• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

IP Source Guard

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • IP Source Guard

    Bùi Nguyễn Hoàng Long
    Giả mạo địa chỉ là một loại tấn công khó được ngăn chặn, thông thường một thiết bị PC sẽ có một địa chỉ IP được gán và địa chỉ này dùng cho tất cả gói dữ liệu được gởi ra, tuy nhiên một PC vẫn có thể gởi ra những gói dữ liệu với địa chỉ là giả mạo hoặc ngẫu nhiên. Thường kẻ tấn công dùng đcơ chể này để thực Dos hoặc Ddos.
    Với IP Source Guard trên Cisco Switch cho phép hạn chế loại tấn công này dựa vào địa chỉ của gói với cơ sơ dữ liệu của DHCP Snooping. Mặc định chỉ có địa chỉ IP của gói được kiểm tra, nếu địa chỉ này không khớp với bảng dữ liệu của DHCP Snooping gói sẽ bị loại bỏ.
    1. Cấu hình
    Xác định cổng và kích hoạt tính năng IP Source Guard
    SW(config)#interface range fa0/1 – 2
    SW(config-if-range)#ip verify source
    2. Kiểm tra
    Địa chỉ của gói được nhận trên cổng phải khớp với thông tin có được từ DHCP Snooping

    Thực hiện kiểm tra sự hợp lệ với PC1

    Thay đổi địa chỉ bằng cách gán tĩnh trên PC1, gói sẽ bị loại bỏ do không hợp lệ

    Trong trường hợp bạn muốn kiểm tra thêm địa chỉ MAC của gói
    SW(config-if-range)#ip verify source port-security

    Tuy nhiên trong trường hợp này tất cả địa chỉ MAC lại được cho phép, bạn cần dùng kết hợp với port-security để xác định địa chỉ IP và MAC cụ thể được cho phép
    SW(config)#interface range fa0/1 – 2
    SW(config-if-range)#switchport mode access
    SW(config-if-range)#switchport port-security

    Trong trường hợp không sử dụng dữ liệu của DHCP Snooping bạn có thể xây dựng dữ liệu tĩnh
    SW(config)#ip source binding 001B.FC36.ECE4 vlan 1 192.168.1.3 interface fa0/2
    Cuộc sống có bao lâu mà hững hờ
Working...
X