Như đã mô tả ở chương 17, PPP cung cấp khả năng xác thực dùng PAP và CHAP. Cơ chế này đặc biệt hữu ích cho các ứng dụng quay số. Chương 17 chỉ dùng phương thức xác thực mặc định cho CHAP/PAP, dựa trên các tập hợp lệnh username và password khai báo mặc định.
IOS của Cisco hỗ trợ sử dụng xác thực AAA cho PPP dùng cùng tập hợp các lệnh như trong xác thực khi đăng nhập. Các bước cấu hình như sau:
Ví dụ lệnh ppp authentication chap fred tham chiếu dến phương thức xác thực được định nghĩa bởi lệnh aaa authentication ppp fred.
BẢO MẬT LỚP 2
Tài liệu khuyến cáo về bảo mật của Cisco (có ở địa chỉ http://www.cisco.com/go/safe) đề nghị một số giải pháp sau cho bảo mật switch. Trong phần lớn các trường hợp, việc khuyến cáo phụ thuộc vào 1 trong 3 đặc điểm sau trên các cổng của switch.
Danh sách dưới đây tóm tắt các khuyến cáo áp dụng cho các cổng đang dùng và chưa được dùng của switch. Các điểm chung của những kiểu cổng này là một người dùng có thể truy cập được đến switch sau khi họ đã đi vào bên trong toà nhà mà không cần đi vào phòng cáp hoặc trung tâm dữ liệu.
Bên cạnh các khuyến cáo trên, Cisco còn có thêm các khuyến cáo sau:
Phần kế tiếp sẽ mô tả cách triển khai các đặc điểm trên.
Ví dụ dưới đây mô tả một cấu hình trên Switch Cat 3560, với cách cấu hình từng đặc điểm được nêu ra. Trong ví dụ này, cổng F0/1 là cổng không được dùng. CDP đã được tắt trên các cổng nhưng CDP vẫn còn chạy ở chế độ toàn cục vì giả thuyết là một vài cổng vẫn còn cần dùng CDP. DTP đã được tắt, bảo vệ gốc STP (STP Root Guard) và bảo vệ BPDU (BPDU Guard) được bật.
Lệnh cdp run cho phép CDP vẫn chạy ở chế độ toàn cục nhưng CDP đã bị tắt trên cổng F0/1 là cổng không được sử dụng.
cdp run
int fa0/0
no cdp enable
Lệnh switchport mode access ngăn ngừa cổng không trở thành trung kế và lệnh switchport nonegotiate ngăn ngừa bất kỳ thông điệp nào của DTP được gửi hay nhận.
switchport mode access
switchport nonegotiate
Hai lệnh cuối cùng bật tính năng bảo vệ gốc (Root Guard) và bảo vệ BPDU (BPDU Guard) trên từng cổng. BPDU cũng có thể được bật trên tất cả các cổng bằng tính năng chuyển cổng nhanh (Port Fast). Tính năng này được cấu hình bằng lệnh ở chế độ toàn cục spanning-tree portfast bpduguard enable.
spanning-tree guard root
spanning-tree bpduguard enable
Tính năng switchport port security giám sát một cổng của switch để giới hạn số địa chỉ MAC kết hợp với cổng đó trong bảng chuyển mạch lớp 2. Tính năng này cũng áp đặt giới hạn số địa chỉ MAC bằng cách chỉ cho vài địa chỉ MAC có thể dùng trên cổng đó.
Để hiện thực tính năng bảo mật cổng, switch sẽ thêm vào vài bước trong tiến trình xử lý bình thường của các khung tin đi vào. Thay vì tự động thêm vào bảng MAC địa chỉ MAC nguồn và số cổng, switch xem xét cấu hình bảo mật cổng và sẽ quyết định nó có cho phép địa chỉ đó không. Bằng cách ngăn ngừa các địa chỉ MAC khỏi việc thêm vào switch, bảo mật cổng có thể ngăn ngừa không đẩy khung tin về các địa chỉ MAC đó trên một cổng.
Tính năng bảo mật cổng hỗ trợ những đặc điểm chủ chốt sau:
Chức năng bảo mật cổng bảo vệ switch trước vài kiểu tấn công. Khi một bảng CAM điền thông tin mới vào, các thông tin cũ sẽ bị xóa ra. Khi một switch nhận được một khung tin đi về địa chỉ MAC đích không còn trong bảng CAM, switch sẽ phát tán khung tin đó ra tất cả các cổng. Một kẻ tấn công có thể làm cho các switch điền lại thông tin trong bảng CAM bằng cách gửi ra rất nhiều khung tin, mỗi khung tin có một địa chỉ MAC nguồn khác nhau, làm cho switch xóa các thành phần trong bảng CAM cho hầu hết các máy trạm hợp lệ. Kết quả là, switch sẽ phát tán các khung tin hợp lệ bởi vì địa chỉ MAC đích không còn trong bảng CAM, làm cho máy tấn công thấy tất cả các khung tin.
Một kẻ tấn công cũng có thể khai báo cùng một địa chỉ MAC như là một người dùng hợp lệ bằng cách gửi ra một khung tin với cùng địa chỉ MAC đó. Kết quả là, switch sẽ cập nhật bảng CAM của nó và gửi khung tin đến máy tấn công.
