Chương này khám
phá những hoạt động tự nhiên của lớp 2 và tại sao nó lại nhận được sự quan tâm
lớn từ hacker. Sau đó đến gần với cái đích để làm giảm những kiểu tấn công lớp
2. Những chiến lược bao gồm phương pháp luyện tập tốt nhất để bảo mật mạng lớp
2. Bảo mật chống lại tấn công VLAN HOPPING, ngăn ngừa một hacker thao tác STP,
dừng dhcp và ARP spoofing, ngăn ngừa tấn công CAM table overflow ( Content
address memory) và disallowing MAC address
spoofing.
Những topic liên quan đến chương này bao gồm: Port security,
Switch port analyzer (SPAN), Remote SPAN(RSPAN), Vlan access control list
(VACL) private VLANs, rate limiting, và MAC address notification.
Tổng quan hoạt động lớp 2 : môi trường chia sẻ hub phần lớn đã bị
loại khoải mạng ngày nay so vơi thiết bị switch. Một Ethernet switch học những
địa chỉ MAC kết nối tới port của nó. Sau nó khi nó nhận đc 1 frame đến switch,
switch sẽ đẩy frame đó đến đựa trên địa chỉ MAC đích. Tuy nhiên , nếu switch
không có địa chỉ MAC đích đc lưu trữ trên bảng CAM hay còn gọi là bảng MAC, thì
frame đó sẽ được đẩy ra tất cả các cổng của switch, loại trừ cổng nó nhận
frame.
Nhiều Ethernet switch có thể nhóm những port riêng thành các
Vlan. Nơi mà mỗi vlan là 1 vùng broadcast domain. Trafic phải được định tuyến từ
vlan này đến vlan khác.
Swtich hoạt động động ở lớp 2 mô hình OSI. Nếu 1 haker tấn công
chiếm quyền điều khiển của hệ thống switch lớp 2, tất cả các lớp trên có thể sẽ
bị tấn công. Như là 1 kêt quả tất yếu. Lớp 2 switch là 1 nơi hấp dẫn những
attacker nhất.
Preventing VLAN Hopping
Một tấn công VLAN hopping cho phép traffic từ một VLAN truy cập
tới những vlan khác mà không cần định tuyến. Một attacker có thể sự dụng vlan
hopping attack để nghe trôm traffic trên các vlan khác.
Có 2 kiểu tấn công VLAN hopping là : Switch spoofing và double tagging.
1. Switch Spoofing
Mặc định switch cicso mang tất
cả những traffic của tất cả các vlan. Vì vậy nếu một haker có thể thuyết phục một
switch đi vào trunking mode, attacker có thể nhìn thấy tất cả các traffic trên
tất cả các vlan. Trong một vài trường hợp kiểu tấn công này có thể sử dụng để
tìm kiếm username và password credential, để hacker sử dụng cho lần tấn công
sau.
Một vài dòng switch cicso mặc
định để auto mode trunking. Cái này có ý nghĩa rằng những port tự động trở thành trunking port nếu nó nhận DTP frame ( Dynamic trunking protocol).
Một haker có thể thực hiện biến cổng switch của anh ấy thành cổng trunking
mode. Bằng cách cài phần mềm trên máy tính lừa gạt DTP frame hoặc kết nối 1
switch giả tới cổng của anh ấy.
Để trống lại switch spoofing,
bạn có thể tắt trunking trên tất cả những
port không yc thực hiện mode trunks và tắt DTP trên những cổng ko cần trở thành
trunk port.
Disable Trunking
Switch (config)# interface
gigaethernet 0/3
Switch (config -if)#
switchport mode access
Preventing sử dung DTP ( ngăn ngừa sử dụng DTP)
Switch (config-if)# switchport trunk encapsulationg dot1q
Switch (config-if)#swtichport mode trunk
Switch (config-if)#swtichport nonegotiate
2. Double Tagging
Trên đường Trunk chuẩn IEEE
802.1Q ,một VLAN được thiết kế là native VLAN. Native vlan không thêm bất kỳ
tagging nào tới frame trong quá trình chuyền từ một switch này đến những switch
khác.
Nếu máy tính của hacker thuộc
cùng native vlan, hacker có thể dùng đặc thù của native vlan làm đòn bẩy để gửi
traffic, cái mà có hai tag chuẩn 802.1q.
Đặc trưng riêng, traffic `s outer tag cho native vlan và traffic inner tag cho
vlan đích, cái mà attacker muốn gửi traffic.
Mô hình :
Attacker(VLAN 1) => sw1; sw1=> sw2; sw2 =>
victim(VLAN 100).
Attacker gửi dữ liệu từ máy
mình vlan1 đến máy victim vlan 100. Do attacker kết nối đến sw1 thuộc native
vlan, nên khi dữ liệu qua sw1 sẽ ko bị gắn tag, ở đây outer tag sẽ bị gỡ bỏ
trên frame của sw1.Khi frame của sw1 được gửi đến sw2, sw2 sẽ đóng inner tag
cho frame. Inner tag ở đây là vlan 100 , vlan của máy victim. Sw2 gửi traffic
out tới vlan đích(vlan 100).
Để ngăn ngừa một tấn công VLAN
hopping sử dụng double tagging, không sử dụng native vlan để gửi traffic người
dung. Bạn có thực hiện điều này bằng cách tạo 1 native vlan trên tổ chức của bạn
không có bất kỳ port nào. Vlan này không sử dụng là duy nhất cho mục đích gán
native vlan.
SW(config-if)# switchport trunk native vlan 400
Bảo vệ trống lại một tấn công STP attack.
