Tweet
9.5 Trunk Auto-Negotiation
9.5.1 Tính dễ bị tổn thương
Trunk là một kết nối điểm đến điểm giữa 2 port, 1 cách cơ bản trên những hệ thống mạng khác nhau mà nó dồn các gói tin từ nhiều VLAN. Cisco thực thi 2 loại Trunk: IEEE 802.1q là chuẩn mở, và ISL là chuẩn cảu Cisco.
Một port có thể sử dụng Dynamic Trunking Protocol (DTP) để 1 cách tự động thương lượng giao thức Trunking mà nó sẽ sử dụng, và làm thế nào để giao thức Trunking đó hoạt động. Mặc định 1 port Ethernet Cisco mặc định ở mode "dynamic desirable", mà nó cho phép 1 port 1 cách chủ động cố gắng chuyển 1 kết nối thành trunk. Mặc dù điều đó là không tốt. nhưng các thành viên VLAN của 1 đường Trunk mới thì luôn sẵn sàng trên Switch. Nếu 1 port kế bên ở mode DTP trở thành "trunk", "dynamic auto", hoặc "dynamic desirable", và nếu 2 Switch hỗ trợ 1 giao thức Trunking phổ biến, khi đó 1 kết nối sẽ trở thành 1 đường trunk 1 cách tự động. Việc mỗi Switch truy xuất hoàn toàn đến tất cả VLAN của các Switch kế bên. Những kẻ tấn công người mà có thể lợi dụng DTP có thể thu được những thông tin hữu ích từ những VLAN đó.
9.5.2 Giải pháp
Không sử dụng DTP nếu có thể. Đăng ký một Trunk interface cho 1 Native VLAN khác VLAN 1
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 998
Đặt những interface non-trunking ở mode non-trunking vĩnh viễn mà không có sự thương lượng
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport nonegotiate
Đặt những interface trunking ở mode Trụnking vĩnh viễn mà không có sự thương lượng
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport nonegotiate
Specifically list all VLANs that are part of the trunk.
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport trunk allowed vlan 6, 10, 20, 101
Sử dụng 1 Native VLAn duy nhất cho mỗi đường Trunk trên Switch
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport trunk native vlan 998
Switch(config)# interface fastethernet 0/2
Switch(config-if)# switchport trunk native vlan 997
9.6 VLAN Hopping
9.6.1 Tính dễ bị tổn thương
Trong những trường hợp chính xác nó có thể dùng mánh khóe đối với gói tin như là 1 cách 1 port đang ở mode Trunking sẽ tự nhiên chuyển 1 gói tin Native VLAN mặc dù nó ở 1 VLAN khác. Kỹ thuật này được biết đến như là VLAN hopping. Sử dụng VLAN hopping, những người xâm phạm có ý đồ xấu người mà truy xuất đến 1 mạng cục bộ có thể chêm những gói tin đến mạng cục bộ khác để tấn công máy ở mạng đích[1,13]
9.6.2 Giải pháp
Tắt CDP, VTP và DTP trên mỗi Switch nếu cso thể. Đăng ký 1 shutdown VLAN như là 'native' VLAN cảu mỗi đường trunk và không sử dụng VLAN này cho những mục đích khác
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport trunk native vlan 998
Switch(config-if)# no cdp enable
Restrict the VLANs on a trunk to only those that are necessary for that trunk, as described in the Trunk Auto-Negotiation subsection previously.
