Port Security hay bảo mật cổng là một trong những cách giúp tăng bảo mật trong lớp 2 của mạng. Tính năng này đảm bảo rằng chỉ có những thiết bị được cho phép mới có thể truy cập vào mạng và ngăn chặn các cuộc tấn công DDoS ở lớp 2 hoặc giả mạo địa chỉ diễn ra. Trong bài viết này, ta sẽ đi tìm hiểu chi tiết xem Port security là gì? Tại sao nó quan trọng? Cách triển khai và các loại.

Trong bài có những nội dung chính sau:

  1. Port Security là gì?
  2. Tại sao Port Security lại quan trọng?
  3. Cách triển khai Port Security
  4. Cấu hình Port Security
  5. Nhược điểm của Port Security

Port Security là gì?

Port Security hay còn gọi là “bảo mật cổng”, tức là bảo mật được triển khai tại các cổng của mạng. Tính năng này cho phép quản trị viên hạn chế quyền truy cập vào mạng bằng cách giới hạn thiết bị nào có thể thể kết kết nối với mạng và cách chúng kết nối. Chỉ có các thiết bị hoặc địa chỉ MAC cụ thể mới được truy cập vào mạng.

Ví dụ về Port Security

Tính năng này giúp ngăn chặn các tấn công như truy cập trái phép vào mạng, đánh cắp thông tin, hoặc các hành động tương tự.

Các chức năng chính của Port Security bao gồm:

  • Giới hạn địa chỉ MAC: Xác định số lượng địa chỉ MAC được phép truy cập mỗi cổng. Bất kỳ thiết bị nào có địa chỉ MAC nằm ngoài giới hạn này sẽ bị từ chối truy cập.
  • Giới hạn loại địa chỉ MAC: Chỉ cho phép các địa chỉ MAC cụ thể hoặc loại địa chỉ cụ thể được truy cập.
  • Phát hiện và báo cáo sự cố: Khi có sự vi phạm bảo mật, chẳng hạn như việc có nhiều địa chỉ MAC truy cập vào một cổng, Port Security có thể phát hiện và báo cáo về sự cố này.

Các cấu hình cụ thể của Port Security có thể thay đổi tùy thuộc vào loại thiết bị mạng và phần mềm quản lý mạng được sử dụng. Đối với Cisco, ví dụ, bạn có thể cấu hình Port Security trên các switch Cisco sử dụng ngôn ngữ cấu hình CLI (Command Line Interface).

Port Security bao gồm việc định cấu hình ACL, tường lửa và mạng ảo VLAN cùng với các giao thức xác thực như RADIUS và TACAS. Bằng cách này, quản trị viên có thể kiểm soát thiết bị nào có thể truy cập mạng, hay loại lưu lượng nào được phép qua mạng.

Tại sao Port Security lại quan trọng?

Mặc định thì tất cả các cổng trên Switch sẽ được bật. Tức là nếu có ai đó muốn kết nối với mạng qua ổ cắm mạng thì bạn có thể gặp rủi ro về bảo mật. Nếu ta biết được các thiết bị nào sẽ kết nối với cổng nào của Switch, thì ta nên sử dụng tính năng Porty Security. Lúc này, quản trị viên có thể liên kết các địa chỉ MAC cụ thể với cổng để ngăn bất kỳ kết nối trái phép nào.

Cách Port Security bảo vệ mạng

Dưới đây là 6 lý do chứng minh thấy Port Security quan trọng:

