1.Giới thiệu
Switch hướng dẫn và điều khiển nhiều dòng dữ liệu đi ngang qua mạng máy tính. Sự
hướng dẫn này cung cấp công nghệ giúp nhà quản trị mạng tối ưu hệ thống mạng. Sử
dụng những thông tin được trình bày ở đây để cấu hình Switch điều khiển truy xuất, hạn
chế tấn công, tấm chắn bảo vệ cho những hệ thống mạng khác, và bảo vệ tính toàn vẹn và
tính bảo mật của lưu thông mạng. Sự hướng dẫn này cũng có thể giúp cung cấp thông tin
bảo mật bằng cách miêu tả những vấn đề bảo mật liên quan đến tình trạng mạng(Switch)
mà nó là 1 phần của mạng máy tính.
Sự hướng dẫn này cũng đáp lại 1 lượng lớn câu hỏi và yêu cầu từ The System and
Network Attacks Centrer(SNAC). Những chủ đề này được thảo luận và chọn lựa dựa trên
những quan tâm cơ bản của khách hàng và những vấn đề ở SNAC về bảo mật mạng.
Nhiệm vụ chính của sự hướng dẫn này là làm tối ưu sự bảo mật trong Switch sử dụng mô
hình mạng hoạt động Department Defense.
Sự hướng dẫn này trình bày bảo mật mạng ở tầng 2(Data Link) của mô hình tham chiếu
OSI. Một mạng phân cấp được giới thiệu mà giải thích về những loại Switch được sử
dụng trong 1 mạng máy tính. Sau đó là tính dễ bị tổn thương và sự đối phó tương ứng
được miêu tả theo những topic sau: operation system; password; management port;
network service; port security; system avaleblity; virtual local area network; spanning
tree protocol; access control list; logging and debugging; authentication, authorization
and accounting. Những chủ đề cao hơn được khai báo cho công việc tương lai trong
hướng dẫn này. Những file cấu hình ví dụ cho 2 mẫu Switch của Cisco mà nó phối hợp
nhiều sự đối phó nhất. Và cuối cùng 1 danh sách kiểm tra tóm lược lại những sự đối phó
đó.
2 Mạng phân cấp:

Trong một mạng phân cấp rõ ràng, có 3 lớp được khai báo: access, distribution, core.
Trong 1 mạng doanh nghiệp, mối tầng cung cấp 1 chức năng khác nhau. Bởi vì những
tầng đó không phải lúc nào cũng nhận biết được tên truyền thống của mình, những cái tên
được tham chiếu đến như: access hay workgroup, distribution hay policy, và core hay
backbone.
Tầng access hay workgroup thì kết nối đến người dùng. Chức năng khác của tầng này là

được chia sẽ băng thông, Switched bandwith, lọc địa chỉ Media Access control(MAC) và
phân đoạn. Local Area Network tồn tại hầu hết phổ biến trong tầng access.
Distribution hay policy thực thi sự phức tạp và những tính toán xử lý chuyên sâu như:
lọc, định tuyến liên Vlan, sự duy tri cây multicast, khai báo vung multicast và broadcast
và địa chỉ , tổng các vùng. Tâng này cũng bao gồm Server cục bộ. Router, Lan Switch,
Switched với khả năng định tuyến tâp trung trong tầng Distribution.
Tầng Core hay Backbone là xương sống của mạng. Nó có tốc độ cao và liên quan đến
việc chuyển mạch nhanh traffic. Nó thì không bao gồm sự thao tác gói tin ở phạm vi
rộng. Những Server trung tâm cũng cần phải được gắn vào phần high-speed backbone
trong tầng Core. Switch routers, high-speed routers, và đôi khi là Switch LAN có thể
được tìm thấy trong tầng này.
Sơ đồ mạng sau đây phục vụ như là 1 điểm tham chiếu cho sự hướng dẫn. Hai Switch
3550 của Cisco nằm trên đỉnh của sơ đồ hoạt động ở tầng Access. Hai Switch 6500 của
Cisco cung cấp khả năng phối hợp chức năng cho tầng Distribution và Core. Tất cả
những yêu cầu bảo mật trong sự hướng dẫn này đều tham chiếu đến sơ đồ này. Sơ đồ này
chỉ đại diện kiến trúc mạng được khuyến cáo; có rất nhiều kiến trúc khác nhau mà có thể
sử dụng được
3. Hệ Điều Hành
3.1. Tính Nguy Hiểm:
Nếu một hệ thống không tiếptục hoạt động thì Switch dễ bị ảnh hưởng bở những
thông tin tập trung tấn công mạng. Những kẻ tấn công tìm điểm yếu trong những phiên
bản IOS hiện tại. Những tính năng bảo mật mới được thêm vào trong các phiên bản ISO
mới. IOS của cisco cũng tương tự như những IOS khác với sự mong đợi là chịu đựng
những điểm yếu đó.
3.2. Giải Pháp:
Cài đặt phiên bản IOS mới nhất cho mỗi Switch. Cisco luon đưa ra những IOS
mới, một sự nâng cấp đem lại lợi ích cho việc bảo mật nhưng nếu điều này thực hiện
không chính xác thì nó sẽ làm Switch bị tổn thương. Nó thật quan trọng để ghi nhớ rằng
việc nâng cấp IOS mới chỉ được hoàn thành bằng việc thay thế IOS hiện hành trên
Switch. Nó thì không có khả năng cải thiện hoặc vá lỗi IOS đã cài đặt.

Cập nhật một IOS có thể đụng chạm đến 1 Switch và khả năng hoạt động của mạng. Ví
dụ như hiệu năng của Switch có thể bị ảnh hưởng để làm giảm thời gian chết cho việ
nâng cấp hoặc những đặc tính mà nó hoạt động không đúng chức năng sau khi nâng
cấp. Nó thật quan trọng để đọc và hiểu các ghi chú cho những phiên bản IOS 1 cách
tổng hợp trước khi cài đặt nó phải chắc chắn rằng phiên bản này hỗ trợ đầy đủ những
tính năng mà Switch cần trong mạng. Để chuẩn bị cho việc nâng cấp nếu hiệu năng của
Switch hay bảo mật bị tổn thương, nếu điều này xảy ra thì thay thế 1 Switch bằng 1
Switch dự phòng để thực thi việc nâng cấp offline mà không làm mạng bị gián đoạn.
Trong mạng với nhưng Switch dự phòng, nâng cấp Switch dự phòng từng phần và xác
minh lại sự thành công trước khi nâng cấp phần khác.
3.2.1 Những phiên bản IOS thu được.
Cisco tạo ra những phiên bản IOS mới để tạo nên sự đa dạng của những cơ chế
và dễ dàng bảo trì. Nếu người quản trị có một thoả thuận có trung tâm bảo trì của Cisco
thì người quản trị có thể tải phiên từ trung tâm phần mền trên website của Cisco. Sau
khi tải xuống hãy kiểm tra kích thước của phiên bản. Trong lúc lựa chọn phiên bản IOS
và trình tự download trên website của Cisco, người quản trị sẽ được đưa cho chiều dài
của phiên bản trong những bytes. In trang web tóm lượt bao gồm chiều dài và MD5
checksum cho phiên bản IOS mong muốn. Luôn so sánh MD5 checksum phiên bản
được tải và MD5 checksum phiên bản trên trang web. Nếu checksum không phù hợp thì
huỷ phiên bản đó và tải nó xuống một lần nữa.
Xác định phiên bản nào cần cho Switch thì người quàn trị cần xem xét các nhân tố sau:
Tính năng sẵn sang, tình trạng phiên bản, giá, số lượng required memory và bug
history. Để biết chi tiết về các phiên bản hãy tham chiếu những tran Web sau của Cisco:
/>are_category_home.html
/>3.2.2 Trước khi cài đặt phiên bản mới
Sau đây là danh sách kiểm tra trước khi cài đặt IOS phiên bản mới cho mỗi
Switch.
1. Xác định số lượng bộ nhớ.
Những loại Switch của Cisco có hai loại bộ nhớ cơ bản: Ramdom Access
Memmory(RAM) và Flash. Những phiên bản IOS của Cisco yêu cầu cấn có

