Tweet
Bùi Nguyễn Hoàng Long
VnPro
I. Giảm tấn công giả mạo
Kẻ tấn công có thể gởi thông tin giả mạo để “đánh lừa” Switch hay những máy tính nhằm chuyển tiếp luồng dữ liệu đến của người dùng đến gateway giả. Mục đích của kẻ tấn công là trở thành “man-in-the-middle”, khi máy tính người dùng gởi dữ liệu đến gateway để ra mạng bên ngoài, máy tính của kẻ tấn công sẽ trở thành gateway trong trường hợp này. Kẻ tấn công có thể phân tích nội dung của mỗi gói dữ liệu được gởi đến trước khi thực hiện chuyển tiếp thông thường. Với tính năng của Cisco Catalyst: DHCP Snooping, IP source guard và dynamic ARP (DAI) cho phép ngăn chặn một số loại tấn công dạng này.
II. DHCP Snooping
Một Server DHCP thông thường cung cấp những thông tin cơ bản cho một máy tính hoạt động trên mạng. Ví dụ: máy tính người dùng có thể nhận địa chỉ IP, địa chỉ gateway, địa chỉ DNS... Giả sử kẻ tấn công xây dựng một Server DHCP giả trong cùng mạng với máy tính người dùng, và khi máy tính người dùng thực hiện gởi broadcast DHCP Request, khi đó Server DHCP giả có thể sẽ gởi thông tin trả lời và máy tính người dùng sẽ dùng Server DHCP giả làm gateway. Lúc này tất cả luồng dữ liệu gởi ra mạng bên ngoài đều sẽ đi qua gateway giả và kẻ tấn công sẽ thực hiện phân tích và biết được nội dụng của dữ liệu sau đó gói được chuyển tiếp đi như bình thường. Đây là một dạng tấn công “man-in-the-middle”, kẻ tấn công thay đổi đường đi của gói dữ liệu mà người dùng không thể nhận biết.
Với DHCP Snooping sẽ giúp ngăn chặn loại tấn công này loại này. Khi DHCP được kích hoạt, cổng trên Switch sẽ phân loại thành cổng tin cậy (trusted) và không tin cậy (untrusted).
Cổng tin cậy cho phép nhận DHCP Reply hay cổng được kết nối với Server DHCP, trong khi cổng không tin cậy chỉ cho phép nhận DHCP Request hay cổng kết nối với máy tính người dùng. Nếu Server DHCP giả gắn vào cổng không tin cậy và gởi DHCP Reply thì gói Reply sẽ bị loại bỏ.
DHCP Snooping sẽ thực hiện phân tích gói DHCP Request và Reply, xây dựng bảng cơ sở dữ liệu về địa chỉ IP được cấp, địa chỉ MAC, thông tin cổng... mà máy tính đó thuộc.
1. Cấu hình DHCP Snooping
Kích hoạt tính năng DHCP Snooping
SW(config)#ip dhcp snooping
Tính năng information option cho phép mang thông tin về cổng mà máy tính đó thuộc khi thực hiện DHCP request, tuy nhiên tùy chọn này buộc Server DHCP phải hổ trợ, trong trường hợp không cần thiết bạn nên tắt tính năng này
SW(config)#no ip dhcp snooping information option
Xác định tính năng DHCP Snooping trên VLAN
SW(config)#ip dhcp snooping vlan 1
Xác định cổng tin cậy
SW(config)#interface fa0/24
SW(config-if)#ip dhcp snooping trust
2. Kiểm tra
Địa chỉ IP được cấp trên Server DHCP
Switch xây dựng bảng cơ sở dữ liệu dựa vào thông tin của DHCP Request và Reply
Thông tin cổng tin cậy
Trong một số trường hợp kẻ tấn công có thể thực hiện DHCP Request với địa chỉ MAC giả, sử dụng hết dãy địa chỉ trên Server DHCP. Và Server DHCP không còn địa chỉ để cấp cho người dùng khác . Để hạn chế DHCP Snooping cho phép giới hạn tốc độ gói Request được gởi
SW(config)#interface range fa0/1 - 2
SW(config-if-range)#ip dhcp snooping limit rate 10
VnPro
I. Giảm tấn công giả mạo
Kẻ tấn công có thể gởi thông tin giả mạo để “đánh lừa” Switch hay những máy tính nhằm chuyển tiếp luồng dữ liệu đến của người dùng đến gateway giả. Mục đích của kẻ tấn công là trở thành “man-in-the-middle”, khi máy tính người dùng gởi dữ liệu đến gateway để ra mạng bên ngoài, máy tính của kẻ tấn công sẽ trở thành gateway trong trường hợp này. Kẻ tấn công có thể phân tích nội dung của mỗi gói dữ liệu được gởi đến trước khi thực hiện chuyển tiếp thông thường. Với tính năng của Cisco Catalyst: DHCP Snooping, IP source guard và dynamic ARP (DAI) cho phép ngăn chặn một số loại tấn công dạng này.
