Cisco Switch學習筆記: Port Security

-

對於Port Security, 一開始只是我們用來管制那些電腦可以連上公司網路的一種作法; 沒有申請的電腦, 無法連上內部網路; 自然我們就有了公司所有連網的電腦資料! 如果發生中毒或攻擊, 要找兇手就容易了! 也可以防止不相干人士, 任易地把電腦接上內部網路!

SANS Institute - Intrusion Detection FAQ: Why your switched network isn't secure這篇文章有一段文字, 提到port security的妙用:

"If your hub or switch has the ability to enable port security, this will help to protect you from both the MAC Flood and MAC spoofing attacks. ... This, like many security procedures, restricts the environment and amplifies the need for a management process as well as auditing process."

為什麼呢? 因為switch是Layer 2的設備, 基本上就是處理封包傳送: 當Switch收到任一個封包, 它會檢查自己的mac-address table; 如果有找到要傳送的目的MAC Address, 就往那個埠送(效率好, 而且可以避免Sniffer); 如果找不到, 就往所有的埠送! (這個行為稱為Broadcast, 即hub的原始行為, 有被Sniffer的危險.) 可是Switch的記憶體有限, 這表示mac-address table不能太大(Cisco的Switch大約可容納4096-6144個MAC), 若實際上收到的MAC超出可用記憶體大小, Switch的行為就會異常! MAC Flood 攻擊就是利用這個原理, 送出大量不同MAC的封包, 使Switch改變行為(變成Hub), 這樣就可以進行Sniffer了!

所以設定port security後, 只有少數核可的MAC可以通行, 其他MAC會被丟棄; 這樣一來, MAC Flood攻擊就不能成功了! 設定方法如下:

interface FastEthernet2/0/4
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security violation protect
switchport port-security mac-address 0019.6b0b.242d
switchport port-security mac-address 001b.cd94.8d34

當然, 管理問題就出現了, 如果有人電腦要新增, 異動..., 就必須要進去設定! 更嚴重的是, port security其實是直接改變了mac-address table. 原本的mac-address table 如下:

1 000c.2956.1b91 DYNAMIC Po2
1 000c.295a.0a39 DYNAMIC Fa1/0/6
1 000c.2965.0d4e DYNAMIC Fa1/0/3
1 000c.2990.b4d5 DYNAMIC Fa1/0/6
1 000c.2996.a844 DYNAMIC Po1

當設定了port security 後, 再去看mac-address table 會發現出現了一些STATIC項目:

1 0019.6b0b.242d STATIC Fa2/0/4
1 001b.cd94.8d34 STATIC Fa2/0/4

而設定是人為的工作, 在同一台Switch, 如果重覆設定, 可能會被機器發現, 可是在不同Switch就沒有防呆的機制了! 當在不同Switch設定了重覆的MAC, 就有可能造成封包傳送"有去無回"的情形發生.

sw1

如上圖例, 電腦2原本在SW B, 有設定port security, 後來移到SW C也設了port security, 但是忘了把SW B的設定拿掉! 就會出現"電腦2和SW C上的電腦可以互連, 但是無法連到SW A上的電腦"的情況! 原因就是封包由SW C到SW A後, 再回到SW B時, 就被轉送到不正確的埠了!

留言

張貼留言

這個網誌中的熱門文章

D-BUS學習筆記

-
圖片
我第一個看到的文章是 ali's Blog [1] , 其中提到二支程式server.c client.c,我試著去compile這二支程式, 沒什麼太大的問題就可以成功。因為這是所謂的dbus c api, 也就是low lever api,在ubuntu下只要安裝套件libdbus-1-dev, 就會安裝這個api: $ sudo apt-get install libdbus-1-dev 然後就如該文所提到的,在compile時,必須指定library: $ gcc server.c -o server -l dbus-1 此時再去compile程式,可能會發現找不到dbus.h的問題。其實檔案是存在的,只是gcc不知道去那裡找而已。我們只要加入-I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include 告訴gcc就可以了。 $ gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o server server.c -l dbus-1 如此,可以compile成功。但每次要打這麼多字,實在記不得,也容易打錯,所以使用Makefile吧! 建一個檔案,其名為Makefile,內容如下: All: server client server: server.c   gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o server server.c -l dbus-1 client: client.c   gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o client client.c -l dbus-1 我們把server.c client.c Makefile三個檔案,都放在同一個目錄,叫做dbus-test好了。這樣以後只要: $ cd dbus-test $ make 就會正確的編出server client二支可執行的程式。我們也不用去記這些很長的路徑名稱了。用過Makefile的朋友應該看得出來,其實Makefile可以再簡短一些。改成如下: All: server client
閱讀完整內容

關於藍牙裝置找尋(inquiry, scan)兩三事

-
圖片
當我們拿到手機或平板要和藍牙耳機配對時, 配對程式做的第一件事其實是找尋(scan, inquiry)的動作, 列出周遭附近的藍牙設備名稱或MAC位址, 以供使用者選擇要和那一台配對。在Linux平台上,我們可以透過bluez來做這件事,以C語言來寫,Albert Huang的書 [1] 給了我們一個簡單的範例程式 simplescan.c : #include .... int main(int argc, char **argv) { inquiry_info *ii = NULL; int max_rsp, num_rsp; int dev_id, sock, len, flags; int i; char addr[19] = { 0 }; char name[248] = { 0 }; dev_id = hci_get_route(NULL); sock = hci_open_dev( dev_id ); if (dev_id < 0 || sock < 0) { perror("opening socket"); exit(1); } len = 8; max_rsp = 255; flags = IREQ_CACHE_FLUSH; ii = (inquiry_info*)malloc(max_rsp * sizeof(inquiry_info)); num_rsp = hci_inquiry (dev_id, len, max_rsp, NULL, &ii, flags); if( num_rsp < 0 ) perror("hci_inquiry"); for (i = 0; i < num_rsp; i++) { ba2str(&(ii+i)->bdaddr, addr); memset(name, 0, sizeof(name)); if ( hci_read_remote_name (sock, &(ii+i)->
閱讀完整內容

Cisco Switch學習筆記: EtherChannel

-
EtherChannel : 用來將二個交換器之間多條實體線路串成一條虛擬線路, 具有增加頻寬, 容錯的好處。 注意事項: FastEthernet只能和FastEthernet的埠串在一起, Giga只能和Giga的串在一起, 不可混在一起! 使用的協定 : PAgP(Port Aggregation Protocol) or LACP(Link Aggregation Control Protocol) 負載平衡及傳送方法 : source-MAC address, destination-MAC address, source-and-destination MAC address forwarding; 即以來源端MAC位址決定使用那條實體線路, 以目的端MAC位址決定使用那條線路, 以來源端及目的端MAC位址決定使用那條線路。 使用心得: 容錯能力很好, 實體線路中斷, 可以在數秒內切換至別條線路使用。 設定範例 : interface FastEthernet0/7 channel-group 1 mode passive interface FastEthernet0/8 channel-group 1 mode passive 表示將Fa0/7,Fa0/8設成同一個group, 使用LACP的被動模式! 將另一邊的埠也以同樣方式設定, 但mode設成active即可! 檢視狀態: sh etherchannel detail sh etherchannel load-balance sh etherchannel port sh etherchannel port-channel sh etherchannel protocol sh etherchannel summary 可以看到只要使用interface指令channel-group就可以設定了, 交換器會自己新增一個interface: interface Port-channel1 其他的功能會將這個介面當成如實體介面一樣使用, 例如: #sh spanning-tree Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- --------------------------
閱讀完整內容