một bộ nhớ tối thiểu. Đừng cài đặt phiên bản mới trừ khi Switch cần được
nâng cấp để phù hợp yêu cầu về bộ nhớ cho cả hai RAM và Flash.( Thông
thường một phiên bản mới thì tốn nhiều bộ nhớ hơn). Dùng lệnh show
version dể9 kiểm tra bộ nhớ và phiên bản nào đang chạy trên Switch
Switch> show version
Cisco Internetwork Operating System Software
IOS (tm) c6sup2_rp Software (c6sup2_rp-PSV-M), Version 12.1(13)E6,
EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
System image file is "sup-bootflash:c6sup22-psv-mz.121-13.E6.bin"
cisco Catalyst 6000 (R7000) processor with 112640K/18432K bytes of
memory. 381K bytes of non-volatile configuration memory.
32768K bytes of Flash internal SIMM (Sector size 512K).
Configuration register is 0x2102
Những phần gạch chân của ví dụ trên là phiên bản ISO, model Switch, dung
lượng của RAM và Flash. Để tính toán tổng dung lượng cùa RAM đơn giản
chỉ thêm hai phần bắt buộc vào kích cờ của RAM. Ví dụ trên cho thấy Switch
có bộ nhớ Ram là 128M. Thật quan trọng để biết kích thước của Switch
Model và dung lượng của bộ nhớ trước khi thử một phiên bản IOS mới.
2. Kiểm tra file cấu hình chuyển giao trên Switch.
Tải những phiên bản IOS mới cho Switch bằng việc sử dụng TFTP hoặc
FTP(sẵn có chỉ trong phiên bản ISO 12.0 hoặc những phiên bản về sau). Phải
chắc chắn rằng server TFTP và FTP được thiết lập cho phép upload và
download dữ liệu. Và cũng chắc chắn Switch phải kết được với server. Copy
phiên bản mới vào trong thư muc download của sever. Nếu có sẵn FTP thì hãy
sử dụng FTP vì FTP cung cấp chứng thực trong khi TFTP thì không. Mặt dù
TFTP được hỗ trợ bởi tất cả các phiên bản IOS nhưng nó không phải là một
dịch vụ an toàn và bình thường không cần chạy trên bất kì hệ thống an toàn
nào. Nếu không có sẵn FTP thì sử dụng TFTP cho việc nâng cấp và ngay sau
đó vô hiệu hóa nó một lần nữa. Nếu có thể, thì nên kết nối TFTP server với
Switch qua một mạng riêng biệt, không nên kết nối qua một mạng dùng

chung. Việc này cũng có thể sử dụng VLAN.
3. Schedule Switch downtime
Thiết lập một sự nâng cấp tới Switch lợi dụng downtime. Nếu sự nâng cấp
diễn ra tốt thỉ thời gian downtime có thể là 30 phút hoặc ít hơn. Tuy nhiên,
nếu sự nâng cấp không tốt hoặc người quản trị ra ngoài thì downtime có thể là
vài giời. Hoạch định thời gian nâng cấp và thong tin người dùng khi cần.
4. Đọc quá trình sau cho việc nâng cấp phiên bản mới.
Xem lại toàn bộ quá trình trước khi cài đặt IOS. Kèm theo phải thuộc tất cả
các lệnh IOS
3.2.3. Quá trình cài đặt
Phần này giới thiệu cách cài đặt phiên bản IOS mới của Cisco. Quá trình này thì
duy trì. Nếu làm theo quá trình thì người quản trị có thể tránh được rủi ro và có thể khôi
phục lại phiên bản cũ nếu cần thiết. Quá trình cài đặt theo ba bước sau: Backup, load và
test. Giai đoạn backup, các bước 1-3, bao gồm việc sao chép, chạy và cấu hình phiên
bản IOS lên FTP và TFTP server cho safekeeping. Giai đoạn cài đặt, bước 4 bao gồm
việc tải phiên bản IOS mới. Giai đoạn kiểm tra, bước 5 bao gồm việc kiểm tra phiên
bản mới và chạy thành công trên cấu hình cũ. Những bước mô tả bên dưới bao gồm
những ví dụ thích hợp.
1. Log vào cổng console Switch
Nó tốt nhất thì cho việc cài đặt phiên bản mói từ system console đúng hơn từ
một mạng login vào. Console sẽ cho thấy những thong điệp về tình trạng quan trọng về
những bước đi cùa việc cài đặt đó thì không rõ ràng. Nâng lên đặt quyền sử dụng.
2. Backup phiên bàn IOS hiện thời.
Sao chép phiên bản hiện thời sử dụng một trong những ví dụ thích hợp sau:
Dùng FTP:
Switch# archive upload-sw ftp://netwadmin:/IOS-
images/c3550-i9k212q3-tar.121-11.EA1a.tar
Trong đó netwadmin là username, G00dpa55 là password, IOS-images là
thư mục trên FTP server, c3550-i9k212q3-tar.121-11.EA1a.tar là file
images.

Dùng TFTP:
Switch# copy flash tftp
Switch sẽ nhằc nhở địa chì IP của TFTP server. Nếu bước này thất bại thì nó sẽ
không thực hiện, hủy bỏ việc nâng cấp và kiểm tra cấu hình server trước khi thử lại một
lầ nữa.
3. Backup cấu hình hiện đang chạy.
Sao chép cấu hình hiện đang chạy sử dụng thích hợp một trong những ví dụ
sau:
Dùng FTP:
Switch# copy system:running-config
ftp://netwadmin:/configs/switch-confg
Trong đó netwadmin là username, G00dpa55 là password, IOS-images là
thư mục trên FTP server, c3550-i9k212q3-tar.121-11.EA1a.tar là file
images.
Dùng TFTP:
Switch# copy running-config tftp
Switch sẽ nhằc nhở địa chì IP của TFTP server. Nếu bước này thất bại thì nó sẽ
không thực hiện, hủy bỏ việc nâng cấp và kiểm tra cấu hình server trước khi thử lại một
lầ nữa.
4. Tải phiên bàn TOS mới.
Sao chép phiên bản IOS mới sử dụng thích hợp các ví dụ dưới đây. Hầu hết
các Switch của Cisco tự động flash trong bước này. Còn nếu có hỏi có xóa
flash không thì câu trả lời là có
Dùng FTP:
Switch# archive download-sw /imageonly /overwrite
ftp://netwadmin:/IOS-images/c3550-i9k212q3-
tar.121-13.EA1a.tar
Dùng TFTP:
Switch# copy flash tftp
Switch sẽ nhằc nhở địa chì IP của TFTP server.

Sao chép không thì Switch sẽ tự động reboot, nếu không thì reboot lbình thường sử
dụng lệnh reload. Nếu việc cài đặt mới qua một mạng kết nối thì kết nối sẽ bị đức tại
thời điểm này.
Switch# reload
Proceed with reload? [confirm] y
5. Xác định phiên bản IOS mới và khời động images.
Khi sử dụng console, đổng hồ và khởi động thong điệp trên Switch để xác nhận
phiên bản IOS và khởi dộng images. Sử dụng một kết nối mạng, lập lại kết nối tại
điểm này. Kiểm tra phiên bản ISO và khởi động images bằng dòng lệnh show
version. Xác nhận tình trạng cấu hình bằng lệnh show running-config . Kiểm tra
tình trạng interface bằng dòng lệnh show interface brief.
Phụ thuộc vào tốc độ mạng và switch model, thủ tục này có thể mất từ 5-20 phút.
Chú ý rẳng, vài switch model của Cisco cũ, thì nhửng bứơc chuyên biệt vè phần
cứng thì cần thiết.
3.2.4 Khôi phục cài đặt.
Nếu kiểm tra thấy vấn để trên Switch sau nâng cấp thì người quản trị có
thể khôi phục lại phiên bản trước đây. Đơn giản theo thủ tục được mô tả ở trên,
khởi động bước 3. Trong bước 3, sử dụng một tên khác cho việc đang chạy câu
hình hơn sử dụng thòi gian thủ tục nâng cấp. Trong bước 4, tải sao chép file
backup phiên bản IOS cũ. Chú ý nếu người quản trị nâng cấp từ một phiên bản
chính thì hoặc tương tự thì cất giữ cấu hình có thề không làm việc chính xác khi
người quản trị trả lại phiên bản trước đây. Trong trường hợp đó hãy khôi phục
cấu hình trong bước 3.
3.2.5 Bổ sung sự an toàn liên quan.
Trước hết việc sử dụng TFTP server trong việc cài đặt được mô tả trước
đó là một mối quan tâm vì TFTp không cung cấp sự an toàn. Như vậy thật là phê
bình khi người quản trị bảo vệ giao dịch TFTP và server khỏi những cuộc tấn
công. Có vài cách để tiếp cận việc làm này, nhưng đơn giản nhất là chằc chắn
traffic TFTP không đi ngang qua những mạng thù địch. Luôn không bật dịch vụ
TFTP trên server và vô hiệu hóa nó sau khi quá trình cài đặt kết thúc.

Thứ hai, bất cứ nơi nào làm bất kì loại sao chép backup nào trên một
Switch người quản trị có thể làm lộ password mã hóa. Cách đơn giản nhất để
giảm nhẹ nó là sử dụng enable setrec sau khi cài đặt.
Thứ ba, nhiều mặc định khác nhau đặt giữa nhiều phiên bản IOS. Vài sự
thiết đặt này có thể ảnh hưởng đến sự an toàn của Switch. Trong những phiên
bản mới nó đề nghị các dịch vụ không giới thiệu những phiên bản cũ hơn. Như
vậy thật quan trọng khi đọc và đi theo những ghi chú cho một phiên bản IOS
mới.
4. Passwords
4.1 Tính dễ bị tổn thương
Các IOS Switch của Cisco có 2 cấp độ mặc định để truy xuất: user(level 1) và
privileged(level 15). Cấp độ User được truy xuất 1 cách điển hình bởi kết nối Telnet hay
SSH bằng dây Console đến Switch. Cấp Privileged được truy xuất sau khi cấp User được
thiết lập. Mỗi cấp thường được cấu hình password. Ở cấp privileged có thể cấu hình với
câu lệnh “enable” password, hay “enable secret” password. Câu lệnh “enable secret”
password thì được bảo vệ cao hơn “enable” password , sử dụng chức năng dựa trên kỹ
thuật băm MD5. Chi tiết về tính năng dễ bị tổn thương liên quan phần password bao gồm
những phần sau:
Mặc định, 1 Switch của Cisco biễu diễn password ở dạng Plaintext khi sử dụng
câu lệnh “enable” password. Nếu 1 kẻ tấn công có thể tập hợp những thông tin cấu hình
của Switch từ mạng sử dụng 1 người phân tích mạng, sau đó kẻ tấn công có thể sử dụng
password đó để truy xuất vào hệ thống này.
Nếu câu lệnh “enable secret” password không được cài đặt hay cài đặt 1 password yếu,
khi đó 1 kẻ tấn công có thể giành được quyền truy cập ở cấp privileged để lấy hoặc thay
đổi thông tin trên Switch.Cũng vậy việc cài đặt cùng password cho các Switch khi dùng
câu lệnh “enable secret” password cung cấp 1 điểm đơn lẻ không thích hợp bởi vì 1
Switch bị thoả hiệp sẽ gây nguy hiểm cho những Switch khác. Và cuối cùng, việc sử
dụng cùng 1 password cho nhiều Switch khi sử dụng câu lệnh “enable secret” password
thì cho phép 1 sự thoả hiệp tiềm tàng; Bởi vì việc đặt password có thể ở dạng Plaintext và
khi đó có thể bị thu thập trên mạng mà có 1 nhà phân tích mạng. Một kẻ tấn công người