II. DHCP Snooping
Một Server DHCP thông thường cung cấp những thông tin cơ bản cho một máy tính hoạt động trên mạng. Ví dụ: máy tính người dùng có thể nhận địa chỉ IP, địa chỉ gateway, địa chỉ DNS... Giả sử kẻ tấn công xây dựng một Server DHCP giả trong cùng mạng với máy tính người dùng, và khi máy tính người dùng thực hiện gởi broadcast DHCP Request, khi đó Server DHCP giả có thể sẽ gởi thông tin trả lời và máy tính người dùng sẽ dùng Server DHCP giả làm gateway. Lúc này tất cả luồng dữ liệu gởi ra mạng bên ngoài đều sẽ đi qua gateway giả và kẻ tấn công sẽ thực hiện phân tích và biết được nội dụng của dữ liệu sau đó gói được chuyển tiếp đi như bình thường. Đây là một dạng tấn công “man-in-the-middle”, kẻ tấn công thay đổi đường đi của gói dữ liệu mà người dùng không thể nhận biết.
Với DHCP Snooping sẽ giúp ngăn chặn loại tấn công này loại này. Khi DHCP được kích hoạt, cổng trên Switch sẽ phân loại thành cổng tin cậy (trusted) và không tin cậy (untrusted).
Cổng tin cậy cho phép nhận DHCP Reply hay cổng được kết nối với Server DHCP, trong khi cổng không tin cậy chỉ cho phép nhận DHCP Request hay cổng kết nối với máy tính người dùng. Nếu Server DHCP giả gắn vào cổng không tin cậy và gởi DHCP Reply thì gói Reply sẽ bị loại bỏ.
DHCP Snooping sẽ thực hiện phân tích gói DHCP Request và Reply, xây dựng bảng cơ sở dữ liệu về địa chỉ IP được cấp, địa chỉ MAC, thông tin cổng... mà máy tính đó thuộc.
1. Cấu hình DHCP Snooping
Kích hoạt tính năng DHCP Snooping
SW(config)#ip dhcp snooping
Tính năng information option cho phép mang thông tin về cổng mà máy tính đó thuộc khi thực hiện DHCP request, tuy nhiên tùy chọn này buộc Server DHCP phải hổ trợ, trong trường hợp không cần thiết bạn nên tắt tính năng này
SW(config)#no ip dhcp snooping information option
Xác định tính năng DHCP Snooping trên VLAN
SW(config)#ip dhcp snooping vlan 1
Xác định cổng tin cậy
SW(config)#interface fa0/24
SW(config-if)#ip dhcp snooping trust
2. Kiểm tra
Địa chỉ IP được cấp trên Server DHCP
Switch xây dựng bảng cơ sở dữ liệu dựa vào thông tin của DHCP Request và Reply
Thông tin cổng tin cậy
Trong một số trường hợp kẻ tấn công có thể thực hiện DHCP Request với địa chỉ MAC giả, sử dụng hết dãy địa chỉ trên Server DHCP. Và Server DHCP không còn địa chỉ để cấp cho người dùng khác . Để hạn chế DHCP Snooping cho phép giới hạn tốc độ gói Request được gởi
SW(config)#interface range fa0/1 - 2
SW(config-if-range)#ip dhcp snooping limit rate 10
Comment