Phòng ngự Lớp 2 trống lại sự tấn
công.
Chương
này khám phá những hoạt động tự nhiên của lớp 2 và tại sao nó lại nhận được sự
quan tâm lớn từ hacker. Sau đó đến gần với cái đích để làm giảm những kiểu tấn
công lớp 2. Những chiến lược bao gồm phương pháp luyện tập tốt nhất để bảo mật
mạng lớp 2. Bảo mật chống lại tấn công VLAN HOPPING, ngăn ngừa một hacker thao
tác STP, dừng dhcp và ARP spoofing, ngăn ngừa tấn công CAM table overflow (
Content address memory) và disallowing MAC
address spoofing.
Những topic liên quan đến chương này
bao gồm: Port security, Switch port analyzer (SPAN), Remote SPAN(RSPAN), Vlan
access control list (VACL) private VLANs, rate limiting, và MAC address
notification.
Tổng quan hoạt động lớp 2 : môi trường
chia sẻ hub phần lớn đã bị loại khoải mạng ngày nay so vơi thiết bị switch. Một
Ethernet switch học những địa chỉ MAC kết nối tới port của nó. Sau nó khi nó nhận
đc 1 frame đến switch, switch sẽ đẩy frame đó đến đựa trên địa chỉ MAC đích.
Tuy nhiên , nếu switch không có địa chỉ MAC đích đc lưu trữ trên bảng CAM hay
còn gọi là bảng MAC, thì frame đó sẽ được đẩy ra tất cả các cổng của switch, loại
trừ cổng nó nhận frame.
Nhiều Ethernet switch có thể nhóm những
port riêng thành các Vlan. Nơi mà mỗi vlan là 1 vùng broadcast domain. Trafic
phải được định tuyến từ vlan này đến vlan khác.
Swtich hoạt động động ở lớp 2 mô hình OSI.
Nếu 1 haker tấn công chiếm quyền điều khiển của hệ thống switch lớp 2, tất cả
các lớp trên có thể sẽ bị tấn công. Như là 1 kêt quả tất yếu. Lớp 2 switch là 1
nơi hấp dẫn những attacker nhất.
Preventing VLAN Hopping
Một tấn công VLAN hopping cho phép traffic
từ một VLAN truy cập tới những vlan khác mà không cần định tuyến. Một attacker
có thể sự dụng vlan hopping attack để nghe trôm traffic trên các vlan khác.
Có 2 kiểu tấn công VLAN hopping là :
Switch spoofing và double tagging.
1. Switch Spoofing
Mặc định
switch cicso mang tất cả những traffic của tất cả các vlan. Vì vậy nếu một
haker có thể thuyết phục một switch đi vào trunking mode, attacker có thể nhìn
thấy tất cả các traffic trên tất cả các vlan. Trong một vài trường hợp kiểu tấn
công này có thể sử dụng để tìm kiếm username và password credential, để hacker
sử dụng cho lần tấn công sau.
Một vài dòng
switch cicso mặc định để auto mode trunking. Cái này có ý nghĩa rằng những
port tự động trở thành trunking port nếu
nó nhận DTP frame ( Dynamic trunking protocol).
Một haker có thể thực hiện biến cổng switch của anh ấy thành cổng trunking
mode. Bằng cách cài phần mềm trên máy tính lừa gạt DTP frame hoặc kết nối 1
switch giả tới cổng của anh ấy.
Để trống lại
switch spoofing, bạn có thể tắt trunking
trên tất cả những port không yc thực hiện mode trunks và tắt DTP trên những cổng
ko cần trở thành trunk port.
Disable Trunking
Switch
(config)# interface gigaethernet 0/3
Switch
(config -if)# switchport mode access
Preventing sử dung DTP ( ngăn ngừa sử dụng DTP)
Switch (config-if)# switchport trunk encapsulationg dot1q
Switch (config-if)#swtichport mode trunk
Switch (config-if)#swtichport nonegotiate
2. Double Tagging
Trên đường Trunk chuẩn
IEEE 802.1Q ,một VLAN được thiết kế là native VLAN. Native vlan không thêm bất
kỳ tagging nào tới frame trong quá trình chuyền từ một switch này đến những
switch khác.
Nếu máy tính của hacker
thuộc cùng native vlan, hacker có thể dùng đặc thù của native vlan làm đòn bẩy
để gửi traffic, cái mà có hai tag chuẩn
802.1q. Đặc trưng riêng, traffic `s outer tag cho native vlan và traffic inner tag cho
vlan đích, cái mà attacker muốn gửi traffic.
Mô hình :
Attacker(VLAN 1) => sw1; sw1=> sw2; sw2 =>
victim(VLAN 100).
Attacker gửi dữ liệu từ
máy mình vlan1 đến máy victim vlan 100. Do attacker kết nối đến sw1 thuộc
native vlan, nên khi dữ liệu qua sw1 sẽ ko bị gắn tag, ở đây outer tag sẽ bị gỡ
bỏ trên frame của sw1.Khi frame của sw1 được gửi đến sw2, sw2 sẽ đóng inner tag
cho frame. Inner tag ở đây là vlan 100 , vlan của máy victim. Sw2 gửi traffic
out tới vlan đích(vlan 100).
Để ngăn ngừa một tấn công
VLAN hopping sử dụng double tagging, không sử dụng native vlan để gửi traffic
người dung. Bạn có thực hiện điều này bằng cách tạo 1 native vlan trên tổ chức
của bạn không có bất kỳ port nào. Vlan này không sử dụng là duy nhất cho mục
đích gán native vlan.
SW(config-if)# switchport trunk native vlan 400
Bảo vệ trống lại một tấn công STP attack.