mà có thể thu thập password của Switch có thể giành được quyền truy xuất ở cấp
privileged cho lần sau.
4.2 Giải pháp
giải pháp sau đây sẽ giới hạn tính dễ bị tổn thương về phần Password trong Switch của
Cisco. Giải pháp được miêu tả cho dây Console, dây virtual terminal và Username trong
phần Management Port và Network Services
Sự mã hoá cơ bản được cung cấp cho việc cấu hình bằng câu lệnh “enable”
password . Sử dụng câu lện sau đây:
Switch(config)# service password-encryption
Cấu hình “enable secret” password trên mỗi Switch của Cisco. Không được cấu
hình bất kỳ câu lệnh “enable” password nào trên bất kỳ Switch của Cisco. Trừ khi nó cần
được thiết lập cho nhiều cấp độ truy xuất ngoại trừ cấp độ mặc định. Sử dụng những dòng
hướng dẫn sau để tạo password an toàn: password ít nhất là 8 ký tự; không là những từ cơ
bản; và thêm vào ít nhẩt 1 ký tự đặc biệt hay số như:!@#$%^&*()|+_ ; thay đổi
password ít nhất là 3 tháng 1 lần; Sử dụng 1 password duy nhất cho câu lệnh “enable
secret” password trên mỗi Switch.
Và cũng sử dụng những password khác nhau cho mỗi cài đặt khác nhau trên cùng 1
Switch(telnet, ). Sử dụng câu lệnh sau đây để bật tính năng “enable secret”
password(r3a117-GOOD -psw 6)
Switch(config)# enable secret r3a117-GOOD -psw 6
5 Quản lý Port
5.1 Tính dễ bị tổn thương
Một hệ điều hành của Switch Cisco có quản lý port, dây Console(line con 0) mà nó cung
cấp sự truy xuất trực tiếp đến Switch cho sự quản trị. Nếu sự quản lý port được cài đặt
quá lỏng lẻo thì Switch có thể bị ảnh hưởng bởi các cuộc tấn công.Và chi tiết về tính dễ
bị tổn thương của việc quản lý Port bao gồm những phần sau đây:
Một Switch với 1 management port sử dụng tài khoản user mặc định cho phép kẻ
tấn công cố găng tạo kết nối sử dụng 1 hoặc nhiều tài khoản mặc định được biết
đến(administrator, root, security)
Nếu 1 Switch có 1 management port mà không cài password, password mặc định

hay password yếu, khi đó 1 kẻ tấn công có thể đoán được pass hay crack chúng và lấy
hoặc thay đổi thông tin trên Switch. Cũng vậy việc cài cùng password trên nhiều Switch
cung cấp 1 điểm đơn của sự hỏng hóc. Kẻ tấn công, người mà thỏa hiệp được 1 Switch sẽ
thỏa hiệp được với các Switch còn lại. Cuối cùng việc cài đặt cùng 1 password cho cả
management port và những cài đặt khác trên Switch cho phép sự thỏa hiệp tiềm tàng bởi
vì password được cài đặt ở dạng Plaintext có thể bị thu thập trong 1 mạng mà có người
phân tích mạng. Kẻ tấn công người mà thu thập được password telnet từ traffic mạng có
thể truy cập vào management port của Switch lúc khác.
Nếu một kết nối đến Switch sử dụng management port mà không cài đặt thời gian
Timeout hoặc cài đặt khoảng thời gian Timeout lớn (lớn hơn 9 phút), khi đó kết nối sẽ
sẵn sang cho 1 kẻ tấn công hack chúng.
Một Banner đưa ra ghi chú cho bất kỳ người nào kết nối đến Switch mà nó thì được
chứng thực và sẽ bị theo dõi cho bất kỳ hành động nào.Toà án sẽ bỏ qua trường hợp
chống lại người mà tấn công vào một hệ thong không có Banner cảnh báo.
5.2 Giải pháp
Hầu hêt phương pháp bảo đảm cho việc quản trị Switch thì nằm ngoài việc quản lý nhóm.
Phương pháp này không trộn lẫn việc quản lý traffic với việc thao tác traffic.Việc quản lý
ngoài nhóm sủ dụng dành cho những hệ thống và truyền thông. Sơ đồ 1 chỉ ra 1 dây
Serial kết nối đến Server và chia việc quản lý các máy tính ngoài cổng Console kết nối
đến các port của Switch Giải pháp này thỉ đủ cho nhiều chức năng quản lý. Tuy nhiên
Network-based, ngoài việc truy xuẫt thích hợp cho những chức năng chính xác(cập nhật
IOS), nó còn bao gồm việc sử dụng Virtual Local Area Network (VLAN) và được miêu
tả trong giải pháp cho VLAN 1 trong phần Virtual Local Area Networks
Giải pháp sau đây sẽ làm giảm tính dễ bi tổn thương khi sử dụng dây Console trên mỗi
Switch:
Cài đặt một tài khoản duy nhất cho mỗi nhà quản trị khi truy xuất bằng dây
Console. Lệnh sau chỉ ra 1 ví dụ về việc tạo 1 tài khoản ở cấp privilged và cài đặt cấp pri
vilege thành mặc định(0) cho dây Console . Ỏ câp privileged 0 là cấp thấp nhât của
Switch Cisco và cho phép cài đặt rất ít lệnh. Người quản trị có thể làm tăng cấp
privileged lên 15 bằng câu lệnh enable. Cũng vậy, tài khoản này cũng có thể được truy

xuất từ dây virtual terminal.
Switch(config)# username ljones privilege 0
Switch(config)# line con 0
Switch(config-line)# privilege level 0
Sử dụng những dòng hướng dẫn sau để tạo password an toàn: password ít nhất là
8 ký tự; không là những từ cơ bản; và thêm vào ít nhẩt 1 ký tự đặc biệt hay số như:!@#$
%^&*()|+_ ; thay đổi password ít nhất là 3 tháng 1 lần. Sử dụng
Switch(config)# username ljones secret g00d-P5WD
Switch(config)# line con 0
Switch(config-line)# login local
6. Dịch vụ mạng.
6.1. Tính dễ bị tổn thương
Những IOS Switch của Cisco có thể có một số dịch vụ mong đợi được
phép. Nhiều những dịch vụ tiêu biểu này không cần thiết cho một thao tác bình thường
cho sự chuyển đổi; tuy nhiên nếu những dịch vụ này được bật len trên Switch thì nó dễ
bị ảnh hưởng dến những thông tin tập trung hoặc những cuộc tấn công mạng. Những
đặc tính hoặc cấu hình không đầy đủ cho những dịch vụ mạng trên Switch có thể dẫn
dắt đến những thỏa hiệp. Hầu hết những dịch vụ này sử dụng một trong những cơ chế
stranport tại lớp 4 trong mô hình OSI RM: TCP, UDP. Những tính dễ bị tổn thương liên
quan đến những dịch vụ mạng sau:
+ Những kết nối tới những dịch vụ trên Switch thì không được mã hóa, vì vậy
những kẻ tấn công có thể tập hợp traffic mạng liên quan dến những dịch vụ mạng để
phân tích một mạng. Traffic này có thể chứa usermane, password hoặc thông tin cấu
hính trên Switch.
+ Một Switch với những dịch vụ sử dụng tài khoàn mặc định cho phép những kẻ
tấn công tạo và sử dụng một kết nối hoặc hơn tài khoàn mặc định những tài khoàn nổi
tiếng như(administrator, root, security).
+ Nếu một Switch có một dịch vụ mạng không đặt password, password mặc định
hoặc password đơn giản , thì kẻ tấn công có thể đoán password hoặc hack nó và truy lục
dữ liệu hoặc thay đổi cấu hình trên Switch. Đồng thời, việc dặt cùng mật khẩu cho

