Port Security là gì? Các phương pháp triển khai Port Security hiệu quả

Port Security là một cơ chế quan trọng trong việc bảo vệ mạng ở tầng liên kết dữ liệu (Data Link Layer - Layer 2) theo mô hình OSI. Trong bài viết này, hãy cùng Việt Tuấn tìm hiểu chi tiết hơn về Port security nhé!

Port Security là gì?

Bảo mật cổng (Port Security) là một tính năng quan trọng được triển khai trên các thiết bị chuyển mạch (switch) để kiểm soát và hạn chế lưu lượng truy cập mạng dựa trên địa chỉ MAC (Media Access Control) của các thiết bị kết nối. Mục tiêu chính của bảo mật cổng là ngăn chặn các cuộc tấn công giả mạo địa chỉ MAC, flood MAC và các truy cập trái phép vào mạng.

Cơ chế hoạt động của Port Security

Port Security hoạt động bằng cách giám sát địa chỉ MAC của các thiết bị kết nối với từng cổng của switch. Khi một thiết bị kết nối với một cổng đã được cấu hình bảo mật cổng, switch sẽ "học" (learn) địa chỉ MAC của thiết bị đó và lưu nó vào bảng địa chỉ MAC của cổng (port MAC address table). Sau đó, switch sẽ chỉ cho phép lưu lượng từ các địa chỉ MAC đã được học này đi qua cổng. Bất kỳ lưu lượng nào từ một địa chỉ MAC không được biết đến sẽ bị chặn.

Các Chế độ cấu hình bảo mật cổng

Có nhiều chế độ cấu hình bảo mật cổng (Port Security) được triển khai trên các thiết bị chuyển mạch (switch) layer 2, mỗi chế độ cung cấp một cơ chế xử lý riêng biệt đối với các vi phạm bảo mật, nhằm ngăn chặn các truy cập trái phép và bảo vệ mạng khỏi các cuộc tấn công giả mạo địa chỉ MAC.

>>> Tìm hiểu thêm thông tin về Switch Layer 2 qua bài viết: Switch Layer 2 là gì? Chức năng, đặc điểm của switch Layer 2

1. Static (Tĩnh)

Trong chế độ Static, địa chỉ MAC của các thiết bị được phép kết nối với cổng được cấu hình thủ công bởi quản trị viên. Các địa chỉ MAC này được lưu trữ trong bảng địa chỉ MAC của cổng (port's MAC address table) và được gán tĩnh cho cổng đó. Đây là phương pháp bảo mật nghiêm ngặt nhất vì chỉ những thiết bị có địa chỉ MAC được cấu hình trước mới được phép kết nối giúp ngăn chặn hoàn toàn các thiết bị lạ xâm nhập vào mạng thông qua cổng đó.

Tuy nhiên, việc cấu hình thủ công cho từng địa chỉ MAC trên mỗi cổng là một quá trình tốn thời gian, đặc biệt là trong các mạng có số lượng thiết bị lớn, làm cho chế độ Static khó triển khai và quản lý trong các môi trường mạng động, nơi các thiết bị thường xuyên được thêm vào hoặc gỡ bỏ. Chế độ Static thường được sử dụng cho các cổng kết nối với các thiết bị quan trọng, chẳng hạn như máy chủ, router hoặc các thiết bị mạng khác.

2. Dynamic (Động)

Chế độ Dynamic cho phép switch tự động học địa chỉ MAC của các thiết bị kết nối vào cổng. Khi một thiết bị kết nối, switch sẽ ghi lại địa chỉ MAC của thiết bị đó vào bảng địa chỉ MAC của cổng. Số lượng địa chỉ MAC tối đa mà một cổng có thể học được có thể được giới hạn bằng lệnh cấu hình maximum.

Chế độ Dynamic đơn giản và dễ triển khai hơn so với Static vì không yêu cầu cấu hình thủ công cũng như phù hợp với các mạng có nhiều thiết bị và thường xuyên có sự thay đổi, thường được sử dụng cho các cổng kết nối với máy tính người dùng hoặc các thiết bị đầu cuối khác, nơi tính linh hoạt và dễ quản lý được ưu tiên.

Do địa chỉ MAC được học một cách động, nên khi switch khởi động lại, bảng địa chỉ MAC của cổng sẽ bị xóa. Ngoài ra, chế độ Dynamic cũng dễ bị tấn công MAC flooding nếu không được cấu hình giới hạn số lượng địa chỉ MAC.

