PDA

View Full Version : Một số vấn đề bảo mật trên mạng Campus LAN



changchancuucodon
06-04-2006, 12:11 PM
Một số vấn đề về bảo mật mạng campus

1 Kiểu tấn công làm tràn MAC

Có một bảng lưu trữ các địa chỉ MAC của các cổng vật lý cùng với những tham số VLAN của chung trong mỗi switch. Bảng này có tên là bảng CAM (Content Addressable Memory). Bảng này tương đương với bảng định tuyến nhưng ở lớp 2. Bảng CAM lưu trữ dấu vết về vị trí các thiết bị trên mạng và cho biết lưu lượng nào sẽ đi qua cổng mà trước đó đã được thiết lập. Kiểu tấn công làm tràn MAC sẽ cố gắng làm cho các switch cư xử như các hub bằng cách làm tràn bẳng CAM. Không gian nhớ trong bảng CAM là hạn chế do đó nguy cơ tràn lưu lượng là rất cao.

Một cuộc tấn công kiểu này trông giống như lưu lượng từ hàng ngàn máy tính được chuyển đến một cổng, nhưng thực tế là nó chỉ đển từ một máy giả mạo địa chỉ MAC của hàng ngàn host giả mạo. Macof, một công cụ thông dụng để thực hiện các cuộc tấn công kiểu này, có thể tạo ra 155.000 tuyến kết nối giả (gọi là MAC entry) đến một cổng của switch mỗi phút. Switch nhìn thấy lưu lượng và nghĩ rằng các địa chỉ MAC từ các gói mà kẻ tấn công gửi đi là các cổng hợp lệ và nó sẽ thêm một chỉ dẫn kết nối (entry) vào bảng CAM. Mục tiêu làm tràn switch được thực hiện bằng cách điền đầy bảng CAM với các chỉ dẫn kết nối sai. Khi đã bị làm tràn, switch sẽ phát quảng bá lưu lượng trên VLAN mà không cần chỉ dẫn từ bảng CAM và vì thế cho phép kẻ tấn công nhìn thấy lưu lượng mà bình thường hắn không thể nhìn thấy. Làm tràn switch rất dễ, thậm chỉ là với các switch có bảng CAM lớn và cấu hình mạnh.
Có rất nhiều cách để ngăn chặn kiểu tấn công này. Phương pháp sơ đẳng là cấu hình port security cho các cổng trên switch. Việc này sẽ cho phép các nhân viên quản trị xác định số lượng PC (MAC) được phép kết nối đến từng cổng của switch. Nếu số lượng PC vượt quá quy định, cổng đó sẽ bị tắt hoặc chặn các địa chỉ MAC vượt quá giới hạn đã xác định trước đó. Do phải duy trì việc dò theo dấu vết của các địa chỉ MAC lạ, hiệu năng của hệ thống sẽ bị ảnh hưởng. Vì thể, giải pháp thực tế nhất vẫn là tắt các cổng vượt quá giới hạn đó.
Biện pháp an ninh cho cổng còn đưa ra thêm một số tính năng khác ngoài những tính năng cần thiết để ngăn chặn các vụ tấn công làm tràn switch.


2 Vấn đề an ninh mạng LAN ảo và các vụ tấn công kiểu VLAN hopping

Sự gia tăng của các thông tin sai liên quan đến an ninh của các mạng LAN ảo, compounded by fear and uncertainty mà VLAN có thể bị thoả hiệp. Nghiên cứu của @stake, một công ty chuyên về security gồm các chuyên gia an ninh ứng dụng và mạng đã tìm ra không có cách nào tiến hành các vụ tấn công trừ phi có sự cấu hình sai tồn tại trên switch. Trong những trường hợp này, sự cấu hình sai thường xuât phát do kiến trúc của switch được thiết kế theo kiểu "khuyến khích kết nối" (open-communications) hơn là bắt nguồn từ lỗi của nhân viên quản trị mạng. Do đó, an ninh VLAN còn tồn tại rất nhiều phức tạp do cấu hình mặc định của switch làm cho nó có nguy cơ bị tấn công rất lớn trước các kiểu tấn công như VLAN hopping cơ bản và VLAN hopping kiểu đóng gói kép.

