​Như đã mô tả ở chương 17, PPP cung cấp khả năng xác thực dùng PAP và CHAP. Cơ chế này đặc biệt hữu ích cho các ứng dụng quay số. Chương 17 chỉ dùng phương thức xác thực mặc định cho CHAP/PAP, dựa trên các tập hợp lệnh username và password khai báo mặc định.
IOS của Cisco hỗ trợ sử dụng xác thực AAA cho PPP dùng cùng tập hợp các lệnh như trong xác thực khi đăng nhập. Các bước cấu hình như sau:
Bước 1: Cũng giống như trong xác thực đăng nhập, bạn hãy bật AAA bằng câu lệnh aaa new-model.
Bước 2: Hãy cấu hình RADIUS và/hoặc TACACS+ dùng cùng các lệnh và cú pháp như trong cấu hình xác thực login hoặc xác thực enable.
Bước 3: Tương tự như trong xác thực login, định nghĩa PPP để dùng một tập hợp mặc định của các phương thức xác thực bằng lệnh aaa authentication ppp default. Sự khác nhau duy nhất so với ví dụ trước là từ khóa ppp được dùng thay cho từ khóa login.
Bước 4: Tương tự như xác thực trong login, hãy dùng lệnh aaa authentication ppp list-name method1 [method2] để tạo ra một nhóm của các phương thức có thể được dùng thay cho tập hợp các nhóm mặc định.
Bước 5: Để dùng một nhóm các phương thức xác thực khác với tập hợp mặc định, hãy dùng lệnh ppp authentication {protocol1 [protocol2...]} list-name.
Ví dụ lệnh ppp authentication chap fred tham chiếu dến phương thức xác thực được định nghĩa bởi lệnh aaa authentication ppp fred.
BẢO MẬT LỚP 2
Tài liệu khuyến cáo về bảo mật của Cisco (có ở địa chỉ http://www.cisco.com/go/safe) đề nghị một số giải pháp sau cho bảo mật switch. Trong phần lớn các trường hợp, việc khuyến cáo phụ thuộc vào 1 trong 3 đặc điểm sau trên các cổng của switch.
Các cổng không được dùng của switch: Là các cổng không kết nối đến bất kỳ thiết bị nào. Ví dụ như các switchport có thể được gắn cáp sẵn vào các ổ mạng trên tường.
Các cổng của người dùng: Là các cổng gắn vào các thiết bị đầu cuối của người dùng cuối hoặc bất cứ cổng nào có gắn cáp dẫn đến một vài khu vực không được bảo vệ.
Các cổng tin cậy hay các cổng dạng trung kế: Là các cổng kết nối đến những thiết bị tin cậy, chẳng hạn như các switch khác hoặc các switch đặt trong các khu vực có bảo mật vật lý tốt.
Danh sách dưới đây tóm tắt các khuyến cáo áp dụng cho các cổng đang dùng và chưa được dùng của switch. Các điểm chung của những kiểu cổng này là một người dùng có thể truy cập được đến switch sau khi họ đã đi vào bên trong toà nhà mà không cần đi vào phòng cáp hoặc trung tâm dữ liệu.
Tắt các giao thức cần thiết như CDP hay DTP.
Tắt các giao thức trung kế bằng cách cấu hình các cổng này như là cổng truy cập.
Bật tính năng bảo vệ BPDU và bảo vệ Gốc để ngăn ngừa các kiểu tấn công STP và giữ một sơ đồ mạng STP ổn định.
Dùng các tính năng như kiểm tra ARP động (Dynamic ARP Inspection - DAI) hoặc VLAN dùng riêng để ngăn ngừa nghe lén khung tin.
Bật tính năng bảo mật cổng để giới hạn số địa chỉ MAC cho phép và để cho phép những MAC cụ thể nào đó.
Dùng xác thực 802.1X.
Dùng giám sát DHCP (DHCP snooping) và bảo vệ nguồn IP (IP Source Guard) để ngăn ngừa tấn công từ chối dịch vụ DHCP (DHCP DoS) và kiểu tấn công đứng giữa nghe lén (Man in the midle).
Bên cạnh các khuyến cáo trên, Cisco còn có thêm các khuyến cáo sau:
Đối với bất cứ cổng nào (bao gồm cả cổng đã tin cậy - trusted port), hãy xem xét khả năng triển khai VLAN dùng riêng để bảo vệ mạng khỏi bị nghe lén, bao gồm cả việc ngăn ngừa các router hay các switch lớp 3 không định tuyến các gói tin giữa các thiết bị trong LAN dùng riêng.
Cấu hình xác thực VTP ở chế độ toàn cục cho từng switch để ngăn ngừa kiểu tấn công DoS.
