Bùi Nguyễn Hoàng Long
VnPro








http://img716.imageshack.us/img716/2696/image001wd.jpg


I. Giảm tấn công giả mạo
Kẻ tấn công có thể gởi thông tin giả mạo để “đánh lừa” Switch hay những máy tính nhằm chuyển tiếp luồng dữ liệu đến của người dùng đến gateway giả. Mục đích của kẻ tấn công là trở thành “man-in-the-middle”, khi máy tính người dùng gởi dữ liệu đến gateway để ra mạng bên ngoài, máy tính của kẻ tấn công sẽ trở thành gateway trong trường hợp này. Kẻ tấn công có thể phân tích nội dung của mỗi gói dữ liệu được gởi đến trước khi thực hiện chuyển tiếp thông thường. Với tính năng của Cisco Catalyst: DHCP Snooping, IP source guard và dynamic ARP (DAI) cho phép ngăn chặn một số loại tấn công dạng này.

II. DHCP Snooping
Một Server DHCP thông thường cung cấp những thông tin cơ bản cho một máy tính hoạt động trên mạng. Ví dụ: máy tính người dùng có thể nhận địa chỉ IP, địa chỉ gateway, địa chỉ DNS... Giả sử kẻ tấn công xây dựng một Server DHCP giả trong cùng mạng với máy tính người dùng, và khi máy tính người dùng thực hiện gởi broadcast DHCP Request, khi đó Server DHCP giả có thể sẽ gởi thông tin trả lời và máy tính người dùng sẽ dùng Server DHCP giả làm gateway. Lúc này tất cả luồng dữ liệu gởi ra mạng bên ngoài đều sẽ đi qua gateway giả và kẻ tấn công sẽ thực hiện phân tích và biết được nội dụng của dữ liệu sau đó gói được chuyển tiếp đi như bình thường. Đây là một dạng tấn công “man-in-the-middle”, kẻ tấn công thay đổi đường đi của gói dữ liệu mà người dùng không thể nhận biết.



http://img4.imageshack.us/img4/828/image002px.gif


Với DHCP Snooping sẽ giúp ngăn chặn loại tấn công này loại này. Khi DHCP được kích hoạt, cổng trên Switch sẽ phân loại thành cổng tin cậy (trusted) và không tin cậy (untrusted).
Cổng tin cậy cho phép nhận DHCP Reply hay cổng được kết nối với Server DHCP, trong khi cổng không tin cậy chỉ cho phép nhận DHCP Request hay cổng kết nối với máy tính người dùng. Nếu Server DHCP giả gắn vào cổng không tin cậy và gởi DHCP Reply thì gói Reply sẽ bị loại bỏ.
DHCP Snooping sẽ thực hiện phân tích gói DHCP Request và Reply, xây dựng bảng cơ sở dữ liệu về địa chỉ IP được cấp, địa chỉ MAC, thông tin cổng... mà máy tính đó thuộc.

1. Cấu hình DHCP Snooping
Kích hoạt tính năng DHCP Snooping
SW(config)#ip dhcp snooping
Tính năng information option cho phép mang thông tin về cổng mà máy tính đó thuộc khi thực hiện DHCP request, tuy nhiên tùy chọn này buộc Server DHCP phải hổ trợ, trong trường hợp không cần thiết bạn nên tắt tính năng này
SW(config)#no ip dhcp snooping information option

Xác định tính năng DHCP Snooping trên VLAN
SW(config)#ip dhcp snooping vlan 1

Xác định cổng tin cậy

SW(config)#interface fa0/24
SW(config-if)#ip dhcp snooping trust

2. Kiểm tra

Địa chỉ IP được cấp trên Server DHCP
http://img687.imageshack.us/img687/4382/image003sos.jpg

Switch xây dựng bảng cơ sở dữ liệu dựa vào thông tin của DHCP Request và Reply

http://img546.imageshack.us/img546/963/image004ml.jpg

Thông tin cổng tin cậy

http://img593.imageshack.us/img593/5573/image005f.jpg

Trong một số trường hợp kẻ tấn công có thể thực hiện DHCP Request với địa chỉ MAC giả, sử dụng hết dãy địa chỉ trên Server DHCP. Và Server DHCP không còn địa chỉ để cấp cho người dùng khác . Để hạn chế DHCP Snooping cho phép giới hạn tốc độ gói Request được gởi

