1 CHƯƠNG 6 CÁC THIẾT BỊ AN NINH LỚP 2 Chương này sẽ đề cập đến các nội dung sau đây:  Ngăn chặn các tấn công lớp 2: Phần này sẽ giải thích cách thức mà các Switch Cisco có thể được cấu hình để ngăn chặn các tấn công lớp 2 phổ biến.  Cisco Identity-Based Networking Services: phần này sẽ giải thích cách IBNS (Cisco Identity-Based Networking Services) sử dụng IEEE 802.1x và các kỹ thuật EAP (các giao thức chứng thực có thể mở rộng) để cho phép việc truy cập đến các tài nguyên mạng dựa trên quyền hạn của người sử dụng. Các đặc tính của các thiết bị LAN lớp 2 tạo cho các thiết bị này là cái đích thu hút các hacker. Các hacker có thể truy cập vào lớp 2 thì có thể truy cập vào các lớp cao hơn. Chương này sẽ giải thích các lỗ hổng của lớp 2 và mô tả các phương pháp hạn chế tối đa các điểm yếu này dựa vào các đặc tính sẵn có trong Switch Cisco. Các Switch cisco cũng thực hiên một chức năng không thể thiếu trong công nghệ IBNS (Cisco Identity-Based Networking Services). IBNS đưa ra cơ chế điều khiển truy cập đối với người sử dụng đến tài nguyên mạng. Chương này sẽ nghiên cứu các thành phần của IBNS bao gồm IEEE 802.1x và các kiểu EAP khác nhau (Các giao thức chứng thực có thể mở rộng). I. Ngăn chặn các tấn công lớp 2 Phần này sẽ giải thích hoạt động cơ bản của Switch lớp 2 và tại sao nó lại là mục tiêu tấn công của các hacker. Sau đó sẽ tiếp cận đến các phương pháp nhằm hạn chế các tấn công tại lớp 2 bao gồm: bảo vệ tấn công hopping trên VLAN, ngăn chặn một hacker thiết lập STP (Spanning Tree Protocol), làm ngưng DHCP server và giả mạo bảng ARP, ngăn chặn các tấn công làm tràn bảng CAM (Content Addressable Memory) và vô hiệu hóa việc giả tạo địa chỉ MAC. Các chủ đề khác để đảm bảo an ninh trên Switch như port security, Switch Port Analyzer (SPAN – hệ thống phân tích switch port), danh sách điều khiển truy cập VLAN (VACL), Remote SPAN (RSPAN)… 2 1. Xem lại hoạt động của Switch lớp 2 Môi trường chia sẻ sử dụng hubs đã từng phát triển rộng rãi nhưng ngày nay nó đã được thay thế bởi các Ethernet switch. Một Ethernet switch sẽ học địa chỉ MAC của các thiết bị được kết nối đến mỗi port của nó. Sau đó, khi một frame đến switch, switch sẽ đẩy frame dựa vào địa chỉ MAC đích của frame. Tuy nhiên nếu switch không có địa chỉ MAC đích của frame trong bảng CAM (hay còn gọi là bảng địa chỉ MAC) hoặc địa chỉ MAC đích của frame là địa chỉ broadcast thì frame sẽ được đẩy ra tất cả các port ngoại trừ port đã nhận frame đó. Đa số các Ethernet switch đều có thể chia các port thành các VLAN, mỗi VLAN là một miền broadcast. Các lưu lượng cần được định tuyến để đi từ VLAN này đến VLAN khác. Các Cisco switch hoạt động tại lớp 2 trong mô hình OSI ( lớp liên kết dữ liệu) _hình 6.1. Nếu một hacker chiếm được được quyền điều khiển tại lớp 2 thì các lớp cao hơn đều có thể bị điều khiển bởi hacker đó. Do đó mà các switch lớp 2 ví dụ switch của Cisco luôn là cái đích để các hacker tấn công. Hình 6.1 3 2. Các phương pháp cơ bản để bảo vệ switch lớp 2 Chương này sẽ đưa ra một số phương pháp để bảo vệ switch lớp 2. Sau đây là một số phương pháp cơ bản để bảo vệ lớp 2 – các phương pháp này sẽ được áp dụng đối với các switch * Telnet access: Người quản trị