Hạn chế VLAN trên 1 đường Trunk chỉ để cho những cái nào mà cần thiết cho Trunk như được miêu tả trong phần Trunk Auto-Negotiation ở trên
10 Spanning Tree Protocol
10.1 Tính dễ bị tổn thương
Spanning Tree Protocol (STP), cũng đựoc biết đến là 802.1q, là 1 giao thức lớp 2 đựoc thiết kế để chống lại Loop trong mạng Switch. Loop có thể xuất hiện khi mạng dự phòng được cấu hình để chắc chắn cso thể phục hồi. Một cách cơ bản, STP trải qua 1 số tình trạng(block, listen, learn, and forward) trước khi 1 port có thể chuyển traffic. Tiến trình này có thể mất khoảng 30 hoặc 50 giây. Trong trừong hợp 1 máy đơn được kết nối đến 1 port và nó không có cơ hội cho việc sinh ra Loop, tính năng STP Portfast có thể thực hiện 1 cách tức thời chuyển port sang trạng thái forwarding. Tuy nhiên, nó sẽ vẫn tham gia vào việc tính toán STP và chuyển vể trạng thái blocked nếu mạng bị Loop
Một khả năng dễ bị tổn thương liên kết với STP là 1 hệ thống với mạng có thể chủ động chỉnh sửa mô hình STP. Nó thì không có chứng thực để chống lại như là 1 hành động. Bridge ID một sự kết hợp của 2 byte Priority và 6 byte địa chỉ MAC, phân tích để tìm ra Root Bridge. Bridge ID càng thấp thì dễ để bầu chọn làm Root Bridge. Một Switch với Bridge ID thấp nhất có thể trở thành Root Bridge, do đó nó sẽ ảnh hưởng đến dòng trafic và làm tăng sự ảnh hwongr đến mạng
10.2 Giải pháp
10.2.1 STP Portfast Bridge Protocol Data Unit (BPDU) Guard
STP Portfast BPDU Guard cho phép người quản trị mạng áp đặt mô hình STP trên những port đã được bật với tính năng Portfast. Những hệ thống gắn các port với tính năng Portfast BPDU Guard được bật lên sẽ không cho phép chỉnh sửa mô hình STP. Để chống lại việc nhân các thong điệp BPDU, các Port sẽ bị disable và dung chuyển traffic trong mạng
Đặc tính này có thể được bật lên ở cả toàn cục hay cục bộ trên những port cấu hình tính portfast.Mặc định, STP BPDU guard bị tắt. Lệnh sau đây bật tính năng này trên mode global của dòng Switch Cisco 3550.
Sử dụng lệnh sau để kiểm tra việc cấu hình
show spanning-tree summary totals
Switch> …
…
t BPDU Guard is enabled by default.
PortFas …
…
Để bật đặt tính này trên interface của dòng Switch Cisco 3550, sử dụng lệnh sau:
Switch(config-if)# spanning-tree bpduguard enable
Switch(config)# spanning-tree portfast bpduguard default
Khi STP BPDU guard bị disable trên 1 port của Switch nó có thể được cấu hình để hồi phục một cách tự động hoặc nó có thể được cấu hình bằng tay để bật lại bởi người quản trị. Lệnh sau có thể được sử dụng để câu hình cho 1 port 1 cách tự động khi nó ở tình trang disable. Khoảng thời gian timeout có thể được chỉnh từ 30 đến 86400 giây, với khoảng thời gian mặc định là 300 giây. Trong hình ví dụ bên dưới, 1 port được đặt ở tình trạng error-disabled sẽ phục hồi lại sau 400 giây
Switch(config)# errdisable recovery cause bpduguard
Switch(config)# errdisable recovery interval 400
10.2.2 STP Root Guard
Đặc tính STP Root Guard là 1 cơ chế khác được sử dụng để bảo vệ mô hình STP. Không giống như BPDU Guard, STP Root Guard cho phép sự tham gia trong STP miễn là khi gắn vào hệ thống thì không cố gắng trở thành Root. Nếu Root Guard được bật lên, khi đó port sẽ tự động phục hồi sau khi từ bỏ nhận những BPDU tốt hơn thì nó sẽ làm root. Root Guard có thể được áp lên 1 hay nhiều port của những Switch biên và những Switch nội trong mạng. Một cách tổng quát, việc áp những đặc tính này đến những port trên mỗi Switch nên được dùng cho những con không phải là Switch
Lệnh sau sử dụng trên mode interface để bật STP Root Guard trên dòng switch Cisco 3550
Switch(config-if)# spanning-tree guard root
9.5.1 Tính dễ bị tổn thương
Trunk là một kết nối điểm đến điểm giữa 2 port, 1 cách cơ bản trên những hệ thống mạng khác nhau mà nó dồn các gói tin từ nhiều VLAN. Cisco thực thi 2 loại Trunk: IEEE 802.1q là chuẩn mở, và ISL là chuẩn cảu Cisco.
