IP permit list.
Console> (enable) show ip permit
Telnet permit list feature enabled.
Snmp permit list feature enabled.
Permit List Mask Access Type
---------------- ---------------- -------------
172.16.0.0 255.255.0.0 telnet
172.20.52.3 snmp telnet
172.20.52.32 255.255.255.224 snmp
Denied IP Address Last Accessed Time Type Telnet Count SNMP Count
----------------- ------------------ ------ ------------ ----------
172.100.101.104 01/20/97,07:45:20 SNMP 14 1430
172.187.206.222 01/21/97,14:23:05 Telnet 7 236
Console> (enable)
- Cho phép IP Permit List
Task
|
Command
|
Step 1 Cho phép IP permit list.
|
set ip permit enable [all | snmp | telnet]
|
Step 2 Nếu cần, cho phép IP permit gửi các SNMP trap..
|
set snmp trap enable ip permit
|
Step 3 Nếu cần, cấu hình syslog messages
|
set logging level ip 4 default
|
Step 4 Xác nhận cấu hình
|
show ip permit
show snmp
|
Ví dụ:
Console> (enable) set ip permit enable
IP permit list enabled.
Console> (enable) set snmp trap enable ippermit
SNMP IP Permit traps enabled.
Console> (enable) set logging level ip 4 default
System logging facility set to severity 4(warnings)
Console> (enable) show ip permit
Telnet permit list feature enabled.
Snmp permit list feature disabled.
Permit List Mask Access-Type
---------------- --------------- ---------------
172.16.0.0 255.255.0.0 telnet
172.20.52.3 snmp telnet
172.20.52.32 255.255.255.224 snmp
Denied IP Address Last Accessed Time Type Telnet Count SNMP Count
----------------- ------------------ ------ ------------ ----------
172.100.101.104 01/20/97,07:45:20 SNMP 14 1430
172.187.206.222 01/21/97,14:23:05 Telnet 7 236
Console> (enable) show snmp
RMON: Disabled
Extended Rmon: Extended RMON module is not present
Traps Enabled:
ippermit
Port Traps Enabled: None
Community-Access Community-String
---------------- --------------------
read-only public
read-write private
read-write-all secret
Trap-Rec-Address Trap-Rec-Community
---------------------------------------- --------------------
Console> (enable)
- Tắt IP Permit List
Task
|
Command
|
Step 1 Tắt IP permit list trên switch
|
set ip permit disable [all | snmp | telnet]
|
Step 2 Xác nhận cấu hình
|
show ip permit
|
Ví dụ:
Console> (enable) set ip permit disable
IP permit list disabled.
Console> (enable)
- Xóa IP Permit List Entry
Task
|
Command
|
Step 1 Tắt IP permit list.
|
set ip permit disable [all | snmp | telnet]
|
Step 2 Xác định IP address muốn xóa khỏi IP permit list.
|
clear ip permit {ip_address [mask] | all} [all | snmp | telnet]
|
Step 3 Xác nhận cấu hình.
|
show ip permit
|
Chia sẻ với bạn bè của bạn: |