những dịch vụ trên nhiểu Switch là một diểm yếu ( điểm thất bại). Những người tấn
công có thể thỏa hiệp trên một Switch và dựa vào nó để thỏa hiệp đến những Switch
khác.
+ Sự truy cập dịch vụ mạng trên Switch là cho Switch dễ bị tổn thương để tấn
công. Phương pháp truy cập đó vào tất cả các hệ thống hoặc những hệ thốnt lớn hơn có
thể kết nối đến Switch.
+ Nếu một kết nối tới dịch vụ hệ thống mạng mà không đặt thời gian timeout
hoặc có thời gian timeout quá lớn (lớn hơn 9 phút), thì những kết nối có sẵn sẽ thuận
tiện cho những kẻ tấn công tấn công chúng.
6.2. Giải Pháp.
Nếu có thể thay vào đó việc sử dụng dịch vụ mạng (telnet) để thực hiện
việc quản lí bên in-band cúa một Switch, sử dụng quản lí out-of-band (via the console
port) trên mổi Switch. Quản lí out-of-band giảm bớt sự phơi bày thông tin cấu hình và
password hơn quản lí in-band. Tham chiếu đến phần quản lí port chi tiết trong quản lí
out-of-band.
Những giải pháp sau sẽ giảm nhẹ tính dễ bị tổn thương cùa những dịch vụ mạng
được bật trên Switch. Những biện pháp đối phó chia theo những loại sau: dịch vụ mạng
không cần thiết và dịch vụ mạng cần thiết tiềm tàn
.
6.2.1. Dịch vụ mạng không cẩn thiết:
Nếu có thể thì vô hiệu hóa những dịch vụ không cần thiết trên mỗi Switch.
Những lệnh sau sẽ vô hiệu hóa những dịch vụ liên quan. Trong một số trường hợp
những lệnh này chỉ ảnh hưởng đến Switch toàn cục, trong khi trong những trường hợp
khác nó chỉ ảnh hưởng đên một interface riêng lẻ (Fastenthernet, gigaethernet) trên
Switch. Để áp dụng những cài đặt này vào một interface, sử dụng dãi dòng lệnh chỉ rõ
cấu hình trên interface.
Ví dụ sau dùng để đặt cho interface Gigaethernrt 6/1- 6/3
Switch(config)# interface range gigabitethernet 6/1 – 3
6.2.1.1 TCP và UDP Small servers – TCP/UDP port 7, 9, 13, 19
Cisco hỗ trợ cho “ Small Server ”( echo,discard, daytime and chargen). Hai

server echo và chargen có thể sử dụng một hoặc nhiều hơn tấn công từ chối dịch vụ trên
Switch. Những dịch vụ này có thể được tắt đi bằng những dòng lệnh sau:
Switch(config)# no service tcp-small-servers
Switch(config)# no service udp-small-servers
6.2.1.2 Bootp Server – UDP port 67
Một switch của Cisco có thẽ tác động đến Bootp Server để phân phối những
hình ảnh của hệ thống tới những hệ thống khác. Trừ khi nó là những yêu cầu về thao
tác, nó tốt nhất để tắt những dịch vụ những dòng lệnh sau sẽ giảm tối thiểu những hình
ảnh của sự truy nhập không hợp pháp vào hệ thống trên Switch.
Switch(config)# no ip bootp server
6.2.1.3 Finger – TCP port 79.
Những Switch của Cisco có hỗ trợ dịch vụ Finger, mà có thể cung cấp những
thông tin về người dùng đã logged vào Switch. Những dòng lệnh sau sẽ tắt dịch vụ
Finger. Lệnh đầu tiên sẽ thay thế lệnh thứ hai trong những phiên bản IOS tương lai.
Switch(config)# no ip finger
Switch(config)# no service finger
6.2.1.4 Cấu Hình Autoload.
Một Switch cùa Cisco có thể được cấu hình từ một server trên mạng bằng một số
phương pháp. Những phương pháp này thỉ không được đề nghị bởi vì những thông tin
được chuyển trong cleartext trong quá trình khởi động và có thể được tập hợp bởi ngừơi
dùng bất hợp pháp. Sử dụng những dòng lệnh để vô hiệu hóa những phương pháp này.
Switch(config)# no service config
Switch(config)# no boot host
Switch(config)# no boot network
Switch(config)# no boot system
6.2.1.5 Packet Assembler/Disassembler(PAD)
PAD cho phép những kết nối X.25 giữa những hệ thống mạng.
Trừ khi một mạng yêu cầu khà năng này dịch vụ PAD được vô hiệu hóa
bởi dòng lệnh.
Switch(config)# no service pad

6.2.1.6 Thông điệp ICMP ( internet control messeger protocol)
Một Switch của Cisco có thể tự động phát sinh ba loại thông điệp ICMP: Host
Unreachable, Redirect and Mask Reply.
Thông điệp Mask Reply cung cấp mặt nạ mạng cho những mẫu tin mạng đến requestor.
Một kẻ tấn công có thể sử dụng những thông điệp này để giúp hắn trong việc ánh xạ
một mạng. Vô hiệu hóa những thông báo này bằng những lệnh sau khuyến cáo rằng
dùng cho mỗi interface và trên inter face Null 0.
Switch(config-if)#noip unreachables
Switch(config-if)# no ip redirects
Switch(config-if)# no ip mask-reply
Vô hiệu hóa interface Null 0 thì được chú trọng. Interface này là gói tin mất dần giá trị.
Nó đôi khi được dùng trong tấn công từ chối dịch vụ và những gói tin blocked được gửi
tới interface này. Nó sẽ phát sinh ra những thông diệp Host Unreachable làm tràn ngập
mạng trừ khi nó được đựơc vô hiệu hóa. Những kẻ tấn công có thểsử dụng những thông
báo này để xác được cấu hình access-control-list bởi việc xác định những gói tin bị tắt
nghẽn. Directed Broadcast cho phép những thông điệp broadcast lan truyền từ những
broadcast domain khác hơn đến Switch. Ví dụ những kẻ tấn công có thể sử dụng ICMP
Directed Broadcast cho mục đích này. Khuyến cáo nên tắt khả năng broadcast sử dụng
dòng lệnh sau cho mỗi interface.
Switch(config-if)# no ip directed-broadcast
6.2.2 Những dịch vụ mạng tiềm tàn cần thiết.
Những dịch vụ mạng cần thiết có thể cần cho việc quản trị trên một
Switch. Nếu trong quản lí in-band hoặc dịch vụ mạng cần thiết, thì xem xét những mục
sau để cấu hình dịch vụ mạng an toàn hơn.
Thiết lập một tài khoản duy nhất cho mỗi người quản trị cho sự truy cập tới bất kì dịch
vụ mạng cần thiết nào. Những dòng lệnh sau sẽ tạo ra một tài khoản với một mức đặc
quyền. Tài khoản này chỉ tới Switch cục bộ. Đặc quyền ở level 0 là mức thấp nhất trên
Switch của Cisco và cho phép những tập hơp rất nhỏ những lệnh. Người quản trị có thể
đi tới level cao hơn (ví dụ mức 15) từ level 0 sử dụng dòng lệnh Enable.
Switch(config)# username ljones privilege 0

Switch(config)# username ljones secret g00d-P5WD
Cho sự chứng thực các dịch vụ tinh tế hơn, cũng như liên hệ các khả năng khác vì
những dịch vụ tham chiếu tới Authentination, Authorization và Accouting (AAA) trong
báo cáo này.
6.2.2.1 Domain Name System(DNS) – TCP port 53, UDP port 53.
Để chỉ định cho DNS sever phân giải tên, sử dụng câu lệnh ip name – server.
Lệnh này có thể sử dụng để thiết lập sáu DNS server. Ví dụ sau đặt địa chỉ ip
10.1.200.97 cho DNS server.
Switch(config)# ip name-server 10.1.200.97
Để ánh xạ DNS-base từ tên sang địa chỉ Ip, sử dụng câu lệnh ip domain-lookup . Lệnh
này cho phép DNS broadcast truy vấn từ Switch và được trả lời bởi DNS server.
Switch(config)# ip domain-lookup
Trong một vài trường hợp người quản trị không muốn khả năng truy vấn DNS này. Ví
dụ sau nếu người quản trị gõ dòng lệnh không đúng thì Switch có thể giải quyết vấn đề
này tới một địa chì Ip. Thuộc tính náy có thể gây ra sự trì hoãn. Như vậy, sử dụng dòng
lệnh sau dể vô hiệu hóa khả năng này nếu cần thiết.
Switch(config)# no ip domain-lookup
Để chỉ rõ tên miền mặc định để hoàn thành hoàn toàn hostname, sử dụng dòng lệnh ip
domain-name. Ví dụ sau đặt tên miền là test.lab sử dụng câu lệnh sau.
Switch(config)# ip domain-name test.lab
6.2.2.2 SSH – TCP port 22.
Nếu cần thiết có truy cập từ xa đến Switch, thì xem xét sử dụng SSH thay
vì telnet. SSH cung cấp mã hóa những kết nối từ xa. Tuy nhiên, những phiên bản IOS
bao gồm hỗ trợ cơ chế mã hóa SSH. Đồng thời, SSH Switch cần cập nhật phiên bản
IOS. Trước khi sử dụng SSH trên Switch, người quản trị cần phải cấu hình những lệnh
sau: hostname, ip domain-name, và crypto key generate rsa. Ví dụ sau để đặt hostname
cho Switch.
Switch(config)# hostname Switch
Tham chiếu đến những mục trên về DNS sử dụng dòng lệnh Ip domain-name. Dòng
lệnh crypto key generate rsa được quyết định trên dòng lệnh hostname và ip domain-