Một port có thể sử dụng Dynamic Trunking Protocol (DTP) để 1 cách tự động thương lượng giao thức Trunking mà nó sẽ sử dụng, và làm thế nào để giao thức Trunking đó hoạt động. Mặc định 1 port Ethernet Cisco mặc định ở mode "dynamic desirable", mà nó cho phép 1 port 1 cách chủ động cố gắng chuyển 1 kết nối thành trunk. Mặc dù điều đó là không tốt. nhưng các thành viên VLAN của 1 đường Trunk mới thì luôn sẵn sàng trên Switch. Nếu 1 port kế bên ở mode DTP trở thành "trunk", "dynamic auto", hoặc "dynamic desirable", và nếu 2 Switch hỗ trợ 1 giao thức Trunking phổ biến, khi đó 1 kết nối sẽ trở thành 1 đường trunk 1 cách tự động. Việc mỗi Switch truy xuất hoàn toàn đến tất cả VLAN của các Switch kế bên. Những kẻ tấn công người mà có thể lợi dụng DTP có thể thu được những thông tin hữu ích từ những VLAN đó.
9.5.2 Giải pháp
Không sử dụng DTP nếu có thể. Đăng ký một Trunk interface cho 1 Native VLAN khác VLAN 1
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 998
Đặt những interface non-trunking ở mode non-trunking vĩnh viễn mà không có sự thương lượng
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport nonegotiate
Đặt những interface trunking ở mode Trụnking vĩnh viễn mà không có sự thương lượng
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport nonegotiate
Specifically list all VLANs that are part of the trunk.
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport trunk allowed vlan 6, 10, 20, 101
Sử dụng 1 Native VLAn duy nhất cho mỗi đường Trunk trên Switch
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport trunk native vlan 998
Switch(config)# interface fastethernet 0/2
Switch(config-if)# switchport trunk native vlan 997
9.6 VLAN Hopping
9.6.1 Tính dễ bị tổn thương
Trong những trường hợp chính xác nó có thể dùng mánh khóe đối với gói tin như là 1 cách 1 port đang ở mode Trunking sẽ tự nhiên chuyển 1 gói tin Native VLAN mặc dù nó ở 1 VLAN khác. Kỹ thuật này được biết đến như là VLAN hopping. Sử dụng VLAN hopping, những người xâm phạm có ý đồ xấu người mà truy xuất đến 1 mạng cục bộ có thể chêm những gói tin đến mạng cục bộ khác để tấn công máy ở mạng đích[1,13]
9.6.2 Giải pháp
Tắt CDP, VTP và DTP trên mỗi Switch nếu cso thể. Đăng ký 1 shutdown VLAN như là 'native' VLAN cảu mỗi đường trunk và không sử dụng VLAN này cho những mục đích khác
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport trunk native vlan 998
Switch(config-if)# no cdp enable
Restrict the VLANs on a trunk to only those that are necessary for that trunk, as described in the Trunk Auto-Negotiation subsection previously.