3. Sticky

Chế độ Sticky kết hợp ưu điểm của cả hai chế độ Static và Dynamic. Ban đầu, chế độ này hoạt động tương tự như chế độ Dynamic, tự động học địa chỉ MAC của các thiết bị kết nối. Tuy nhiên, điểm khác biệt là các địa chỉ MAC được học sẽ được lưu vào cấu hình đang chạy (running configuration). Hơn nữa, bạn có thể tùy chọn lưu các địa chỉ này vào cấu hình khởi động (startup configuration) bằng lệnh copy running-config startup-config, giúp duy trì chúng sau khi switch khởi động lại.

Chế độ Sticky cung cấp sự cân bằng giữa bảo mật và tính tiện lợi, tự động học địa chỉ MAC, giúp giảm thiểu công việc cấu hình thủ công, đồng thời giữ lại thông tin này sau khi switch khởi động lại, đảm bảo tính ổn định của mạng. Mặc dù Sticky giúp lưu cấu hình nhưng nếu có sự thay đổi thiết bị kết nối, bạn vẫn cần phải xóa cấu hình cũ và để switch học lại địa chỉ MAC mới.

Chế độ Sticky là một lựa chọn tốt cho hầu hết các môi trường mạng, đặc biệt là các mạng vừa và nhỏ cần sự kết hợp giữa bảo mật và dễ quản lý.

Các hành động vi phạm (Violation Actions)

Khi một vi phạm bảo mật xảy ra (ví dụ: một thiết bị với địa chỉ MAC không được biết đến cố gắng kết nối), switch có thể thực hiện một trong các hành động sau:

• Protect (Bảo vệ): Lưu lượng từ địa chỉ MAC vi phạm sẽ bị chặn, nhưng không có thông báo nào được gửi đi.
• Restrict (Hạn chế): Lưu lượng từ địa chỉ MAC vi phạm sẽ bị chặn và một thông báo SNMP (Simple Network Management Protocol) sẽ được gửi đi. Bộ đếm vi phạm cũng sẽ được tăng lên.
• Shutdown (Tắt): Cổng sẽ bị tắt hoàn toàn và cần phải được kích hoạt lại bằng tay hoặc bằng lệnh cấu hình. Đây là hành động mạnh nhất và được khuyến nghị sử dụng trong các môi trường yêu cầu bảo mật cao.

Cấu hình Port Security

Xác định cổng trên switch mà bạn muốn áp dụng Port Security:

Bật tính năng Port Security:

Cấu hình giới hạn địa chỉ MAC:

Xác định địa chỉ MAC tùy chọn:

Lưu cấu hình:

Dưới đây là một ví dụ về cấu hình Port Security trên thiết bị Cisco IOS:

Chú thích:

• Switchport mode access: Đặt cổng vào chế độ truy cập (access mode).
• Switchport port-security: Kích hoạt bảo mật cổng.
• Switchport port-security maximum 2: Giới hạn số lượng địa chỉ MAC được phép trên cổng là 2.
• Switchport port-security mac-address sticky: Sử dụng chế độ "Sticky" để học địa chỉ MAC.
• Switchport port-security violation shutdown: Tắt cổng khi có vi phạm.

Ưu nhược điểm của Port Security

Lợi ích 

• Ngăn chặn giả mạo địa chỉ MAC: Port Security ngăn chặn kẻ tấn công sử dụng địa chỉ MAC của một thiết bị hợp pháp để truy cập mạng.
• Hạn chế tấn công Flood MAC: Bằng cách giới hạn số lượng địa chỉ MAC trên mỗi cổng giúp ngăn chặn tấn công flood MAC, làm tràn bảng địa chỉ MAC của switch và gây ra tình trạng chuyển mạch broadcast không mong muốn.
• Kiểm soát truy cập mạng: Cho phép bạn kiểm soát chặt chẽ các thiết bị được phép kết nối vào mạng.
• Tăng cường an ninh mạng: Port Security là một lớp bảo vệ quan trọng giúp tăng cường an ninh mạng tổng thể.

Hạn chế

• Khó quản lý trong mạng lớn: Cấu hình tĩnh có thể trở nên khó khăn trong các mạng lớn với nhiều thiết bị.
• Ảnh hưởng đến tính di động: Khi người dùng di chuyển giữa các cổng khác nhau, địa chỉ MAC của họ có thể cần được cấu hình lại.
• Không bảo vệ chống lại tấn công lớp mạng: Port Security chỉ hoạt động ở lớp liên kết dữ liệu (layer 2) và không bảo vệ chống lại các tấn công ở lớp mạng (layer 3) như tấn công IP spoofing.

