Bao Mat L2

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.
vn
MÔN HỌC: XÂY DỰNG HỆ THỐNG

FIREWALL
Trường Cao đẳng Nghề CNTT iSPACE

Khoa Mạng Và An Ninh Thông Tin
fit@ispace.edu.vn
http://fit.ispace.edu.vn
@Email: fit@ispace.edu.vn 1
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn
MÔN HỌC: XÂY DỰNG HỆ THỐN FIREWALL
Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG.

Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL
Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS
BÀI 4: BẢO MẬT LAYER 2
Phương pháp bảo mật ở lớp 2
Giới thiệu bảo mật ở lớp 2

Tấn công giả mạo MAC Address
Tấn công đánh tràn bảng MAC
Thay đổi cây STP
LAN storm Attack
Cấu hình Layer 2 Security
Câu hỏi ôn tập
MỤC TIÊU BÀI HỌC
Giới thiệu bảo mật ở lớp 2

Trình bày các phương pháp tấn công ở lớp 2.
Cấu hình bảo mật cho các thiết bị lớp 2
Giới Thiệu Bảo Mật Layer 2
Giới thiệu bảo mật layer 2

Chuyên gia bảo mật mạng
không chỉ bảo vệ mạng ở
layer 3, mà còn bảo vệ mạng
ở layer 2.
Những cuộc tấn cộng mạng ở

layer 2 bao gồm : Tấn công
VLAN, tấn công làm tràn
bảng MAC, thay đổi SPT, giả
mạo địa chỉ MAC.
Tấn Công Giả Mạo Địa chỉ MAC
Tấn công giả mạo địa chỉ

MAC
Switch sẽ lưu trữ địa chỉ
MAC của những đối tượng
kết nối với nó trong bảng
MAC ADDRESS TABLE
Tấn công giả mạo địa chỉ

MAC là thay đổi nội dụng
bảng MAC
Tấn Công Giả Mạo Địa chỉ MAC
Tấn công giả mạo địa

chỉ MAC
Thông tin dữ liệu gởi

cho Server sẽ được gởi
qua cho kẻ tấn công
Tấn Công Đánh Tràn bảng MAC
Tấn công làm tràn

bảng MAC
Switch gởi gói tin đi
dựa vào thông tin địa
chỉ MAC được map
trong MAC-ADDRESS-
TABLE
Dung lượng MAC-
ADDRESS-TABLE thì
có hạn
Tấn Công Đánh Tràn bảng MAC
Tấn công làm tràn

bảng MAC
Nếu attacker thay đổi
địa chỉ MAC liên tục,
làm bảng MAC đầy.
Thông tin gởi đến sẽ
được flood ra tất cả
các port
Thay Đổi Cây STP
Thay đổi cây SPT

SPT là giao thức bảo vệ đường link ở lớp 2
Việc thay đổi cây SPT sẽ làm cho mô hình mạng bị xáo trộn, kẻ
tấn công có thể xem được những thông tin không thể truy cập
Cuộc tấn công này được sử dụng để chiếm đoạt các mục tiêu an
ninh : Tính bí mật, tính toàn vẹn và tính sẳn sàng
Thay Đổi Cây SPT
Thay đổi cây STP
LAN Storm Attact
Lan Storm Attact

Switch sẽ đẩy gói tin ra các port khi nhận được 1 gói tin là
broadcast.
Nếu có nhiều gói tin broadcast được gởi đến, thì gói tin sẽ tràn
lan trong hệ thống mạng được gọi là LAN storm.
LAN Storm Attact
Lan Storm Attact

CPU switch hoạt động 100%, tài nguyên mạng bị chiếm dụng
đáng kể.
Chúng ta không thể ngăn chặn các gói tin broadcast nhưng có
thể điều khiển nó.
Port Security
Port Security
Để đảm bảo cho mạng hoạt động ổn định, không bị tấn công giả
mạo MAC.
Port security cho phép người quản trị mạng thiết lập địa chỉ MAC
của PC cho 1 port cố định trên Switch
Phương pháp này có thể được thiết lập tỉnh hoặc động trên
Swich.
Port Security
Port Security
Port Security
S2
PC B
Switch(config-if)#
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation shutdown
switchport port-security mac-address sticky
switchport port-security aging time 120
Port Security
Port Security
sw-class# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/12 2 0 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
sw-class# show port-security interface f0/12