Hạn chế VLAN trên 1 đường Trunk chỉ để cho những cái nào mà cần thiết cho Trunk như được miêu tả trong phần Trunk Auto-Negotiation ở trên
10 Spanning Tree Protocol
10.1 Tính dễ bị tổn thương
Spanning Tree Protocol (STP), cũng đựoc biết đến là 802.1q, là 1 giao thức lớp 2 đựoc thiết kế để chống lại Loop trong mạng Switch. Loop có thể xuất hiện khi mạng dự phòng được cấu hình để chắc chắn cso thể phục hồi. Một cách cơ bản, STP trải qua 1 số tình trạng(block, listen, learn, and forward) trước khi 1 port có thể chuyển traffic. Tiến trình này có thể mất khoảng 30 hoặc 50 giây. Trong trừong hợp 1 máy đơn được kết nối đến 1 port và nó không có cơ hội cho việc sinh ra Loop, tính năng STP Portfast có thể thực hiện 1 cách tức thời chuyển port sang trạng thái forwarding. Tuy nhiên, nó sẽ vẫn tham gia vào việc tính toán STP và chuyển vể trạng thái blocked nếu mạng bị Loop
Một khả năng dễ bị tổn thương liên kết với STP là 1 hệ thống với mạng có thể chủ động chỉnh sửa mô hình STP. Nó thì không có chứng thực để chống lại như là 1 hành động. Bridge ID một sự kết hợp của 2 byte Priority và 6 byte địa chỉ MAC, phân tích để tìm ra Root Bridge. Bridge ID càng thấp thì dễ để bầu chọn làm Root Bridge. Một Switch với Bridge ID thấp nhất có thể trở thành Root Bridge, do đó nó sẽ ảnh hưởng đến dòng trafic và làm tăng sự ảnh hwongr đến mạng
10.2 Giải pháp
10.2.1 STP Portfast Bridge Protocol Data Unit (BPDU) Guard
STP Portfast BPDU Guard cho phép người quản trị mạng áp đặt mô hình STP trên những port đã được bật với tính năng Portfast. Những hệ thống gắn các port với tính năng Portfast BPDU Guard được bật lên sẽ không cho phép chỉnh sửa mô hình STP. Để chống lại việc nhân các thong điệp BPDU, các Port sẽ bị disable và dung chuyển traffic trong mạng
Đặc tính này có thể được bật lên ở cả toàn cục hay cục bộ trên những port cấu hình tính portfast.Mặc định, STP BPDU guard bị tắt. Lệnh sau đây bật tính năng này trên mode global của dòng Switch Cisco 3550.
Sử dụng lệnh sau để kiểm tra việc cấu hình
show spanning-tree summary totals
Switch> …
…
t BPDU Guard is enabled by default.
PortFas …
…
Để bật đặt tính này trên interface của dòng Switch Cisco 3550, sử dụng lệnh sau:
Switch(config-if)# spanning-tree bpduguard enable
Switch(config)# spanning-tree portfast bpduguard default
Khi STP BPDU guard bị disable trên 1 port của Switch nó có thể được cấu hình để hồi phục một cách tự động hoặc nó có thể được cấu hình bằng tay để bật lại bởi người quản trị. Lệnh sau có thể được sử dụng để câu hình cho 1 port 1 cách tự động khi nó ở tình trang disable. Khoảng thời gian timeout có thể được chỉnh từ 30 đến 86400 giây, với khoảng thời gian mặc định là 300 giây. Trong hình ví dụ bên dưới, 1 port được đặt ở tình trạng error-disabled sẽ phục hồi lại sau 400 giây
Switch(config)# errdisable recovery cause bpduguard
Switch(config)# errdisable recovery interval 400
10.2.2 STP Root Guard
Đặc tính STP Root Guard là 1 cơ chế khác được sử dụng để bảo vệ mô hình STP. Không giống như BPDU Guard, STP Root Guard cho phép sự tham gia trong STP miễn là khi gắn vào hệ thống thì không cố gắng trở thành Root. Nếu Root Guard được bật lên, khi đó port sẽ tự động phục hồi sau khi từ bỏ nhận những BPDU tốt hơn thì nó sẽ làm root. Root Guard có thể được áp lên 1 hay nhiều port của những Switch biên và những Switch nội trong mạng. Một cách tổng quát, việc áp những đặc tính này đến những port trên mỗi Switch nên được dùng cho những con không phải là Switch
Lệnh sau sử dụng trên mode interface để bật STP Root Guard trên dòng switch Cisco 3550
Switch(config-if)# spanning-tree guard root