Các cuộc tấn công VLAN hopping được thiết kế để cho phép kẻ tấn công đi vòng qua các thiết bị lớp 3 khi trao đổi thông tin từ một VLAN này sang một VLAN khác. Hành động tấn công được tiến hành nhờ tận dụng những lợi thế từ các cổng trung kế (trunk port) được cấu hình bất hợp lý. Theo mặc định, các cổng trung kế có thể truy nhập tới tất cả các VLAN. Chúng được sử dụng để định tuyến lưu lượng cho rất nhiều VLAN qua cùng một đường kết nối vật lý giữa các switch. Dữ liệu truyền qua các tuyến này có thể được đóng gói theo chuẩn IEEE 802.1Q hoặc ISL (Inter-Switch Link).

Giao thức DTP (Dynamic Trunking Protocol) tự động cấu hình trunk ISL/802.1Q và được sử dụng để trao đổi thông tin giữa các switch. Nó đồng bộ chế độ của trung kế giữa hai đầu cuối của tuyến và hạn chế sự cần thiết của việc can thiệp các biên pháp quản lý tại mỗi switch. Nhân viên quản trị mạng có thể cấu hình trạng thái DTP trên mỗi cổng trung kế. Các trạng thái bao gồm: On, Off, Desirable, Auto và Non-Negotiate.
- On: trạng thái này được sử dụng khi switch khác không hiểu giao thức DTP;
- Off: trạng thái này được sử dụng khi cổng đã được cấu hình từ trước không với mục đích trở thành cổng trung kế.
- Desirable: trạng thái này được sử dụng khi cổng switch muốn trở thành cổng trung kế.
- Auto: Đây là trạng thái mặc định trên nhiều switch.
- Non-Negotiate: trạng thái này được sử dụng khi người quản trị mạng muốn một loại trung kế ISL hay .1Q cụ thể.
Đặc điểm chính cần nhớ về giao thức DTP là chế độ mặc định của các cổng trên phần lớp các switch là Auto.

3 Kiểu tấn công VLAN hopping cơ bản

Vụ tấn công xảy ra khi kẻ tấn công đánh lừa switch để switch nghĩ hắn là một switch đang muốn một kết nối trunk. Kỹ thuật này đòi hỏi một thiết lập "trunking-favorable", kiểu như thiết lập Auto , thì mới có thể tấn công thành công. Bây giờ, kẻ tấn công đã trở thành thành viên của rất nhiều VLAN được kết nối đến switch và có thể gửi và nhận lưu lượng trên các VLAN này.
Cách tốt nhất để ngăn chặn kiểu tấn công VLAN hopping cơ bản là tắt kết nối trên tất cả các cổng ngoại trừ những cổng cần thiết.

4 Kiểu tấn công VLAN hopping đóng gói kép

Kiểu tấn công này lợi dụng cách mà phần cứng trong phần lớn các switch hoạt động. Hiện nay, phần lớn các switch chỉ thực hiện đóng gói IEEE 802.1Q một mức. Điều này cho phép kẻ tấn công, trong những tính huống cụ thể, có khả năng gắn các đuôi 802.1Q (gọi là .1Q tag) của hắn vào khung. Khung này sẽ vào VLAN với đuôi .1Q đầu ra không xác định. Một đặc điểm quan trọng của kiểu tấn công VLAN hopping đóng gói kép là nó có thể tiến hành thậm chỉ với các cổng trunk đã được thiết lập ở chế độ Off.