Port Security : Enabled
Port status : Secure-down
Violation mode : Shutdown
Maximum MAC Addresses : 2
Total MAC Addresses : 1
Configured MAC Addresses : 0
Aging time : 120 mins
Aging type : Absolute
SecureStatic address aging : Disabled
Security Violation Count : 0
Port Security
Port security
sw-class# show port-security address
Secure Mac Address Table

-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.ffff.aaaa SecureConfigured Fa0/12 -
-------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
Port fast
Switch(config-if)# spanning-tree portfast (interface command)
Switch(config)# spanning-tree portfast default (global command)
Bảo vệ cây SPT

Để bảo vệ cây SPT không nhận BPDU lạ từ bên ngoài, ta cấu
hình tính năng root guard và BPDU guard.
Root guard và BPDU guard giúp switch không nhận BPDU từ
bên ngoài cho dù BPDU có Bridge nhỏ hơn Switch Root.
Để đảm bảo cho cây SPT luôn hoạt động liên tục và ổn định,
không bị gián đoạn khi chuyển từ trạng thái Blocking ->
Forwarding ta cấu hình tính năng Uplink fast và Backbone fast
BPDU Guard
Root Guard
Uplink Fast & Backbone Fast
Switch(config)# spanning-tree uplinkfast(Blocked port SW)
Switch(config)# spanning-tree backbonefast(Forwarding SW)
Storm Control
Tính năng này đảm bảo Switch không flood gói tin tràn lan trong
hệ thống mạng
Switch(config-if)# storm-control broadcast level 75.5

Switch(config-if)# storm-control multicast level pps 2k
1k
Switch(config-if)# storm-control action shutdown
Câu hỏi bài tập
Trình bày các hình thức tấn công ở Layer 2

Trình bày các kỹ thuật bảo mật ở Layer2
Cấu hình bảo mật ở Layer 2
TÓM LƯỢC BÀI HỌC
Các tính năng bảo mật ở Switch.

Các hình thức bảo vệ cây SPT
Hạn chế tấn công ở Layer 2
HỎI - ĐÁP

Bao Mat L2

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Bao Mat L2

Uploaded by

Copyright:

Available Formats

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.

MÔN HỌC: XÂY DỰNG HỆ THỐNG

Trường Cao đẳng Nghề CNTT iSPACE

Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG.

BÀI 4: BẢO MẬT LAYER 2

Phương pháp bảo mật ở lớp 2

Giới thiệu bảo mật ở lớp 2

MỤC TIÊU BÀI HỌC

Giới thiệu bảo mật ở lớp 2

Giới Thiệu Bảo Mật Layer 2

Giới thiệu bảo mật layer 2

Những cuộc tấn cộng mạng ở

Tấn Công Giả Mạo Địa chỉ MAC

Tấn công giả mạo địa chỉ

Tấn công giả mạo địa chỉ

Tấn Công Giả Mạo Địa chỉ MAC

Tấn công giả mạo địa

Thông tin dữ liệu gởi

Tấn Công Đánh Tràn bảng MAC

Tấn công làm tràn

Tấn Công Đánh Tràn bảng MAC

Tấn công làm tràn

Thay Đổi Cây STP

Thay đổi cây SPT

Thay Đổi Cây SPT

Thay đổi cây STP

LAN Storm Attact

Lan Storm Attact

LAN Storm Attact

Lan Storm Attact

sw-class# show port-security interface f0/12

sw-class# show port-security address

Secure Mac Address Table

Cấu hình Layer 2 Security

Switch(config-if)# spanning-tree portfast (interface command)

Switch(config)# spanning-tree portfast default (global command)

Cấu hình Layer 2 Security

Bảo vệ cây SPT

Cấu hình Layer 2 Security

Cấu hình Layer 2 Security

Cấu hình Layer 2 Security

Uplink Fast & Backbone Fast

Switch(config)# spanning-tree uplinkfast(Blocked port SW)

Switch(config)# spanning-tree backbonefast(Forwarding SW)

Cấu hình Layer 2 Security

Switch(config-if)# storm-control broadcast level 75.5

Câu hỏi bài tập

Trình bày các hình thức tấn công ở Layer 2

TÓM LƯỢC BÀI HỌC

Các tính năng bảo mật ở Switch.

You might also like