Layer 2 Security

Một số tính nǎng bảo mật cần có ở các thiết bị lớp 2

- Port security: giới hạn số lượng thiết bị được phép kết nối vào port.
- Private LANs: cung cấp biện pháp an ninh và khả nǎng phân vùng các port trên switch
mà các port này là thành viên của cùng một VLAN. Tính nǎng này đảm bảo rằng user có
thể giao tiếp chỉ với gateway mặc định của họ mà không phải với gateway của người
khác. Private VLAN thường được sử dụng hiệu quả trong các môi trường DMZ
(Delimitized Zone).
- STP root guard/BPDU guard: loại bỏ các cuộc tấn công theo kiểu spanning-tree bằng
cách tắt tất cả các port có thể gây ra sự thay đổi cấu trúc mạng lớp 2.
- SSH support: cung cấp một kết nối từ xa an toàn đến các thiết bị lớp 2 và lớp 3. Đối với
các kết nối từ xa, SSH cung cấp mức độ bảo mật cao hơn Telnet do cung cấp phương
pháp mã hoá mạnh.
- VMPS (VLAN Membership Policy Server): cho phép các địa chỉ MAC nhất định tương
ứng với các VLAN nhất định. Tính nǎng nàycho phép người sử dụng di động trong mạng
campus luôn có khả kết nối với cùng một biện pháp an ninh mạng.
- Chứng thực IEEE 802.1X: bảo vệ mạng bằng cách chứng thực người sử dụng theo một
cơ sở dữ liệu trung tâm trước khi bất cứ một hình thức kết nối nào được phép thực hiện.
Ngược lại, phần lớn người sử dụng bên trong các mạng cục bộ thường có thể truy nhập
chỉ bằng cách sử dụng một kết nối Ethernet mà không cần phải nhận thực gì.
- Wire-rate ACLs: cho phép các danh sách điều khiển truy nhập được thực hiện mà không
làm giảm hiệu nǎng hệ thống.

Sau đây là một số kiểu tấn công vày Layer 2 của hệ thống

1.Kiểu tấn công làm tràn MAC

Bản CAM (Content Addressable Memory) lưu trữ các địa chỉ MAC của các port, và các
tham số VLAN trong switch. Không gian nhớ trong bảng CAM là hạn chế nên có nguy
cơ tràn bảng CAM.
Kiểu tấn công làm tràn MAC sẽ cố gắng làm tràn bảng CAM của các switch, khi đó
switch sẽ cư xử như các hub.
Một cuộc tấn công kiểu này trông giống như lưu lượng từ hàng ngàn máy tính được
chuyển đến một port, nhưng thực tế là nó chỉ đến từ một máy giả mạo địa chỉ MAC của
hàng ngàn host giả mạo.
Vd Macof là một công cụ thông dụng để thực hiện các cuộc tấn công kiểu này, có thể tạo
ra hàng chục ngàn MAC entry gửi đến port mỗi phút. Khi đó, switch nhìn thấy lưu lượng
và nghĩ rằng các địa chỉ MAC từ các gói mà kẻ tấn công gửi đi là các cổng hợp lệ và nó
sẽ thêm entry vào bảng CAM.
Khi tràn bảng CAM, switch sẽ broadcast lưu lượng trên VLAN mà ko cần thông qua
bảng CAM nữa.

Giải pháp ngăn chặn cơ bản nhất là cấu hình port security để giới hạn số lượng PC được
phép kết nối vào switch.

Tấn công kiểu VLAN hopping

Kiểu tấn công này thường xuất phát do có cấu hình sai tồn tại trên switch.

Các cuộc tấn công VLAN hopping dựa vào trunking do cấu hình bất hợp lý các trunk port
sẽ cho phép kẻ tấn công đi qua các thiết bị lớp 3 khi trao đổi thông tin từ một VLAN này
sang một VLAN khác.

Mặc định, các trunk port có thể truy nhập tới tất cả các VLAN, dữ liệu truyền qua đường
trunk có thể được đóng gói theo chuẩn IEEE 802.1Q hoặc ISL(Cisco) được dùng để trao
đổi thông tin giữa các switch.
Giao thức DTP (Dynamic Trunking Protocol) tự động cấu hình kiểu trunking
ISL/802.1Q.
Ta có thể cấu hình trạng thái DTP trên mỗi trunk port. Các trạng thái bao gồm: On, Off,
Desirable, Auto và Non-Negotiate.
- On: trạng thái này được sử dụng khi switch khác không hiểu giao thức DTP;
- Off: trạng thái này được sử dụng khi port đã được cấu hình từ trước không với mục đích
trở thành trunk port.
- Desirable: trạng thái này được sử dụng khi muốn trở thành trunk port.
- Auto: Đây là trạng thái mặc định trên nhiều switch.
- Non-Negotiate: trạng thái này được sử dụng khi ta chỉ định cụ thể kiểu port là ISL hay .
1Q .

Kiểu tấn công VLAN hopping cơ bản

Attacker đánh lừa switch để switch nghĩ là đang muốn kết nối trung kế. Kỹ thuật này đòi
hỏi một thiết lập "trunking-favourable", kiểu như thiết lập Auto , thì mới có thể tấn công
thành công. Khi đó, attacker đã trở thành thành viên của rất nhiều VLAN được kết nối
đến switch và có thể gửi và nhận lưu lượng trên các VLAN này.

Cách ngǎn chặn kiểu tấn công này là tắt kết nối trên tất cả các port ngoại trừ những port
cần thiết.

Kiểu tấn công VLAN hopping đóng gói kép

Kiểu tấn công này lợi dụng cách mà phần cứng trong phần lớn các switch hoạt động.
Hiện nay, phần lớn các switch chỉ thực hiện đóng gói IEEE 802.1Q. Điều này cho phép
attacker có khả nǎng gắn các đuôi 802.1Q (gọi là .1Q tag) của hắn vào khung. Khung này
sẽ vào VLAN với đuôi .1Q đầu ra không xác định.
Một đặc điểm quan trọng của kiểu tấn công này là nó có thể tiến hành thậm chỉ với các
trunk port đã được thiết lập ở chế độ Off.

Do đó, ngǎn chặn các cuộc tấn công kiểu này không dễ như việc ngǎn chặn các cuộc tấn
công kiểu VLAN hopping cơ bản. Biện pháp tốt nhất để đảm bảo các VLAN của các
trunk port được phân biệt với các VLAN của user port.

Kết luận

Ngoài các kiểu tấn công làm tràn MAC và VLAN hopping, còn có một số kiểu tấn công
khác như spanning-tree, ARP spoofing, tấn công DHCP, đều có thể xảy ra tại lớp 2. Các
biện pháp ngǎn chặn có thể tìm thấy tại http://www.blackhat.com.
Ngoài ra nên chú ý thực hiện một số điều sau:

- Hạn chế các hoạt động truy nhập để quản lý switch sao cho những khu vực không tin
cậy trong mạng không thể lợi dụng các giao diện và các giao thức quản lý như SNMP
(Simple Network Management Protocol).
- Ngǎn chặn các kiểu tấn công từ chối dịch vụ và các kiểu lợi dụng tấn công khác bằng
cách khoá các giao thức spanning-tree và các giao thức động khác.
- Sử dụng phần cứng ACL tại những vị trí có thể để chặn các lưu lượng không mong
muốn.
- Sử dụng các VLAN ID dành riêng cho tất cả các trunk port.
- Tắt tất cả các cổng không sử dụng trong VLAN
- Sử dụng các biện pháp an ninh cho port để góp phần bảo vệ hệ thống trước các cuộc tấn
công switch.