mạng có thể kết nối đến Cisco switch thông qua telnet. Mặc dù vậy telnet không phải là một giao thức an toàn. Nếu một hacker chặn được các packets telnet chúng có thể lấy được các thông tin cần thiết như password để có thể truy cập vào switch. Secure Shell (SSH) đã được đưa ra như là một giao thức kế tiếp của telnet bời vì nó là một giao thức tin cậy và có tính toàn vẹn dữ liệu. Người quản trị mạng có thể sử dụng cổng console của switch để truy cập cấu hình bởi vì cổng console có mức an ninh vật lý (password console). * SNMP access: Simple Network Management Protocol (SNMP) thường được sử dụng để thu thập thông tin về các thiết bị mạng. Các phiên bản cũ hơn của SNMP ( version 1 và version 2c) thì thiếu các kỹ thuật đảm bảo an toàn. Nếu sử dụng các phiên bản cũ này thì nó chỉ cho phép đọc các thông tin thay vì đọc và ghi thông tin. Bạn có thể sử dụng phiên bản cao hơn (version 3) bở vì ở phiên bản này nó thực hiện các kỹ thuật đảm bảo an toàn. * Reducing exposure: Người quản trị server có thể làm giảm các nguy cơ bị tấn công bằng cách tắt các dịch vụ không cần thiết. Người quản trị switch có thể làm giảm các nguy cơ này bằng cách tắt các dịch vụ không cần thiết và các cổng không được sử dụng. Thông thường người quản trị có thể giới hạn số lượng địa chỉ MAC mà một port của switch có thể học được. * Logging: Cũng giống như các routers, log cố gắng truy cập đến switch. Thông thường việc xem lại các log này có thể cảnh báo người quản trị switch trước các mối đe dọa tiềm ẩn. * Change control: Trong các mạng doanh nghiệp, nhiều người quản trị switch có thể chia sẻ nhiệm vụ cấu hình switch. Tuy nhiên, chính sách điều khiển thay đổi thực hiện kết hợp tốt nhất các hoạt động của người quản trị. * VLAN configuration: Dưới đây là các khuyến cáo khi cấu hình các switch VLANs: + Cấu hình các port mà không tạo thành một trunk đến một trunk là off 4 + Không gửi dữ liệu người sử dụng trên Native VLAN + Sử dụng private VLAN để ngăn chặn một hacker chiếm quyền điểu khiển trên một host của VLAN tiến tới chiếm quyền điểu khiển các host khác trên cùng VLAN đó 3. Ngăn chặn VLAN hopping Một cuộc tấn công VLAN hopping cho phép lưu lượng đi từ VLAN này sang VLAN khác. Ví dụ một hacker có thể sử dụng một cuộc tấn công VLAN hopping để nghe lén các lưu lượng trong đó PC của hacker được giả danh là có quyền thực hiện việc này để cô lập hoặc gửi lưu lượng đến VLAN mà hacker không thể đến được. Có 2 cách tiếp cận chính để thực hiện một cuộc tấn công VLAN hopping là switch spoofing và double tagging. * Switch Spoofing Mặc định thì Ethernet trunk mang lưu lượng cho tất cả các VLAN. Vì thế, nếu một hacker tấn công một switch và đi đến chế độ trunking thì hacker sau đó có thể nhìn thấy lưu lượng trên tất cả các VLANs. Trong một vài trường hợp, kiểu tấn công này có thể được sử dụng để thu thập username và password sử dụng cho các cuộc tấn công kế tiếp. Một số switch port mặc định là ở chế độ auto của kiểu trunking, điều này có nghĩa là các port tự động trở thành trunk port nếu chúng nhận các frames DTP (Dynamic Trunking Protocol). Một hacker cố gắng tạo cho mình một switch port ở chế độ trunking bằng cách giả danh các frame DTP hoặc bằng cách kết nối