Các phương pháp triển khai Port Security hiệu quả

• Sử dụng chế độ Sticky: Chế độ sticky kết hợp tính linh hoạt của chế độ động và tính ổn định của chế độ tĩnh, giúp đơn giản hóa việc quản lý.
• Giới hạn số lượng địa chỉ MAC hợp lý: Xác định số lượng thiết bị dự kiến kết nối với mỗi cổng và đặt giới hạn phù hợp.
• Sử dụng hành động Shutdown cho các vi phạm: Hành động shutdown cung cấp mức bảo vệ cao nhất bằng cách ngăn chặn ngay lập tức truy cập trái phép.
• Kết hợp với các biện pháp bảo mật khác: Bảo mật cổng nên được triển khai kết hợp với các biện pháp bảo mật khác như VLAN, ACL, và 802.1X để tạo ra một hệ thống bảo mật toàn diện.
• Giám sát và ghi nhật ký: Theo dõi các sự kiện vi phạm bảo mật cổng và ghi nhật ký để phát hiện và ứng phó kịp thời với các mối đe dọa.

Port Security với các giải pháp bảo mật khác

Port Security không hoạt động độc lập mà kết hợp chặt chẽ với các giải pháp bảo mật khác để tạo thành một hệ thống phòng thủ đa lớp, giảm thiểu nguy cơ xâm nhập và tấn công mạng. Cụ thể, bảo mật cổng thường được triển khai song song và bổ trợ cho các công nghệ sau:

Mạng LAN ảo (VLAN - Virtual LAN):

VLAN cho phép phân chia một mạng vật lý thành nhiều mạng logic riêng biệt giúp cô lập lưu lượng mạng giữa các nhóm người dùng hoặc thiết bị khác nhau, ngăn chặn các cuộc tấn công lan truyền trong mạng (ví dụ: broadcast storm). Khi kết hợp với Port Security, VLAN giúp hạn chế phạm vi ảnh hưởng của một cổng bị xâm nhập vì kẻ tấn công chỉ có thể truy cập vào VLAN mà cổng đó được gán, không thể dễ dàng tiếp cận các phần khác của mạng.

Danh sách kiểm soát truy cập (ACL - Access Control List)

ACL là một tập hợp các quy tắc được cấu hình trên router hoặc switch để kiểm soát lưu lượng mạng dựa trên nhiều tiêu chí, bao gồm địa chỉ IP nguồn và đích, số cổng TCP/UDP, giao thức và các tùy chọn khác. ACL hoạt động như một bộ lọc, cho phép hoặc từ chối lưu lượng dựa trên các quy tắc đã được định nghĩa. Khi kết hợp với Port Security, ACL cung cấp khả năng kiểm soát truy cập chi tiết hơn. Ví dụ, bảo mật cổng có thể giới hạn số lượng thiết bị được kết nối vào một cổng, trong khi ACL có thể xác định loại lưu lượng nào được phép đi qua cổng đó (chỉ cho phép lưu lượng web (port 80/443) và SSH (port 22)).

IEEE 802.1X

Đây là một chuẩn xác thực dựa trên cổng, yêu cầu người dùng và thiết bị phải được xác thực trước khi được phép truy cập vào mạng. 802.1X sử dụng giao thức EAP (Extensible Authentication Protocol) để trao đổi thông tin xác thực giữa supplicant (thiết bị yêu cầu truy cập), authenticator (switch hoặc access point) và authentication server (ví dụ: RADIUS server). Khi kết hợp với bảo mật cổng, 802.1X đảm bảo rằng chỉ những người dùng và thiết bị được ủy quyền mới có thể kết nối vào mạng, ngay cả khi họ có quyền truy cập vật lý vào cổng. 

Tổng kết

Port Security là một công cụ mạnh mẽ để tăng cường an ninh mạng bằng cách kiểm soát truy cập dựa trên địa chỉ MAC. Tuy nhiên, cần lưu ý Port Security không phải là giải pháp duy nhất, bạn cần phải xem xét trong bối cảnh tổng thể của chiến lược bảo mật mạng. Việc giám sát và cập nhật thường xuyên cũng rất quan trọng để đảm bảo tính hiệu quả của Port Security trong môi trường mạng luôn thay đổi.