Tweet
Tài liệu Cisco SAFE Blueprint (có ở địa chỉ http://www.cisco.com/go/safe) đề nghị một số giải pháp sau cho bảo mật switch. Trong phần lớn các trường hợp, việc khuyến cáo phụ thuộc vào một trong ba đặc điểm sau trên các cổng của switch.
- Các port không được dùng của switch: Là các port không kết nối đến bất kỳ thiết bị nào. Ví dụ như các switchport có thể được gắn cáp sẵn vào các ổ mạng trên tường.
- Các port của người dùng: Là các port gắn vào các thiết bị đầu cuối của end-user hoặc bất cứ port nào có gắn cáp dẫn đến một vài khu vực không được bảo vệ.
- Các port tin cậy hay các port trunks: Là các port kết nối đến những thiết bị tin cậy, chẳng hạn như các switch khác hoặc các switch đặt trong các khu vực có bảo mật vật lý tốt.
Danh sách dưới đây tóm tắt các khuyến cáo áp dụng cho các cổng đang dùng và chưa được dùng của switch. Các điểm chung của những kiểu port này là một người dùng có thể truy cập được đến switch sau khi họ đã đi vào bên trong toà nhà mà không cần đi vào wiring closet hay data center.
- Tắt các giao thức cần thiết như CDP hay DTP.
- Tắt các giao thức trunking bằng cách cấu hình các port này như là access port.
- Bật tính năng BPDU Guard và root Guard để ngăn ngừa các kiểu tấn công STP và giữ một sơ đồ mạng STP ổn định.
- Dùng các tính năng như Dynamic ARP Inspection (DAI) hoặc private VLAN để ngăn ngừa frame sniffing.
- Bật tính năng port security để giớI hạn số địa chỉ MAC cho phép và để cho phép những MAC cụ thể nào đó.
- Dùng xác thực 802.1X.
- Dùng DHCP snooping và IP source Guard để ngăn ngừa DHCP DOS và kiểu tấn công man-in-the-midle.
- Bên cạnh các khuyến cáo trên, Cisco SAFE Blueprint còn có thêm các khuyến cáo sau:
ĐốI với bất cứ port nào (bao gồm cả trusted port), hãy xem xét khả năng triển khai private vlan để bảo vệ mạng khỏI bị sniffing, bao gồm cả việc ngăn ngừa các routers hay các L3 switch không định tuyến các gói tin giữa các thiết bị trong private LAN.
Cấu hình xác thực VTP ở chế độ toàn cục cho từng switch để ngăn ngừa kiểu tấn công DOS.
Tắt bất cứ cổng nào không dùng của switch và đặt các cổng này vào trong các vlan không dùng.
Tránh sử dụng VLAN 1. ĐốI vớI các kết nốI trunk, không dùng native vlan.
Phần kế tiếp sẽ mô tả cách triển khai các đặc điểm trên.
- Các port không được dùng của switch: Là các port không kết nối đến bất kỳ thiết bị nào. Ví dụ như các switchport có thể được gắn cáp sẵn vào các ổ mạng trên tường.
- Các port của người dùng: Là các port gắn vào các thiết bị đầu cuối của end-user hoặc bất cứ port nào có gắn cáp dẫn đến một vài khu vực không được bảo vệ.
- Các port tin cậy hay các port trunks: Là các port kết nối đến những thiết bị tin cậy, chẳng hạn như các switch khác hoặc các switch đặt trong các khu vực có bảo mật vật lý tốt.
Danh sách dưới đây tóm tắt các khuyến cáo áp dụng cho các cổng đang dùng và chưa được dùng của switch. Các điểm chung của những kiểu port này là một người dùng có thể truy cập được đến switch sau khi họ đã đi vào bên trong toà nhà mà không cần đi vào wiring closet hay data center.
- Tắt các giao thức cần thiết như CDP hay DTP.
- Tắt các giao thức trunking bằng cách cấu hình các port này như là access port.
- Bật tính năng BPDU Guard và root Guard để ngăn ngừa các kiểu tấn công STP và giữ một sơ đồ mạng STP ổn định.
- Dùng các tính năng như Dynamic ARP Inspection (DAI) hoặc private VLAN để ngăn ngừa frame sniffing.
- Bật tính năng port security để giớI hạn số địa chỉ MAC cho phép và để cho phép những MAC cụ thể nào đó.
- Dùng xác thực 802.1X.
- Dùng DHCP snooping và IP source Guard để ngăn ngừa DHCP DOS và kiểu tấn công man-in-the-midle.
- Bên cạnh các khuyến cáo trên, Cisco SAFE Blueprint còn có thêm các khuyến cáo sau:
ĐốI với bất cứ port nào (bao gồm cả trusted port), hãy xem xét khả năng triển khai private vlan để bảo vệ mạng khỏI bị sniffing, bao gồm cả việc ngăn ngừa các routers hay các L3 switch không định tuyến các gói tin giữa các thiết bị trong private LAN.
Cấu hình xác thực VTP ở chế độ toàn cục cho từng switch để ngăn ngừa kiểu tấn công DOS.
Tắt bất cứ cổng nào không dùng của switch và đặt các cổng này vào trong các vlan không dùng.
Tránh sử dụng VLAN 1. ĐốI vớI các kết nốI trunk, không dùng native vlan.
Phần kế tiếp sẽ mô tả cách triển khai các đặc điểm trên.
Comment