name. Lệnh crypto tạo ra khóa đôi Rivest, Shamir, Adleman (RSA) mà bao gồm một
kháo publice RSA và một khóa private RSA.
Ví dụ sau cho thấy lệnh crypto này kể cả hai tham số là tên cho khóa(switch.test.lab) và
kích thước cho khóa(1024).
Switch(config)# crypto key generate rsa
The name for the keys will be: switch.test.lab
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512
may take a few minutes.
How many bits in the modulus[512]? 1024
Generating RSA keys [OK].
Để hạn chế sự truy nhập SSH đến Switch, cần cấu hình mở rộng access-list để chấp
nhận cho những hệ thống của ngừơi quản trị để tạo những kết nối và áp vào những thiết
bị đầu cuối. Chấp nhận những kết nối SSH tới những đường này bằng cách sử dụng
dòng lệnh transport input ssh. Đặt mức quyền là level 0 và set thời gian exec-timeout là
9 phút và 0 giây tới sự ngắt kết nối nhàn rỗi những kết nối tới những lines này. Cuối
cùng sử dụng dòng lệnh login local để bật tính năng kiểm tra tài khoàn tại những lúc
đăng nhập cái đó sẽ nhắc nhở cho một username và một password.
Những dòng lệnh sau để cấu hình SSH cho các thiết bị đầu cuối.
Switch(config)# no access-list 101
Switch(config)# access-list 101 remark Permit SSH access from
administrators’ systems
Switch(config)# access-list 101 permit tcp host 10.1.6.1 any eq 22 log
Switch(config)# access-list 101 permit tcp host 10.1.6.2 any eq 22 log
Switch(config)# access-list 101 deny ip any any log
Switch(config)# line vty 0 4
Switch(config-line)# access-class 101
in Switch(config-line)# transport
input ssh Switch(config-line)#
privilege level 0

Switch(config-line)# exec-timeout 9 0
Switch(config-line)# login local
Câu lệnh login local không được dùng với AAA. Thay vì sử dụng dòng lệnh login
authentication. Xem phần AAA dể biết thêm chi tiết.
6.2.2.3 Telnet – TCP port 23.
Nếu người quản trị không thể update phiên bản ISO cho Switch với SSH, để hạn
chế việc chấp nhận telnet vào Switch. Cấu hình mở rộng các access-list(vd: 102) mà
cho phép chỉ duy nhất hệ thống của người quản trị tạo kết nối và áp dụng những access-
list này vào thiết bị đầu cuối. Cho phép những kết nối telnet duy nhất trên những lines
này sử dụng câu lệnh transport input telnet. Đặt mức quyền là level 0 và set thời gian
exec-timeout là 9 phút và 0 giây tới sự ngắt kết nối nhàn rỗi những kết nối tới những
lines này. Cuối cùng sử dụng dòng lệnh login local để bật tính năng kiểm tra tài khoàn
tại những lúc đăng nhập cái đó sẽ nhắc nhở cho một username và một password.
Những dòng lệnh sau để cấu hình Telnet cho các thiết bị đầu cuối.
Switch(config)# no access-list 102
Switch(config)# access-list 102 remark Permit telnet access from
administrators’ systems
Switch(config)# access-list 102 permit tcp host 10.1.6.1 any eq 23 log
Switch(config)# access-list 102 permit tcp host 10.1.6.2 any eq 23 log
Switch(config)# access-list 102 deny ip any any log
Switch(config)# line vty 0 4
Switch(config-line)# access-class 102 in
Switch(config-line)# transport input telnet
Switch(config-line)# privilege level 0
Switch(config-line)# exec-timeout 9 0
Switch(config-line)# login local
Câu lệnh login local không được dùng với AAA. Thay vì sử dụng dòng lệnh login
authentication. Xem phần AAA dể biết thêm chi tiết.
6.2.2.4 HTTP – TCP port 80
Một HTTP server được tích hợp trong IOS để cho phép quàn trị từ xa Switch

thong quan một interface wed. Nếu không cần thiết quản trị Switch trên wed-base thì ta
tắt HTTP server bằng dòng lệnh sau:
Switch(config)# no ip http server
Nếu cẩn việc quản trị Switch tren web-base, thì nên hạn chế việc truy nhập HTTP vào
Swtich. Cấu hình access-list cơ bản (vd:11) cho phép mà cho phép chỉ duy nhất hệ thống
của người quản trị được tạo kết nối và áp dụng access-list này tới dịch vụ HTTP trên
Switch. Cuối cùng sử dụng dòng lệnh ip http authentication local để bật tính năng
kiểm tra tài khoàn tại những lúc đăng nhập cái đó sẽ nhắc nhở cho một username và
một password.
Switch(config)# no access-list 11
Switch(config)# access-list 11 remark Permit HTTP access from
administrators’ systems
Switch(config)# access-list 11 permit host 10.1.6.1 log
Switch(config)# access-list 11 permit host 10.1.6.2 log
Switch(config)# access-list 11 deny any log Switch(config)#
ip http server
Switch(config)# ip http access-class 11
Switch(config)# ip http authentication local
Chú ý web browers sử dụng cho việc quản trị vì vậy thông tin cấu hình quan trọng luư
trong bộ đệm (vd: password). Vì thế nên đảm bảo rằng bộ đệm được xóa định kì.
6.2.2.5 Simple Network Management Protocol (SNMP) – TCP port 161,162.
SNMP là dịch vụ đã được thực hiện cho chức năng quản lí mạng sử dụng cấu trúc
dữ liệu gọi là Manegement Information Base (MIB). Không may, một phiên bản SNMP
đang phổ biến rộng rãi thì lại không an toàn, nó sử dụng hoàn toàn bằng clear-text cho sự
truy nhập thông tin trên Switch và bao gồm cà file cấu hình của nó.
Nếu dịch vụ SNMP không cần sử dụng thì những dòng lệnh sau sẽ tắt dịch này:
Switch(config)# no snmp-server community
witch(config)# no snmp-server enable traps
Switch(config)# no snmp-server system-shutdown
Switch(config)# no snmp-server

Nếu SNMP được yêu cầu trên Switch, thì cấu hình trên Switch với SNMP version 3.
Phiên bản này thì an toàn hơn phiên bản 1 vì phiên bản 3 có thể sử dụng cryptographic
hashes cho việc chứng thực để bảo vệ cho toàn bộ cho community strings. Những dòng
lệnh ở trên để vô hiệu hoá SNMP thì khuyến cáo rằng trước khi triển khai SNMP phiên
bản 3 thì nên xoá bất kì community strings nào.
Sau đây là những dòng lệnh sử dụng User security Model trên Switch SNMP phiên bản 3.
Mô hình bắt đầu vói việc tạo ra standard access-list cho phép duy nhất những hệ thống đó
quản lí Switch. Tiếp theo là tạo ra một nhóm (vd: admin) với quyền đọc và viết MIB(vd:
adminview). Rồi trên mỗi người dùng được thêm vào nhóm(root) với một mật
khẩu(5ecrect-5TRN1) cái đó có thể được mã hoá hashed (md5) trước khi được gửi tới
mạng bên kia. Đồng thời standard access-list được áp dụng tới từng ngưòi dung. Cuối
cùng, MIB view được định nghĩa bởi một hoặc nhiều các khai báo bao gồm hoặc loại bỏ
những phần cua MIB. MIB view trong ví dụ sau cho phép vào nhánh Internet của MIB
trừ những nhánh địa chỉ IP và thong tin IP routing.
Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 10.1.6.1
Switch(config)# access-list 12 permit 10.1.6.2
Switch(config)# snmp-server group admins v3 auth read adminview write
adminview
Switch(config)# snmp-server user root admins v3 auth md5 5ecret-5TR1N
access 12
Switch(config)# snmp-server view adminview internet included
Switch(config)# snmp-server view adminview ipAddrEntry excluded
Switch(config)# snmp-server view adminview ipRouteEntry
excluded
Nếu SNMP được đòi hỏi trên Switch và chỉ sẵn có SNMP phiên bàn 1 duy nhất,
thì ví dụ sau cho thấy làm thế nào để cấu hình Switch với community string
( good-5tr1n9)cái đó được phép đọc và áp đặt
standard access-list trên nó.
Switch(config)# no access-list 12