một rogue switch đến switch port của hacker. Để ngăn chặn switch spoofing bạn có thể disable trunking trên tất cả các port mà không cần thiết phải thiết lập ở chế độ trunking và disable DTP trên các ports mà nó không cần thực hiện trunk. Ví dụ 5 * Double Tagging Trên một IEEE 802.1Q trunk một VLAN được thiết kế như một Native VLAN. Native VLAN không thêm bất kỳ tag nào đến các frame để truyền từ VLAN này sang VLAN khác. Nếu một PC của hacker thuộc vào một Native VLAN thì hacker có thể dựa vào các đặc tính của Native VLAN này để gửi các lưu lượng mà có 2 802.1Q tags. Để ngăn cản các tấn công VLAN hopping sử dụng double tagging, không sử dụng Native VLAN để gửi dữ liệu người sử dụng. Bạn có thể thực hiện điều này bằng cách tạo một VLAN trong tổ chức mà nó không có một port nào cả. Các VLAN không được sử dụng này chỉ có nhiệm vụ của một Native VLAN. Hình 6. thể hiện cấu hình Native VLAN trên Cisco Catalyst 3550 thàng một VLAN không được sử dụng. 4. Bảo vệ trước một cuộc tấn công STP Các liên kết dư thừa có thể được đưa vào các topo sử dụng switch lớp 2 để tăng tính ổn định cho mạng. Tuy nhiên các liên kết dư thừa này lại tiềm ẩn một nguy cơ bị lặp vòng tại lớp 2 gây nên các cơn bão broadcast. Giao thức Spanning Tree (STP) có thể cho phép bạn về mặt vật lý vẫn có được các liên kết dư thừa, còn về mặt logic là dạng topo loop – free. Như vậy có thể ngăn cản được các cơn bão broadcast. STP tạo được một topo dạng loop – free bằng cách chọn một switch như là root bridge. Mỗi một switch khác trong mạng được thiết kế một root port. Root port là một port trên switch mà nó gần với root bridge hơn về giá trị cost. 6 5. Ngăn chặn DHCP Server Spoofing. Trong các mạng ngày nay, các client duy trì thông tin địa chỉ IP của mình một cách tự động sử dụng giao thức cấu hình host động (DHCP). Để duy trì thông tin địa chỉ IP một cách tự động, một client (ví dụ PC) gửi ra ngoài một yêu cầu DHCP. Một DHCP server sẽ nhận các yêu cầu này và gửi một DHCP response đến client (bao gồm các thông tin như địa chỉ IP, subnet mask và gateway mặc định). Tuy nhiên nếu một hacker kết nối đến một rogue DHCP server đến mạng, một rogue DHCP server có thể đáp ứng các yêu cầu từ client. Thậm chí cả 2 rogue DHCP server và actual DHCP server đáp ứng các yêu cầu của client. Client sẽ sử dụng response của rogue DHCP server nếu nó đến client trước khi response đó đến từ DHCP server. Điều này được thể hiện trong hình vẽ 6.5 Hình 6.5 DHCP response từ một DHCP server của hacker có thể gán địa chỉ IP của hacker là địa default gateway của client hoặc DNS server. Điều này có thể làm cho client gửi lưu lượng đến máy của hacker. Hacker sau đó sẽ bắt các lưu lượng này và có thể đẩy nó đến một gateway thích hợp. Đặc tính DHCP snooping trên Cisco switch có thể được sử dụng để chống lại các cuộc tấn công server spoofing. Với phương pháp này thì các port Cisco Catalyst switch. . sử dụng. Các đặc tính của các thiết bị LAN lớp 2 tạo cho các thiết bị này là cái đích thu hút các hacker. Các hacker có thể truy cập vào lớp 2 thì có. 6 CÁC THIẾT BỊ AN NINH LỚP 2 Chương này sẽ đề cập đến các nội dung sau đây:  Ngăn chặn các tấn công lớp 2: Phần này sẽ giải thích cách thức mà các