Ngăn chặn các cuộc tấn công kiểu này không dễ như việc ngăn chặn các cuộc tấn công kiểu VLAN hopping cơ bản. Biện pháp tốt nhất để đảm bảo các VLAN thuần của các cổng trung kế được phân biệt rạch ròi với các VLAN thuần của các cổng của người dùng. Để biêt thêm biện pháp ngăn chặn các cuộc tấn công kiểu này, xem tại kết nối .

5 Quản lý switch và điều khiển truy nhập

Gần đây, một số thiết kế mạng biên Internet chỉ sử dụng một switch duy nhất để điều khiển cả những phần đáng tin cậy và những phần không đáng tin cậy của mạng
Trong thiết kế này, nhiều VLAN được sử dụng để phân tách những lưu lượng tin cậy và không đáng tin cậy. Theo nghiên cứu của @stake, nếu được cấu hình đúng, VLAN có thể được sử dụng để phân tách lưu lượng theo cách này. Nhưng thật không may, sử dụng nhiều mức an ninh trên một switch sẽ làm gia tăng mức độ phức tạp trong việc cấu hình và thường làm cho các nhân viên quản trị mạng phạm sai lầm. Hơn nữa, nếu switch đã bị thoả hiệp, kẻ tấn công hoàn toàn có thể đi vòng qua firewall, thiết lập một kết nối trực tiếp giữa Internet và mạng nội bộ.
Điều quan trọng cần nhớ đó là các biện pháp an ninh cho mạng của bạn phải bao gồm cả switch và firewall. Và do trong phần lớn các mạng, bộ phận an ninh không chịu trách nhiệm điều khiển switch, đây có thể là một vấn đề thực sự. Một thiết kế khác sử dụng nhiều switch không cần nhiều VLAN .Trong trường hợp này, nếu một switch bị thoả hiệp, hệ thống an ninh của toàn bộ mạng vẫn không bị vô hiệu hoá.

6 Một số tính năng bảo mật cần có ở các thiết bị lớp 2

- Port security: cho phép nhân viên quản trị mạng xác định số lượng PC được phép kết nối đến từng cổng switch.
- Private LANs: cung cấp biện pháp an ninh và khả năng phân vùng các cổng trên switch mà các cổng này là thành viên của cùng một VLAN. Tính năng này đảm bảo rằng người sử dụng có thể giao tiếp chỉ với gateway mặc định của họ mà không phải với gateway của người khác. Private VLAN thường được sử dụng hiệu quả trong các môi trường DMZ (Delimitized Zone).
- STP root guard/BPDU guard: loại bỏ các cuộc tấn công theo kiểu spanning-tree bằng cách tắt tất cả các cổng có thể gây ra sự thay đổi cấu trúc mạng lớp 2.
- SSH support: cung cấp một kết nối từ xa an toàn đến các thiết bị lớp 2 và lớp 3. Đối với các kết nối từ xa, SSH cung cấp mức độ bảo mật cao hơn Telnet do cung cấp phương pháp mã hoá mạnh hơn khi thiết bị được nhận thực. Tính năng này có cả SSH server và SSH client tích hợp.
- VMPS (VLAN Membership Policy Server): cho phép các địa chỉ MAC nhất định tương ứng với các VLAN nhất định. Tính năng này cho phép người sử dụng di động trong mạng campus luôn có khả kết nối với cùng một biện pháp an ninh mạng.
- Nhận thực IEEE 802.1X: bảo vệ mạng bằng cách nhận thực người sử dụng theo một cơ sở dữ liệu trung tâm trước khi bất cứ một hình thức kết nối nào được phép thực hiện. Ngược lại, phần lớn người sử dụng bên trong các mạng cục bộ thường có thể truy nhập chỉ bằng cách sử dụng một kết nối Ethernet mà không cần phải nhận thực gì.
- Wire-rate ACLs: cho phép các danh sách điều khiển truy nhập được thực hiện mà không làm giảm hiệu năng hệ thống. (Theo VNPT)