Switch(config)# access-list 12 permit 10.1.6.1
Switch(config)# access-list 12 permit 10.1.6.2
Switch(config)# snmp-server community g00d-5tr1n9 ro 12
Ngoài việc cấu hình dịch vụ SNMP,thông tin Trap SNMP có thể gửi đến hệ thống quản lí
Switch. Ví dụ sau cho thấy việc cấu hình này.
Switch(config)# snmp-server host 10.1.6.1 traps g00d-5tr1n9-2
Switch(config)# snmp-server host 10.1.6.2 traps g00d-5tr1n9-2
Switch(config)# snmp-server trap-source Loopback0
Switch(config)# snmp-server enable traps
7. Port Security
7.1 Tính dễ bị tổn thương
Những interface lớp 2 của Cisco được hiểu như là các Port. Một Switch mà không cung
cấp khả năng bảo vệ Port, thì cho phép kẻ tấn công tấn công vào hệ thống không dùng
đến, enable Port, thu thập thông tin hoặc tấn công. Một Switch có thể cấu hình để hoạt
động giống như Hub. Điều đó có nghĩa là mỗi hệ thống kết nối đến Switch mộ cách
tiềm tàng có thể thấy tất cả các traffic di chuyển qua Switch để tới các hệ thống kết nối
đến Switch. Như vậy 1 kẻ tấn công có thể thu thập traffic chứa đựng các thông tin như:
Username, Passord, những thông tin cấu hình và hệ thống trên mạng…
7.2 Giải Pháp
Port Security giới hạn số lượng của dịa chỉ MAC hợp lệ được cho phép trên Port. Tất cả
những port trên Switch hoặc những interface nên được đảm bảo trước khi triển
khai.Theo cách này, những đặt tính được cài đặt hoặc gỡ bỏ như là những yêu cầu để
thêm vào hoặc làm dài thêm những đặt tính 1 cách ngẫu nhiên hoặc là những kết quả
bảo mật vốn dã có sẵn.
Nên nhớ rằng Port Security không sử dụng cho những Port access động hoặc port đích
cho người phân tích Switch Port. Và cho đến khi đó Port security để bật tính năng Port
trên Switch nhiều nhất có thể.
Ví dụ sau cho thấy dòng lệnh shutdonw một interface hoặc một mảng các
interface:
Single interface:

Switch(config)# interface fastethernet 0/1
Switch(config-if)# shutdown
Range of interfaces:
Switch(config)# interface range fastethernet 0/2 - 8
Switch(config-if-range)# shutdown
Port Security có khả năng làm thay đổi sự phụ thuộc trên chế độ Switch và phiên bản
IOS. Mỗi Port hoạt động có thể bị hạn chế bởi số lượng tối đa địa chỉ MAC với hành
dộng lựa chọn cho bất kì sự vi phạm nào. Những vi phạm này có thể làm drop gói tin
( violation protect ) hoặc drop và gửi thông điệp (restrict or action trap) hoặc shutdown
port hoàn toàn( violation shutdown or action shutdown). Shutdown là trạng thái mặc
định , đảm bảo hầu hết protect và restrict cả hai đều yêu cầu theo dõi địa chỉ MAC mà
nó đã được quan sát và phá huỷ tài nguyên xử lí hơn là shutdown. Địa chỉ MAC được
thu thập một cách tự động với vài Switch hỗ trợ Entry tĩnh và
Sticky Entry. Entry tĩnh thì được cấu hình bằng tay để thêm vào trên mỗi port (e.g.,
switchport port-security mac- address mac- address) và được luư lại trong file cấu
hình Sticky Entry đ ược xem như là Entry tĩnh, ngoại nó được học một cách tự động .
Những Entry động tồn tại được chuyển sang Sticky Entry sau khi sử dụng câu lệnh
(switchport port-security mac- address Stickey). Những Entry động cũ được luư lại
trong file cấu hình (switchport port-security mac- address Stickey mac- address) n ếu
file c ấu h ình d ược luư v à chạy th ì đ ịa ch ỉ MAC kh ông c ần h ọc l ại l ần n ữacho vi
ệc restart l ần sau. V à c ũng v ậy m ột s ố l ư ợng t ối đa đ ịa ch ỉ MAC c ó th ể đ ư ợc c
ài đ ặt b ằng c âu l ệnh sau(e.g.,switchport port-security maximun value) .
Người quản trị có thể bật tính năng cấu hình địa chỉ MAC tĩnh trên các port bằng
cách sử dụng câu lệnh switchport port-security aging static. Lệnh aging time (e.g.,
switchport port-security aging time time) có thể đặt dưới dạng phút. Đồng thời dòng
lệnh aging có thể đặt cho sự không hoạt động (e.g., switchport port-security aging
type inactivity), điều này có nghĩa là độ tuổi các địa chỉ đó được cấu hình trên port ở
ngoài nếu không có dữ liệu lưu thông từ những địa chỉ này cho khai báo từng phần
bằng dòng lệnh aging time. Đặt tính này cho phép tiếp tục truy cập đến sô lượng
những dịa chỉ giới hạn đó.

Ví dụ:
+ Những dòng lệnh sau dùng để giới hạn tĩnh một cổng trên Catalyst Switch
3550.
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address 0000.0200.0088
Switch(config-if)# switchport port-security aging time 10
Switch(config-if)# switchport port-security aging type inactivity
+ Những dòng lệnh sau để giới hạn động một cổng trên Catalyst Switch 3550.
Chú ý những dòng lệnh aging không được sử dụng với những địa chỉ sticky MAC.
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address sticky
Chú ý khi có sự vi phạm port security xảy ra thì ngay lập tức nó sẽ trở thành trạng
thái error-disable và đèn LED sẽ tắt. Switch cũng sẽ gửi một thông điệp SNMP trap,
logs (syslog) và làm tăng lên sự phản đối của xâm nhập. Khi một port o trạng thái error-
disable, người quản trị có thể đưa nó ra khỏi trạng thái này bằng cách sử dụng dòng
lệnh ở chế độ toàn cục errdisable recovery cause psecure-violation hoặc dòng lệnh
shutdown và no shutdown trên cổng được cấu hình.
Có một số vấn đề quan trọng phát sinh khi cấu hình port security trên port kết nối đến
một IP phone. Mặt dù port security không được sử dụng trên Trunk port, địa chỉ MAC
phản đối việc xem xét viec gán VLAN của gói tin đến. Cùng IP phone gửi gói tin ra 2
Vlan sẽ có 2 bảng entries được chia ra trong bảng MAC vì thế nó sẽ đếm 2 lần lên đến
maximum MAC.
Khi IP Phone có thể sử dụng 2 gói tin không được gán vào (untagged, e.g., Layer 2
CDP protocol ) và gói tin Voice Vlan có gắn(tagged); địa chỉ MAC của IP Phone sẽ
được thấy trên cả 2 native VLAN và Voice VLAN. Vì vậy nó sẽ được đếm 2 lần. Việc
đặt tối đa địa chỉ MAC cho 1 port kết nối đến 1 IP Phone cho trường hợp nhiều máy

tính tấn công vào IP Phone. Nhửng máy tình truyền hợp lệ sử dụng nhiều địa chỉ MAC
phải đựơc cấu hình để tính toán.
Một khả năng mới để bảo đảm cho những port của Switch nhanh hơn và thích hộp hơn
đó là macros. Macros cho phép nhóm những port sẵn sàng để mà những lệnh đó được
chấp nhận bằng cấu hình tay. Bất kì dòng lệnh nào được thêm vào bẳng việc sử dụng
kí tự “#” tại đấu mỗi dòng lệnh và kết thúc bởi kí tự”@”.
The following example creates a strict security macro called unused to secure the
ports, or interfaces, on
a 3550 switch
Ví dụ sau đây tạo ra sự ngăn cản security macro gọi là unused để bảo đảm trên những
port hoặc trên những interface trên Switch 3550.
Switch(config)# macro name unused
macro description unused
shutdown
description *** UNUSED Port ***
no ip
address
switchp
ort
# Set secure defaults for access mode
switchport mode access
switchport access vlan 999
switchport nonegotiate
# Set secure defaults for trunking mode
switchport trunk encapsulation dot1q
switchport trunk native vlan 999
switchport trunk allowed vlan none
# Only learn source MAC
addresses switchport block
multicast switchport block

unicast
# Enable MAC control and set secure options
switchport port-security
switchport port-security maximum 1
switchport port-security aging time 10
switchport port-security aging type inactivity
# Apply any switch-wide access-lists
ip access-group ip-device-list in
mac access-group mac-device-list in
# Set secure defaults for misc. flags and protocols mls
qos cos override
dot1x port-control force-unauthenticated
storm-control broadcast level
0.00 storm-control multicast
level 0.00 storm-control unicast
level 0.00
no cdp enable
# Default Spanning-tree to secure host settings
spanning-tree portfast
spanning-tree bpdufilter
enable spanning-tree
bpduguard enable spanning-
tree guard root
@
Sau khi tạo sự găn cấm security macro, unused, áp đặt macro trên tất cả các port của
Switch như sự bảo đảm ranh giới với các dòng lệnh sau.
Switch(config)# interface range fasteth0/1 – 24 , giga0/1 – 2
Switch(config-if-range)# macro apply unused
Sau khi macros được xây dựng tính bảo đảm dựa trên unused macro được thiết lập để
bật tính năng bảo mật đủ dể hỗ trợ tất cả các hệ thống theo mong đợi

Switch(config)# macro name host
# Apply macro 'unused' first!
macro description host
# Set the port for a PC host
dot1x port-control auto
no storm-control broadcast
level no storm-control
multicast level no storm-
control unicast level
no shutdown
# The following are recommended port specific commands
#description Host <10.1.10.3>
#switchport access vlan <10>
#switchport trunk native vlan <10>
@
Switch(config)# macro name ipphone
# Apply macro 'unused' first!
macro description ipphone
#
# Set the port for an ipphone without attached PC host
switchport port-security maximum 2
no mls qos cos override
mls qos trust device cisco-phone
mls qos trust dscp
no storm-control broadcast level no storm-control multicast level no storm-
control unicast level cdp enable
no shutdown
#
# The following are recommended port specific commands
#description IP PHONE <x1013>