Trong kiểu tấn công này Attacker dùng một thiết
bị đóng giả một switch trong hệ thống có chạy giao thức STP. Switch giả này sẽ
buộc các switch khác trong hệ thống tính tóan lại STP và nó sẽ gửi các BPDUs với
switch priority là nhỏ nhất để được chọn là root bridge trong hệ thống. Và từ
đó mô hình loop-free bị thay đổi, một số đường link có thể bị block và toàn bộ dữ
liệu đổ về switch giả của Attacker.
2 khái niệm được đưa ra để bảo vệ mạng
từ kiểu tấn công STP này
+ Bảo vệ với Root Guard
: tính năng root guard có thể được bật trên tất cả những cổng của sw trên mạng,
root bridge thì không nên cấu hình root guard (đó là , bất kỳ port nào không phải
là root port). Nếu một port được cấu hình Root Guard nhận một superior BPDU,
thay vì tin BPDU, port đi tới trạng thái root-inconsistent(trạng thái mâu thuẫn).
Khi port ở trạng thái này, không dữ liệu người dùng nào được chuyển qua nó. Tuy
nhiên sau khi superior BPDU stop, port trở lại trạng thái forwarding.
Cấu hình
Root Guard
Sw(config)# interface giga 0/1
Sw(config-if)#
spanning-trê guard root
+ Bảo vệ
với BPDU Guard : Tính năng BPDU Guard được bật trên tất cả những cổng được cấu
hình với tính năng Cisco Portfast. Tính
năng PortFast được bật trên tất cả những cổng kết nối tới thiết bị người dùng
cuối như là PC. Nó giảm khoảng thời gian yêu cầu cho port chuyển sang trạng
thái forwarding sau khi được kết nối. Về logic portfast là port mà kết nối tới
thiết bị người dùng cuối, không tiềm tàng tạo một topology loop. Vì vậy, port
có thể chuyển trạng thái sang forwarding sớm bằng cách bỏ qua listening và
learning. bật
tính năng STP BPDU guard ở global configuration mode. Tính năng này không cho
phép các PortFast nhận các gói tin BPDUs
Cấu hình BPDU Guard
Sw(config)#
interface giga 0/1
Sw(config-if)#
spanning-tree portfast bpduguard
Bản dưới đây chỉ ra tổng
quan về tấn công Root Guard và BPDU Guard.
|
STP Attack mitigation method
|
Description
|
|
Root guard
|
Sau khi nhận 1 supperior BPDU, port được cấu hình Root Guard sẽ
đi đến trạng thái mâu thuẫn( root-inconsistent), Ở trạng thái này port không forwarding nữa. Sau khi superior
BPDU dừng lại, port trở lại trạng thái forward
|
|
BPDU Guard
|
BPDU guard được thiết kế để làm việc trên những port được cấu
hình tính năng PortFast. Nếu port fast nhận được BPDU thì port sẽ disable đảm
bảo cho việc secure ko thêm switch.
|
Combating DHCP Server
Spoofing
Ngày
nay, phần lớn user thực hiện request ip qua dhcp server. DHCP server nhận được
request của client và response request bao gồm ( ip, subnet mac, getway, dns) gửi
tới client.
Tuy
nhiên, nếu hacker kết nối 1 dhcp server giả vào mạng, và thực hiện response
dhcp request cho client. Nếu trong mô hình mạng có 2 con dhcp, thì con nào gần
client hơn sẽ response gói tin dhcp request của client trước. ở đây dhcp server
sẽ trả lời gói tin request của người dùng trc vì nó gần client hơn.
Mục
đích của tấn công dhcp snoofing là làm thay đổi cấu trúc của gói dhcp respon của
dhcp server thật. DHCP giả sẽ trả lời các thông số ip và gateway có thể là
gateway của attacker để khi người dùng request dhcp thành công, mọi traffic đều
đi qua máy của hacker ,hacker có thể bắt tất cả các traffic qua nó, ngoài ra
còn gây hỗn loạn mạng.
Tinh
năng DHCP snooping trên switch cisco
có thể được sử dugnj để trống lại tấn công dhcp server spoofing. Với giải pháp
này, sw cisco được cấu hình trên 2 trạng thái port, là trusted và untrusted. Nếu
port ở trạng thái trusted, nó cho phép nhận dhcp response, còn nếu ở trạng thái
untrust thì nó ko cho phép nhận dhcp response.Và nếu port ở trạng thái
untrusted nó ko cho phép nhận dhcp response, và nếu 1 dhcp response được thực
hiệnv và untrusted port thì port sẽ bị disable.
Bật
tính năng DHCP SNOOPING trên sw:
Enable dhcp snooping cho vlan 1,100 hoặc
ranger vlan 200 tới 210 sử dụng lệnh
sau:
SW(config)# ip dhcp snooping vlan 1,100,200-210
Sau khi bạn enable tính năng dhcp snooping, chỉ ra những interface
trên switch được cấu hình port trusted
SW(config-if)# ip dhcp snooping trust
Còn
những kiểu tấn công DHCP khác như là DoS Deny of Service, trống lại dhcp
server. Attacker thực hiện request ip làm cho ip trong pool của dhcp server bị
cạn kiệt hết ip bằng những địa chỉ mac giả mạo. Để tránh tấn côn DoS dhcp, tính
năng dhcp snooping có thể đc sử dụng để giới hạn số lượng dhcp request trong 1
khoảng thời gian, đc cho phép trên 1 cổng.
Ví
dụ dưới đây giới hạn 3 messages trên 1 giây, sử dụng cú pháp sau:
Sw(config-if)# ip dhcp snooping limit rate
3
Using Dynamic ARP Inspection
( còn tiếp................................)
Không có nhận xét nào:
Đăng nhận xét