Trong kiểu tấn công này Attacker dùng một thiết
bị đóng giả một switch trong hệ thống có chạy giao thức STP. Switch giả này sẽ
buộc các switch khác trong hệ thống tính tóan lại STP và nó sẽ gửi các BPDUs với
switch priority là nhỏ nhất để được chọn là root bridge trong hệ thống. Và từ
đó mô hình loop-free bị thay đổi, một số đường link có thể bị block và toàn bộ dữ
liệu đổ về switch giả của Attacker.
2 khái niệm được đưa ra để bảo vệ mạng
từ kiểu tấn công STP này
+ Bảo vệ với Root Guard
: tính năng root guard có thể được bật trên tất cả những cổng của sw trên mạng,
root bridge thì không nên cấu hình root guard (đó là , bất kỳ port nào không phải
là root port). Nếu một port được cấu hình Root Guard nhận một superior BPDU,
thay vì tin BPDU, port đi tới trạng thái root-inconsistent(trạng thái mâu thuẫn).
Khi port ở trạng thái này, không dữ liệu người dùng nào được chuyển qua nó. Tuy
nhiên sau khi superior BPDU stop, port trở lại trạng thái forwarding.
Cấu hình Root Guard
Sw(config)# interface giga 0/1
Sw(config-if)#
spanning-trê guard root
+ Bảo vệ với BPDU Guard
: Tính năng BPDU Guard được bật trên tất cả những cổng được cấu
hình với tính năng Cisco Portfast. Tính
năng PortFast được bật trên tất cả những cổng kết nối tới thiết bị người dùng
cuối như là PC. Nó giảm khoảng thời gian yêu cầu cho port chuyển sang trạng
thái forwarding sau khi được kết nối. Về logic portfast là port mà kết nối tới
thiết bị người dùng cuối, không tiềm tàng tạo một topology loop. Vì vậy, port
có thể chuyển trạng thái sang forwarding sớm bằng cách bỏ qua listening và
learning. bật
tính năng STP BPDU guard ở global configuration mode. Tính năng này không cho
phép các PortFast nhận các gói tin BPDUs
Cấu
hình BPDU Guard
Sw(config)# interface
giga 0/1
Sw(config-if)# spanning-tree
portfast bpduguard
Bản dưới đây chỉ ra tổng quan về tấn công
Root Guard và BPDU Guard.
|
STP Attack mitigation method
|
Description
|
|
Root guard
|
Sau khi nhận 1 supperior BPDU, port được cấu hình Root Guard sẽ
đi đến trạng thái mâu thuẫn( root-inconsistent), Ở trạng thái này port không forwarding nữa. Sau khi superior
BPDU dừng lại, port trở lại trạng thái forward
|
|
BPDU Guard
|
BPDU guard được thiết kế để làm việc trên những port được cấu
hình tính năng PortFast. Nếu port fast nhận được BPDU thì port sẽ disable đảm
bảo cho việc secure ko thêm switch.
|
Combating DHCP Server Spoofing
Ngày
nay, phần lớn user thực hiện request ip qua dhcp server. DHCP server nhận được
request của client và response request bao gồm ( ip, subnet mac, getway, dns) gửi
tới client.
Tuy
nhiên, nếu hacker kết nối 1 dhcp server giả vào mạng, và thực hiện response
dhcp request cho client. Nếu trong mô hình mạng có 2 con dhcp, thì con nào gần
client hơn sẽ response gói tin dhcp request của client trước. ở đây dhcp server
sẽ trả lời gói tin request của người dùng trc vì nó gần client hơn.
Mục
đích của tấn công dhcp snoofing là làm thay đổi cấu trúc của gói dhcp respon của
dhcp server thật. DHCP giả sẽ trả lời các thông số ip và gateway có thể là
gateway của attacker để khi người dùng request dhcp thành công, mọi traffic đều
đi qua máy của hacker ,hacker có thể bắt tất cả các traffic qua nó, ngoài ra
còn gây hỗn loạn mạng.
Tinh
năng DHCP snooping trên switch cisco
có thể được sử dugnj để trống lại tấn công dhcp server spoofing. Với giải pháp
này, sw cisco được cấu hình trên 2 trạng thái port, là trusted và untrusted. Nếu
port ở trạng thái trusted, nó cho phép nhận dhcp response, còn nếu ở trạng thái
untrust thì nó ko cho phép nhận dhcp response.Và nếu port ở trạng thái
untrusted nó ko cho phép nhận dhcp response, và nếu 1 dhcp response được thực
hiệnv và untrusted port thì port sẽ bị disable.
Bật tính
năng DHCP SNOOPING trên sw:
Enable dhcp snooping cho vlan 1,100 hoặc ranger vlan 200 tới
210 sử dụng lệnh sau:
SW(config)#
ip dhcp snooping vlan 1,100,200-210
Sau khi bạn enable tính năng dhcp snooping, chỉ ra những interface trên switch được cấu hình port trusted
SW(config-if)# ip dhcp snooping trust
Còn những
kiểu tấn công DHCP khác như là DoS Deny of Service, trống lại dhcp server.
Attacker thực hiện request ip làm cho ip trong pool của dhcp server bị cạn kiệt
hết ip bằng những địa chỉ mac giả mạo. Để tránh tấn côn DoS dhcp, tính năng
dhcp snooping có thể đc sử dụng để giới hạn số lượng dhcp request trong 1 khoảng
thời gian, đc cho phép trên 1 cổng.
Ví dụ
dưới đây giới hạn 3 messages trên 1 giây, sử dụng cú pháp sau:
Sw(config-if)# ip dhcp snooping limit rate 3
Using Dynamic ARP Inspection
Hay ghê. Cho mình share nhé ;) ghi nguồn
Trả lờiXóa