Tắt bất cứ cổng nào không dùng của switch và đặt các cổng này vào trong các VLAN không dùng.
Tránh sử dụng VLAN 1. Đối với các kết nối trung kế, không dùng VLAN Native.
Phần kế tiếp sẽ mô tả cách triển khai các đặc điểm trên.
Bảo mật cho switch trên các cổng đang dùng và chưa dùng
Ví dụ dưới đây mô tả một cấu hình trên Switch Cat 3560, với cách cấu hình từng đặc điểm được nêu ra. Trong ví dụ này, cổng F0/1 là cổng không được dùng. CDP đã được tắt trên các cổng nhưng CDP vẫn còn chạy ở chế độ toàn cục vì giả thuyết là một vài cổng vẫn còn cần dùng CDP. DTP đã được tắt, bảo vệ gốc STP (STP Root Guard) và bảo vệ BPDU (BPDU Guard) được bật.
Lệnh cdp run cho phép CDP vẫn chạy ở chế độ toàn cục nhưng CDP đã bị tắt trên cổng F0/1 là cổng không được sử dụng.
cdp run
int fa0/0
no cdp enable
Lệnh switchport mode access ngăn ngừa cổng không trở thành trung kế và lệnh switchport nonegotiate ngăn ngừa bất kỳ thông điệp nào của DTP được gửi hay nhận.
switchport mode access
switchport nonegotiate
Hai lệnh cuối cùng bật tính năng bảo vệ gốc (Root Guard) và bảo vệ BPDU (BPDU Guard) trên từng cổng. BPDU cũng có thể được bật trên tất cả các cổng bằng tính năng chuyển cổng nhanh (Port Fast). Tính năng này được cấu hình bằng lệnh ở chế độ toàn cục spanning-tree portfast bpduguard enable.
spanning-tree guard root
spanning-tree bpduguard enable
Bảo mật cổng
Tính năng switchport port security giám sát một cổng của switch để giới hạn số địa chỉ MAC kết hợp với cổng đó trong bảng chuyển mạch lớp 2. Tính năng này cũng áp đặt giới hạn số địa chỉ MAC bằng cách chỉ cho vài địa chỉ MAC có thể dùng trên cổng đó.
Để hiện thực tính năng bảo mật cổng, switch sẽ thêm vào vài bước trong tiến trình xử lý bình thường của các khung tin đi vào. Thay vì tự động thêm vào bảng MAC địa chỉ MAC nguồn và số cổng, switch xem xét cấu hình bảo mật cổng và sẽ quyết định nó có cho phép địa chỉ đó không. Bằng cách ngăn ngừa các địa chỉ MAC khỏi việc thêm vào switch, bảo mật cổng có thể ngăn ngừa không đẩy khung tin về các địa chỉ MAC đó trên một cổng.
Tính năng bảo mật cổng hỗ trợ những đặc điểm chủ chốt sau:
Giới hạn số địa chỉ MAC có thể kết hợp với một cổng của switch.
Giới hạn địa chỉ MAC thật kết hợp với cổng, dựa trên ba phương thức sau:
Cấu hình tĩnh địa chỉ MAC.
Học động địa chỉ MAC, số địa chỉ MAC có thể lên đến giá trị định nghĩa tối đa, trong đó các hàng trong bảng định tuyến sẽ bị mất khi khởi động lại.
Học động các địa chỉ MAC nhưng các địa chỉ này sẽ được lưu trong cấu hình (còn được gọi là sti​cky).
Chức năng bảo mật cổng bảo vệ switch trước vài kiểu tấn công. Khi một bảng CAM điền thông tin mới vào, các thông tin cũ sẽ bị xóa ra. Khi một switch nhận được một khung tin đi về địa chỉ MAC đích không còn trong bảng CAM, switch sẽ phát tán khung tin đó ra tất cả các cổng. Một kẻ tấn công có thể làm cho các switch điền lại thông tin trong bảng CAM bằng cách gửi ra rất nhiều khung tin, mỗi khung tin có một địa chỉ MAC nguồn khác nhau, làm cho switch xóa các thành phần trong bảng CAM cho hầu hết các máy trạm hợp lệ. Kết quả là, switch sẽ phát tán các khung tin hợp lệ bởi vì địa chỉ MAC đích không còn trong bảng CAM, làm cho máy tấn công thấy tất cả các khung tin.
Một kẻ tấn công cũng có thể khai báo cùng một địa chỉ MAC như là một người dùng hợp lệ bằng cách gửi ra một khung tin với cùng địa chỉ MAC đó. Kết quả là, switch sẽ cập nhật bảng CAM của nó và gửi khung tin đến máy tấn công.
​