Thực hành an ninh mạng 2021

LAB 06
Layer 2 Security

Giới thiệu bài Lab

Sơ đồ mạng trên có nhiều lỗ hổng để các attacker tấn công, vì vậy sinh viên có
nhiệm vụ cấu hình bảo mật cho Layer 2. Để tối ưu chất lượng và khả năng bảo mật của
hệ thống, sinh viên phải thiết lập Central Switch 3560 làm root bridge, đồng thời để
chống lại tấn công thiết lập trên spanning-tree, sinh viên đảm bảo các tham số STP phải
được bảo mật, bật tính năng storm control để chống lại bão broadcast. Cuối cùng sinh
viên sẽ thiết lập port security cho switch chống lại tấn công làm tràn bảng MAC address,
số địa chỉ MAC sẽ được hạn chế và thiết lập shutdown port khi vi phạm.

Các router đã được cấu hình địa chỉ, password và định tuyến:
 Thực hành an ninh mạng 2021

 Enable password: ciscoenpa55

 Password for console: ciscoconpa55
 VTY password: ciscovtypa55

Yêu cầu thực hành

 Thiết lập Central Switch làm root bridge
 Bảo mật các tham số của STP
 Bật tính năng storm control
 Bật tính năng port security

Task 1: Cấu hình Root Bridge

Bước 1: Xác định Root bridge hiện tại

Sử dụng câu lệnh show spanning-tree để xác định switch nào làm root bridge

Xác định port nào đang foward và đang bị block

Vẽ lại sơ đồ hoạt động của STP

Bước 2: Gán Central Switch làm root bridge

Bước 3: Gán SW-1 làm secondary root bridge

Bước 4: Kiểm tra lại root bridge sau khi thay đổi

Task 2: Cấu hình bảo vệ tấn công STP

Bước 1: Bật tính năng portfast trên tất cả các port access

Tính năng portfast cho phép các port kết nối với các máy trạm hay server được active
nhanh hơn. Trên SW-A và SW-B sử dụng câu lệnh spanning-tree portfast

Bước 2: Bật tính năng BPDU guard trên tất cả các port access

BPDU guard là tính năng cho phép STP không bị đánh lừa bởi các switch giả mạo nhằm
chiếm quyền root bridge của hệ thống.

Sử dụng câu lệnh spanning-tree bpdu guard trên các access port

Bước 3: Bật tính năng root guard

 Thực hành an ninh mạng 2021
Tính năng root guard được bật trên các port không phải là root port, thường được bật trên
các port kết nối đến các non-root switch.

Bật tính năng root guard trên port F0/23 và F0/24 ở switch SW-1 và SW-2
SW-1(config-if)#spanning-tree guard root

Task 3: Bật tính năng Storm control

Bước 1: Bật tính năng storm control trên tất cả các trunk port (các interface kết nối giữa
Sw Central, SW-1 và SW-2), thiết lập level rising là 50 %
SW-1(config-if)#storm-control broadcast level 50

Bước 2: Kiểm tra lại Storm control bằng lệnh show storm-control broadcast

Task 4: Cấu hình port security và shutdown các port không sử dụng
Bước 1: Thiết lập port security trên các port access của SW-A và SW-B, thiết lập số địa
chỉ MAC cho mỗi port tối đa là 2, cho phép switch học địa chỉ MAC tự đông, và thiết lập
vi phạm là shut-down.

Bước 2: Kiểm tra cấu hình port security trên interface fa0/1

Bước 3: Tắt các port không sử dụng

Shutdown các port không dùng đến trên các switch SW-A và SW-B (port Fa0/5 và Fa0/6)