  1. Ngăn chặn truy cập trái phép: Port Security giúp ngăn chặn việc truy cập trái phép vào mạng. Nó giới hạn việc kết nối của các thiết bị không được phép thông qua việc kiểm soát địa chỉ MAC truy cập vào cổng.
  2. Chặn tấn công MAC Spoofing: Tấn công MAC Spoofing là khi một kẻ tấn công cố gắng sử dụng địa chỉ MAC giả mạo để truy cập vào mạng. Port Security giúp ngăn chặn tình trạng này bằng cách chỉ cho phép các địa chỉ MAC được xác định trước truy cập.
  3. Bảo vệ dữ liệu: Bằng cách giới hạn số lượng địa chỉ MAC truy cập mỗi cổng, Port Security giúp bảo vệ dữ liệu quan trọng tránh khỏi việc truy cập không ủy quyền.
  4. Phát hiện lỗi vi phạm: Port Security cung cấp khả năng phát hiện và báo cáo về những hoạt động không bình thường, chẳng hạn như khi có nhiều địa chỉ MAC cố gắng truy cập vào cùng một cổng.
  5. Tăng cường bảo mật mạng: Port Security là một phần quan trọng của chiến lược bảo mật tổng thể của mạng. Nó giúp tăng cường lớp bảo vệ vật lý và lớp bảo mật mạng, làm tăng tính an toàn và tin cậy của hệ thống.
  6. Chặn chia sẻ cổng không an toàn: Trong một số trường hợp, người dùng có thể cố gắng kết nối nhiều thiết bị vào cùng một cổng để chia sẻ kết nối mạng. Port Security giúp ngăn chặn tình trạng này, đảm bảo rằng chỉ có thiết bị được phép mới có thể truy cập.

Cách triển khai Port Security

Để thực hiện bảo mật cổng, ta sẽ tiến hành theo 3 bước sau:

  1. Kiểm tra cổng định cấu hình có phải là cổng truy cập không? Vì Port Security chỉ được thực hiện trên cổng truy cập.
  2. Kích hoạt bảo mật cổng bằng lệnh cấu hình.
  3. Xác định địa chỉ MAC được phép gửi khung thông qua cổng.

Ngoài ra ta sẽ có 2 bước tùy chọn:

  1. Xác định hành động mà Switch sẽ thực hiện khi nhận Frame từ một thiết bị trái phép. Có 3 lựa chọn gồm: Protect (bảo vệ), Restrict (hạn chế) và Shutdown(tắt cổng). Cả 3 lựa chọn này đều loại bỏ lưu lượng truy cập từ thiết bị trái phép.
  2. Xác định số lượng địa chỉ MAC tối đa có thể được sử dụng trên cổng.

Cấu hình Port Security

Dưới đây sẽ là ví dụ chi tiết về cách cấu hình Port Security:

– Xác định cổng trên switch mà bạn muốn áp dụng Port Security:

Switch> enable
Switch# configure terminal
Switch(config)# interface gi0/1 # Thay thế gi0/1 bằng cổng cụ thể bạn muốn cấu hình

– Bật tính năng Port Security:

Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security

– Cấu hình giới hạn địa chỉ MAC:

Switch(config-if)# switchport port-security maximum 2 # Giới hạn số lượng địa chỉ MAC được phép
Switch(config-if)# switchport port-security violation restrict # Xác định hành vi khi có sự vi phạm (restrict: từ chối và ghi log)

– Xác định địa chỉ MAC tùy chọn:

Switch(config-if)# switchport port-security mac-address sticky

– Lưu câu hình:

Switch(config-if)# end
Switch# write memory # Lưu cấu hình

Nhược điểm của Port Security

Port Security có những nhược điểm sau:

  • Việc quản lý và cấu hình Port Security rất phức tạp. Đặc biệt trong các môi trường mạng lớn.
  • Có thể xảy ra khó khăn khi tích hợp với bảo mật khác như 802.1X hoặc VLANs.
  • Không thích hợp với môi trường mạng có thiết bị thay đổi liên tục.
  • Tăng thiết bị phần cứng.
  • Không thể ngăn chặn hoàn toàn MAC Proofing.

Mong rằng qua bài viết này, bạn hiểu rõ hơn về tính năng Port Securtiy từ khái hiệm đến cách sử dụng thực tế.

Thông Tin Về Tác Giả

Tổng Biên Tập at Thiết Bị Mạng Giá Rẻ | Website | + posts

Nguyễn Thành Hợp là một chuyên gia về lĩnh vực thiết bị mạng, viễn thông gần 10 năm kinh nghiệm với nhiều chứng chỉ chất lượng như CCNA 200-301, CCNP, CCDA, CCDP,... do Cisco cung cấp. Sở thích cá nhân là khám phá những kiến thức mới mẻ về công nghệ nói chung và đặc biệt là liên quan đến lĩnh vực mạng!