SW(config)#interface range fa0/1 - 2
SW(config-if-range)#ip dhcp snooping limit rate 10

http://img69.imageshack.us/img69/992/image006rh.jpg

PC thường dùng ARP để phẩn giải một địa chỉ MAC không biết khi địa chỉ IP được biết. Khi địa chỉ MAC được cần để một gói có thể được gởi. PC gởi broadcast ARP Request mà chứa địa chỉ IP của PC cần tìm địac chỉ MAC. Nếu có bất kỳ PC nàu dùng địa chỉ IP đó, nó sẽ trả lời địa chỉ MAC tương ứng. Tuy nhiên một ARP Reply có thể được tạo ra mà không cần ARP Request hay còn gọi là (gratuituos ARP), để cho những PC khác trong mạng có thể cập nhật bảng ARP khi có sự thay đổu xảy ra. Lợi dụng điều này kẻ tân cống thực hiện gởi gratuituos ARP với thông tin giả, nó sẽ thay thể địa chỉ MAC của nó với địa chỉ của IP gateway thay vì địa chỉ MAC của gateway, điều này sẽ buộc máy nạn nhân thay đổi lại bảng ARP với thông tin sai, đây là dạng tấn công “ARP spoofing” được xem như man-in-the-middle, gói dữ liệu sẽ đến gateway giả trước khi được chuyến tiếp đến đích.

http://img218.imageshack.us/img218/4301/image007ic.jpg

Tính năng DAI ( Dynamic ARP inspection) có thể ngăn chặn loại tấn công này. DAI làm việc tương tu với DHCP Snooping, tất cà các cổng sẽ phân loại thành tin cậy và không tin cậy. Switch sẽ thực hiện phân tích hợp lệ của ARP Request và Reply trên cổng không tin cập nơi mà cở sở dữ liệu của DHCP Snooping đã xây dựng trước đó, nếu nội dung của gói ARP Re quest hay Reply bao gồm MAC và IP mà khác so với giá trị trong cơ sở dữ liệu được xây dựng trước đó gói sẽ bị loại bỏ. Cổng tin cậy sẽ không thực hiện kiểm tra gói ARP Request và Reply.
Hành động này ngăn chặn sự không hợp lệ hay gói ARP giả mạo được gởi.

1. Cấu hình

Trạng thái bảng ARP trên PC2

http://img825.imageshack.us/img825/8097/image008epp.jpg

Thực hiện ARP spoofingvới ứng dụng Switchsnarf trên PC1
Xác định cổng mà gói ARP giả mạo sẽ được gởi



http://img69.imageshack.us/img69/415/image009cq.jpg


Chọn Scan Network để tìm PC trên mạng
Chọn PC mà có phần Description là Sniffable, chọn Start Spoofing

http://img600.imageshack.us/img600/3209/image010y.jpg

Thực hiện Telnet từ PC2

http://img517.imageshack.us/img517/1797/image011zw.jpg

Bảng ARP trên PC2 bị thay đổi

http://img841.imageshack.us/img841/3526/image012dz.jpg

Dùng Wireshark để thực hiện phân tích nội dung gói

http://img13.imageshack.us/img13/4001/image013li.jpg

Gói Telnet gởi đến PC1 trước khi đến Router

http://img29.imageshack.us/img29/7591/image014jt.jpg

Trong trường hợp nếu DHCP Snooping đã được cấu hình trước đó, bạn chỉ cần xác định VLAN sử dụng tính năng DAI

SW(config)#ip arp inspection vlan 1

Xác định cổng tin cậy (tất cả các cổng còn lại là không tin cậy)

SW(config)#interface fa0/24

SW(config-if)#ip arp inspection trust

2. Kiểm tra
Chạy lại ứng dụng Switchsnarf trên PC1, thông tin log cho biết gói ARP Reply không hợp lệ bị loại bỏ

00:54:51: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([001b.fc36.ecdd/192.168.1.3/0007.0e9a.0dc0/192.168.1.1/00:54:51 UTC Mon Mar 1 1993])
00:54:51: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([001b.fc36.ecdd/192.168.1.1/001b.fc36.ece4/192.168.1.3/00:54:51 UTC Mon Mar 1 1993])
Trong trường hợp nếu như PC2 khai báo địa chỉ tĩnh, Switch sẽ không có thông tin để kiểm tra, bạn có thể xây dựng thông tin tĩnh để kiểm tra sự giả mạo

SW(config)#arp access-list ARPINSPECT
SW(config-arp-nacl)#permit ip host 192.168.1.3 mac host 001B.FC36.ECE4