#switchport voice vlan <101>
@
Switch(config)# macro name ipphone-host
# Apply macro 'unused' first!
macro description ipphone & host
#
# Set the port for an ipphone with attached PC host
switchport port-security maximum 3
no mls qos cos override
mls qos trust device cisco-phone
mls qos trust dscp
dot1x port-control auto
no storm-control broadcast
level no storm-control
multicast level no storm-
control unicast level cdp enable
no shutdown
#
# The following are recommended port specific commands
#description IP PHONE <x1014> & HOST <10.1.20.5>
#switchport access vlan <20>
#switchport trunk native vlan <20>
#switchport voice vlan <101>
@
Việc chấp nhận những macros sẽ chỉ làm thay đổi đến tính bảo đảm ở những biên được
yêu cấu cho những port hỗ trợ hoàn toàn những hệ thống thích hợp.
Ví dụ sau chỉ ra làm thế nào để dùng các macro lần trước để cấu hình cho những port
access của những Switch từ những mô hình ví dụ cho mỗi hệ thống như: Host, Ip Phone
và IP Phone với một cuộc tấn công host.
Host:

Switch(config)# interface fa0/1
Switch(config-if)# macro apply host
Switch(config-if)# description Host 10.1.10.3
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport trunk native vlan 10
Switch(config-if)# exit
IP phone:
Switch(config)# interface range fa0/2 - 4
Switch(config-if-range)# macro apply ipphone
Switch(config-if-range)# switchport voice vlan 101
Switch(config-if-range)# exit
Switch(config)# interface fa0/2
Switch(config-if)# description IP PHONE x1011
Switch(config)# interface fa0/3
Switch(config)# description IP PHONE x1012
Switch(config)# interface fa0/4
Switch(config-if)# description IP PHONE x1013
Switch(config-if)# exit
IP phone with an attached host:
Switch(config)# interface fa0/5
Switch(config-if)# macro apply ipphone-host
Switch(config-if)# description IP PHONE x1014 & Host 10.1.20.5
Switch(config-if)# switchport access vlan 20
Switch(config-if)# switchport trunk native vlan 20
Switch(config-if)# switchport voice vlan 101
Switch(config-if)# exit
Người quản trị có thể sử dụng câu lệnh macro trace để thay thế cho câu lệnh macro
apply bởi vì câu lệnh macro trace có thể xác định debugging cùa macros. Thường xuyên
sử dụng show parser macro description để biết macro cuối cùng được áp lên mỗi port.
Cuối cùng địa chỉ MAC tĩnh và port security áp trên mỗi port của Switch có thể trở

thành gánh nặng cho người quản trị. Port Access Control List (PACLs) có thể cung cấp
khả năng bảo mật tương tự như địa chỉ MAC tĩnh và port security và PACLs cũng cung
cấp nhiều tính năng linh động và điều khiển.việc cho phép địa chỉ MAC và địa chỉ IP có
thể được chia và dược xem xét từ phía của một Switch mở rộng. Tham chiếu đến phần
ALCs đễ biết thêm chi tiết.
8. Tính sẵn sàn của hệ thống.
8.1. Tính Hiểm Họa.
Nhiều cuộc tấn công tồn tại và ngày càng được tạo ra nhiều là nguyên nhân của từ chối
dịch vụ một cách từng phần hoặc hoàn toàn đến hệ thống hay mạng, Những Switch thì
dễ bị tổn thương bởi những cuộc tấn công đó. Những cuộc tấn công này tập trung vào
những tài nguyên quan trọng(hệ thống xử lí hoặc băng thông) mà không sẵn sàng. Sự
tổn thương chi tiết liên kết tới hệ thống sẵn sàng bao gồm những cái sau đây:
 Vài sự tấn công phát tán nhanh chống có thể là nguyên nhân của hệ thống
xử lí của Switch không sẵn sàng cho sự truy cập vào quản lí.
 802.3x Flow Control cho phép nhận những port của những gói tin duy
chuyển đang tạm dừng từ người gửi trong suốt thời gian tắt nghẽn. Nếu
đặt tính được bật lên, một frame đang tạm dừng có thể đựoc nhận, dừng
chuyển gói tin dữ liệu. Flow Control tạm dừng frames sử dụng trong tấn
công từ chối dịch vụ.
 Một vài cuộc tấn công hoạt động và chằc chắn lỗi có thể là nguyên nhân
của viec phát tán gói tin cùa những port trên Switch.
 Một kết nối trực tiếp đến Switch chạy giao thức Unidirectional Link
Detection (UDLD) có thể được phân tích nếu một đường link không trực
tiép tồn tại giữa chúng. Nếu một cái bị phát hiện thì đường link sẽ bị
shutdown mãi cho đến khi nó phục hồi lại bằng tay. Thông điệp UDLD có
thể được sử dụng tấn công từ chối dịch vụ.
 Tấn công bằng SYN Flood gửi yêu cầu kết nối lập lại mà không có sự
chấp nhận ACK để yêu cầu kết nối. Cuộc tân công này có thể làm tràn bộ
đệm kết nối của Switch hoặc disable Switch.
Mạng hội tụ có thể mang đến cả hai traffic dữ liệu và âm thanh (e.g.,

Voice over IP (VoIP)) . Nếu không được cấu hình chính xác, thì mạng đó
cho phép traffic âm thanh.
8.2 Giải Pháp.
Sau đây là những giải pháp sẽ lảm hạn chế tính dễ bị tổn thương của hệ thống sẵn sàng
trên mỗi Switch.
=> Để chống lại sự tấn công phát tán nhanh và đảm bảo rẳng thậm chí những quá
trình ưu tiên nhỏ nhát có bộ xử lí thời gian sử dụng câu lệnh scheduler interval. Ví
dụ sau đặt thời gian tối đa trừoc khi chạy tiến trình xử lí ưu tiên thấp nhất là 500
milli giây.
Switch(config)# scheduler interval 500
Một cách khác bảo đảm thời gian xử lí cho tiến trình là việc sử dụng câu lệnh
scheduler allocate. Lệnh này để cài đặt thời gian ngẳt và thời gian xử lí. Thời gian
ngắt là con số tối đa của micro giây để sử dụng trên những chuyển mạch nhanh
trong vòng bất kì hoàn cảnh mạng nào. Thời gian xử lí số tối thiểu của miro giây để
dùng cho tiến trình phân cấp khi mạng đột nhiên bị hỏng.
Ví dụ sau lấy 10% của xử lí có sẵn với khoảng thời gian là 4000 micro giây và thời
gian 400 micro giây.
Switch(config)# scheduler allocate 4000 400
=> Sử dụng lệnh sau để tắt Flow Control trên mỗi interface
Switch(config)# flowcontrol receive off
=> UDLD nên được tắt toàn cục và trên mà nó không được yêu cầu.
Dòng lệnh UDLD sử dụng trên toàn cục:
Switch(config)# no udld enable
Để tằt UDLD trên mỗi interface sử dụng một trong những dòng lệnh sau đây, phụ
thuộc vào loại Switch và phiên bản IOS
Switch(config-if)# no udld port
Switch(config-if)# udld disabled
=> Để giúp chống lại tấn công SYN Flood người quản trị cần phải cài đặt một
khoảng thời gian Switch sẽ đợi trong khi cố gắng thiết lập một kết nối TCP. Sau
đây là dòng lệnh xét thời gian chờ là 10 giây

Switch(config)# ip tcp synwait-time 10
=> Để cho traffic voice có dộ ưu tiên đẻ vượt qua mạng nó phải được dễ dàng phân
tích gói tin nào là voice thậm chí nếu tính hiệu voice hoặc dữ liệu bị mã hóa. Tuy nhiên,
bất kì cái nào đối một ngừơi phân tích mạng cũng có thể dễ dàng bắt được traffic voice.
Sự thêm vào nguy hiểm phải được xem xét dể quyết định thông số chất lượng dich vụ
(QoS) sẽ được cấu hình cho traffic voice. QoS có thể được xem xét dể có thể chấp nhận
cho sự thực thi VoIP. Sự sắp xếp gói tin là bứoc đẩu tiên trong viec thiết lập thông
lượng ưu tiên của mạng và nên được thực hiện tại diểm sẵn sàng đầu tiên. Những
Switch có thể chính xác phân loại gói tin cho mục đích QoS. Một vài ví dụ sau dây chỉ
ra làm thế nào để thực thi trong một khả năng QoS của Switch.
Câu lệnh sau để bật tính năng QoS.
Switch(config)# mls qos
Câu lệnh sau đây sẽ áp đặt sự ưu tiên tốt nhất cho hệ thống không tin tưởng
Switch(config-if)# mls qos cos 0
Switch(config-if)# mls qos cos override
Câu lệnh sau sẽ chấp nhận độ ưu tiên được gán bởi một thống tin tường ( voice
gateway).
Switch(config-if)# mls qos trust dscp
Câu lệnh sau sẽ chấp nhận độ ưu tiên được gán bời một IP Phone nhưng sẽ áp đặt
sự ưu tiên tốt nhất cho bất kì máy tính nào gắn vào.
Switch(config-if)# mls qos trust dscp
Switch(config-if)# mls qos trust device cisco-phone
Switch(config-if)# switchport priority extend cos 0
Việc ngăn cách voice traffic trong một mạng con sử dụng Vlan và điều khiển sự
tác động lẫn nhau giữa mạng voice và dữ liệu. Xem phần Access Control List để biết
chi tiết và việc diều khiển truy cập trên mạng voice và mạng dữ liệu. Theo dõi Switch
và sử dụng mạng như thay đổi sự phân phối mạng VoIP, voice codec hoặc thêm vào hệ
thống diện thoại VoIP có thể được yêu cầu để xừa sai cho mạng bị phát tán hoặc Switch
9 Virtual Local Area Network
9.1 Tổng quan

