Professional Documents
Culture Documents
Layer 2 Security
Layer 2 Security
Sau đây là một số kiểu tấn công vày Layer 2 của hệ thống
Bản CAM (Content Addressable Memory) lưu trữ các địa chỉ MAC của các port, và các
tham số VLAN trong switch. Không gian nhớ trong bảng CAM là hạn chế nên có nguy
cơ tràn bảng CAM.
Kiểu tấn công làm tràn MAC sẽ cố gắng làm tràn bảng CAM của các switch, khi đó
switch sẽ cư xử như các hub.
Một cuộc tấn công kiểu này trông giống như lưu lượng từ hàng ngàn máy tính được
chuyển đến một port, nhưng thực tế là nó chỉ đến từ một máy giả mạo địa chỉ MAC của
hàng ngàn host giả mạo.
Vd Macof là một công cụ thông dụng để thực hiện các cuộc tấn công kiểu này, có thể tạo
ra hàng chục ngàn MAC entry gửi đến port mỗi phút. Khi đó, switch nhìn thấy lưu lượng
và nghĩ rằng các địa chỉ MAC từ các gói mà kẻ tấn công gửi đi là các cổng hợp lệ và nó
sẽ thêm entry vào bảng CAM.
Khi tràn bảng CAM, switch sẽ broadcast lưu lượng trên VLAN mà ko cần thông qua
bảng CAM nữa.
Giải pháp ngăn chặn cơ bản nhất là cấu hình port security để giới hạn số lượng PC được
phép kết nối vào switch.
Các cuộc tấn công VLAN hopping dựa vào trunking do cấu hình bất hợp lý các trunk port
sẽ cho phép kẻ tấn công đi qua các thiết bị lớp 3 khi trao đổi thông tin từ một VLAN này
sang một VLAN khác.
Mặc định, các trunk port có thể truy nhập tới tất cả các VLAN, dữ liệu truyền qua đường
trunk có thể được đóng gói theo chuẩn IEEE 802.1Q hoặc ISL(Cisco) được dùng để trao
đổi thông tin giữa các switch.
Giao thức DTP (Dynamic Trunking Protocol) tự động cấu hình kiểu trunking
ISL/802.1Q.
Ta có thể cấu hình trạng thái DTP trên mỗi trunk port. Các trạng thái bao gồm: On, Off,
Desirable, Auto và Non-Negotiate.
- On: trạng thái này được sử dụng khi switch khác không hiểu giao thức DTP;
- Off: trạng thái này được sử dụng khi port đã được cấu hình từ trước không với mục đích
trở thành trunk port.
- Desirable: trạng thái này được sử dụng khi muốn trở thành trunk port.
- Auto: Đây là trạng thái mặc định trên nhiều switch.
- Non-Negotiate: trạng thái này được sử dụng khi ta chỉ định cụ thể kiểu port là ISL hay .
1Q .
Cách ngǎn chặn kiểu tấn công này là tắt kết nối trên tất cả các port ngoại trừ những port
cần thiết.
Kiểu tấn công này lợi dụng cách mà phần cứng trong phần lớn các switch hoạt động.
Hiện nay, phần lớn các switch chỉ thực hiện đóng gói IEEE 802.1Q. Điều này cho phép
attacker có khả nǎng gắn các đuôi 802.1Q (gọi là .1Q tag) của hắn vào khung. Khung này
sẽ vào VLAN với đuôi .1Q đầu ra không xác định.
Một đặc điểm quan trọng của kiểu tấn công này là nó có thể tiến hành thậm chỉ với các
trunk port đã được thiết lập ở chế độ Off.
Do đó, ngǎn chặn các cuộc tấn công kiểu này không dễ như việc ngǎn chặn các cuộc tấn
công kiểu VLAN hopping cơ bản. Biện pháp tốt nhất để đảm bảo các VLAN của các
trunk port được phân biệt với các VLAN của user port.
Kết luận
Ngoài các kiểu tấn công làm tràn MAC và VLAN hopping, còn có một số kiểu tấn công
khác như spanning-tree, ARP spoofing, tấn công DHCP, đều có thể xảy ra tại lớp 2. Các
biện pháp ngǎn chặn có thể tìm thấy tại http://www.blackhat.com.
Ngoài ra nên chú ý thực hiện một số điều sau:
- Hạn chế các hoạt động truy nhập để quản lý switch sao cho những khu vực không tin
cậy trong mạng không thể lợi dụng các giao diện và các giao thức quản lý như SNMP
(Simple Network Management Protocol).
- Ngǎn chặn các kiểu tấn công từ chối dịch vụ và các kiểu lợi dụng tấn công khác bằng
cách khoá các giao thức spanning-tree và các giao thức động khác.
- Sử dụng phần cứng ACL tại những vị trí có thể để chặn các lưu lượng không mong
muốn.
- Sử dụng các VLAN ID dành riêng cho tất cả các trunk port.
- Tắt tất cả các cổng không sử dụng trong VLAN
- Sử dụng các biện pháp an ninh cho port để góp phần bảo vệ hệ thống trước các cuộc tấn
công switch.