SW(config)#ip arp inspection filter ARPINSPECT vlan 1

http://img535.imageshack.us/img535/5300/image015cv.jpg

Mặc định DAI chỉ kiểm sự vi phạm dựa vào nội dung của gói ARP, mà không kiểm tra giá trị của header của gói ARP. Thực hiện câu lệnh sau khi cần kiểm tra thêm giá trị header của gói ARP

SW(config)#ip arp inspection validate ?
dst-mac Validate destination MAC address
ip Validate IP addresses
src-mac Validate source MAC address

http://img40.imageshack.us/img40/1482/image016pn.jpg


Src-mac: Kiểm tra đại chỉ MAC nguồn trong header Ethernet với địa chỉ MAC của nguời gởi trong gói ARP Reply
Det-mac: Kiểm tra địa chỉ MAC đích trong Ethernet header với địa chỉ MAC đích trong gói ARP Reply
IP: Kiểm tra địa chỉ IP của người gởi trong tất cả các gói ARP Request, kiểm tra địa chỉ IP của thiết bị gởi với địa chỉ IP đích trong tất cả gói ARP Reply

Giả mạo địa chỉ là một loại tấn công khó được ngăn chặn, thông thường một thiết bị PC sẽ có một địa chỉ IP được gán và địa chỉ này dùng cho tất cả gói dữ liệu được gởi ra, tuy nhiên một PC vẫn có thể gởi ra những gói dữ liệu với địa chỉ là giả mạo hoặc ngẫu nhiên. Thường kẻ tấn công dùng đcơ chể này để thực Dos hoặc Ddos.
Với IP Source Guard trên Cisco Switch cho phép hạn chế loại tấn công này dựa vào địa chỉ của gói với cơ sơ dữ liệu của DHCP Snooping. Mặc định chỉ có địa chỉ IP của gói được kiểm tra, nếu địa chỉ này không khớp với bảng dữ liệu của DHCP Snooping gói sẽ bị loại bỏ.

1. Cấu hình
Xác định cổng và kích hoạt tính năng IP Source Guard
SW(config)#interface range fa0/1 - 2
SW(config-if-range)#ip verify source

2. Kiểm tra

Địa chỉ của gói được nhận trên cổng phải khớp với thông tin có được từ DHCP Snooping
http://img593.imageshack.us/img593/4262/image017u.jpg (http://img593.imageshack.us/i/image017u.jpg/)

Thực hiện kiểm tra sự hợp lệ với PC1

http://img714.imageshack.us/img714/4443/image018wq.jpg (http://img714.imageshack.us/i/image018wq.jpg/)

Thay đổi địa chỉ bằng cách gán tĩnh trên PC1, gói sẽ bị loại bỏ do không hợp lệ

http://img838.imageshack.us/img838/2913/image019g.jpg (http://img838.imageshack.us/i/image019g.jpg/)

Trong trường hợp bạn muốn kiểm tra thêm địa chỉ MAC của gói

SW(config-if-range)#ip verify source port-security

http://img39.imageshack.us/img39/4747/image020yh.jpg (http://img39.imageshack.us/i/image020yh.jpg/)

Tuy nhiên trong trường hợp này tất cả địa chỉ MAC lại được cho phép, bạn cần dùng kết hợp với port-security để xác định địa chỉ IP và MAC cụ thể được cho phép

SW(config)#interface range fa0/1 - 2
SW(config-if-range)#switchport mode access
SW(config-if-range)#switchport port-security


http://img10.imageshack.us/img10/58/image021bt.jpg (http://img10.imageshack.us/i/image021bt.jpg/)

Trong trường hợp không sử dụng dữ liệu của DHCP Snooping bạn có thể xây dựng dữ liệu tĩnh

SW(config)#ip source binding 001B.FC36.ECE4 vlan 1 192.168.1.3 interface fa0/2

http://img31.imageshack.us/img31/8327/image022tf.jpg (http://img31.imageshack.us/i/image022tf.jpg/)

rồi thank bác luôn nha .. hay đó

Thanks Thầy !

Bài viết hay và có ý nghĩa

Thầy cho em hỏi những catalyst switch nào của cisco hỗ trợ tính năng trên ạ ?!

Thầy cho em hỏi những catalyst switch nào của cisco hỗ trợ tính năng trên ạ ?!

hầu hết các switch cisco đều ho trợ dhcp-snooping