Một Virtual Local Area Network(VLAN) là một miền Broadcast. Tất cả thành viên trong
1 VLAN nhận gói tin Broadcast được gửi bởi các thành viên trong cùng 1 VLAN, nhưng
nó không nhận các gói tin Broadcast từ các thành viên của VLAN khác. Tất cả các thành
viên trong 1 VLAN được nhóm 1 cách logic trong cùng 1 miền Broadcast không phụ
thuộc vào vị trí vật lý. Việc thêm, di chuyển, thay đổi thành viên đều được ghi lại trong
Switch. Định tuyến được yêu cầu cho sự giao tiếp giữa các VLAN khác nhau.
VLAN cung cấp sự chia đoạn theo logic của Switch thành nhiều vùng con. Sự chia nhỏ
những mạng thành những VLAN với những chức năng khác nhau thì nhìn chung tốt cho
nhà quản trị. Việc lọc gói tin mà được miêu tả ở phần Access Control List thì đơn giản
để thực thi khi những hệ thống trên VLAN có cùng những chức năng tương tự. Ví dụ
như, việc tạo những VLAN khác nhau thì làm đơn giản cho việc lọc Data và Voice.
Có nhiều phương pháp khác nhau để thực thi nhóm VLAN. Những phương pháp ở tầng 2
bao gồm Port-based VLANs và việc nhóm tầng MAC. Những phương pháp của tầng 3
bao gồm việc nhóm giao thức mạng và việc nhóm IP Multicast. Những Switch Cisco
thực thi cả 2 phương pháp của tầng 2, nhưng Cisco xem việc nhóm tầng MAC như là
VLANs động. Nhóm Port-based là phương pháp phổ biến nhất của việc khai báo
VLANs, với tất cả dòng Switch hỗ trợ nó. Chỉ có Port-based VLANs và VLANs động
được thảo luận trong phần này.
Đối với Port-based VLANs, người quản trị mạng đăng ký mỗi port của 1 Switch cho 1
VLAN. Ví dụ các port từ 1-5 sẽ được đăng ký vào VLAN 100, các port 6-8 vào VLAN
200 và port 9-12 vào VLAN 300. Switch sẽ phân tích nhóm VLAN của mỗi gói tin bằng
việc đánh dấu port khí gói tin đến. Ỏ khí cạnh khác, sự thực thi dynamic VLAN đăng ký
những MAC chi tiết cho mỗi VLAN. Điều này cho phép 1 hệ thống có thể được chuyển
sang 1 port khác mà không thay đổi VLAN của port mà đã đăng ký. Một điểm khác biệt
quan trọng nữa của sựt hực thi VLAN là phương pháp sử dụng chỉ ra những thành viên
khi 1 gói tin di chuyển giữa các Switch. Các Switch gắn mỗi gói tin để chỉ ra thành viên
của VLAN để phù hợp với chuẩn Trunk Inter-Switch Link(ISL) của Cisco hay chuẩn
IEEE 802.1q. Và chỉ có chuẩn IEEE 802.1q được thảo luận trong phần này.
Sự phân chia mạng không làm ảnh hưởng đến việc nhận thức bằng việc thực hành tốt sự
bảo mật. Sự phân chia mạng 1 cách vật lý cho Voice và Data là sự bảo đảm nhất nhưng

không thực tế cho tất cả nhưng nó cần thiết trong môi trường bảo mật khắt khe. Việc
không tách mạng Voice và Data thì có thể không thực tế để mà họat động theo những yêu
cầu khác nhau cho mỗi traffic lợi dụng mạng. Cho hầu hết sự thực thi sau đó, mạng Voice
và Data phải chia sẽ vài tài nguyên phổ biến trong khi vẫn giữ nguyên như tách vật lý.
Việc tách logic xuyên qua việc sử dụng VLAN nằm ngoài như là hướng giải quyết tốt
nhất để mà có khả năng và bảo mật những tài nguyên chia sẽ mạng. Tuy nhiên việc tách
theo logic là sự cộng tác và cung cấp 1 chút sự giảm thiểu tấn công bới chính nó.Một lớp
được bảo vệ tiến gần đến việc sử dụng công nghệ bảo vệ có chiều sâu mà nó có thể làm
tốt việc sử dụng tách logic cho Voice và Data thì được yêu cầu. Tham chiếu đến phần
Access Control List để xem cách cung cấp sự bảo vệ cho các lớp. Hai cái hữu ích từ
Cisco cho việc thực hành tốt nhất cho VLAN là [5] [9]
Phần khác miêu tả tính dễ bị tổn thương và những giải pháp tương ứng cho những vùng sau:
VLAN 1, Private VLAN, VTP, Trunk Auto-Negotiation, VLAN Hoping và nhiệm vụ của
Dynamic VLAN
9.2 VLAN 1
9.2.1 Tính dễ bị tổn thương
Những Switch Cisco sử dụng VLAN 1 như là VLAN mặc định để đăng ký cho các port
của nó, bao gồm việc quản lý những port đó. Thêm vào đó, các giao thức lớp 2 như là
CDP và VTP cần được gửi đi trên 1 VLAN chi tiêt trên những đường Trunk, vì vậy
VLAN 1 được chọn lựa. Trong 1 vài trường hợp, VLAN 1 có thể mở rộng hệ thống mạng
nếu không lượt bớt 1 cách đúng đắn. Nó cũng cung cấp cho những kẻ tấn công dễ dàng
truy xuất và mở rộng việc vươn tới những cuộc tấn công.
9.2.2 Giải pháp
Do not use VLAN 1 for either out-of-band management or in-band management. To provide
network-based, out-of-band management, dedicate a physical switch port and VLAN on each
switch for management use. Create a Switch Virtual Interface (SVI) Layer Three interface for
that VLAN, and connect the VLAN to a dedicated switch and communications path back to the
management hosts. Do not allow the operational VLANs access to the management VLAN. Also,
do not trunk the management VLAN off the switch.
To provide out-of-band management that separates management traffic from user traffic, use the

following commands as an example.
Create the out-of-band management VLAN.
Switch(config)# vlan 6
Switch(config-vlan)# name ADMINISTRATION-VLAN
Create a management IP address and restrict access to it. Also, enable the interface.
Switch(config)# no access-list 10
Switch(config)# access-list 10 permit 10.1.6.1
Switch(config)# access-list 10 permit 10.1.6.2
Switch(config)# interface vlan 6
Switch(config-if)# description ADMIN-VLAN
Switch(config-if)# ip address 10.1.6.121 255.255.255.0
Switch(config-if)# ip access-group 10 in
itch(config-if)# no shutdown
Sw
Assign the management VLAN to the dedicated interface.
Switch(config)# interface fastethernet 4/1
Switch(config-if)# description Out-Of-Band Admin
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 6
Switch(config-if)# no shutdow
9.3 Private VLAN(PVLAN)
9.3.1 Tính dễ bị tổn thương
Trong 1 vài ví dụ điển hình nơi mà những hệ thống không cần tác động trực tiếp,
PVLANs cung cấp sự bảo vệ thêm vào. Một PVLAN chính khai báo miền Broadcast với
những PVLAN phụ được liên kết. Những PVLANs phụ có thể là Isolated PVLANs hoặc
là Community PVLANs. Những máy tính trên Isolated PVLAN chỉ giao tiếp những port
Promiscuous, những máy tính trên community PVLANs chỉ giao tiếp giữa chúng và liên
kết với những port Promicuous. Sự cấu hình này cung cấp 5 phần nhỏ tách biệt trong lớp
2 để điều khiển mỗi hệ thống.
Việc sử dụng thích hợp những PVLAN để bảo vệ cho các hệ thống từ 1 cái khác mà chia

sẽ những VLAN thông thường được cung cấp bởi việc tách lớp 2. Những sự cấu hình này
thì 1 cách thông thường thì đượctìm thấy ở những Multiple Server như là mạng De-
Militarized Zone (DMZ) không có Firewall hay 1 sự không truy xuất vào server của 1
Switch có tốc độ cao. Nếu 1 Server được thỏa hiệp, khi đó Server đó có thể là nguồn của
các cuộc tấn công vào các Server khác. PVLANs hạn chế tính nguy hiểm này bằng cách
không cho phép sự giao tiếp giữa các Server mà không nên liên hệ với những cái khác.
Các PVLAN có 1 giới hạn là phải gán địa chỉ cho một hệ thống để bảo đảm an toàn. Một
Router có thể chuyển các traffic trở lại trên cùng 1 mạng từ mạng gốc. Một PVLAN chỉ
ngăn tách những traffic tại lớp 2. Một Router mà tại hệ thống lớp 3 và được gắn vào 1
port Promicuous thì có thể định tuyến traffic đến tất cả các port trong PVLAN đó. Hai
máy tính trên PVLAN Isolated sẽ không thể giao tiếp tại lớp 2 nhưng vấn giao tiếp tại lớp
3 mà nó phá vỡ sự bảo vệ lớp 2 của PVLAN. Trường hợp này có thể gán điạ chỉ nơi mà
được cần bởi các Router Access Control List.