Các loại tấn công trên Switch Layer 2 là gì và cách giảm thiểu chúng?

Tràn bảng bộ nhớ địa chỉ nội dung (CAM) Bảng bộ nhớ địa chỉ nội dung (CAM) có kích thước giới hạn. Nếu có đủ mục nhập vào bảng CAM trước khi các mục nhập khác hết hạn, bảng CAM sẽ lấp đầy đến mức không thể chấp nhận mục nhập mới. Thông thường, kẻ xâm nhập mạng làm ngập Switch với một số lượng lớn địa chỉ Điều khiển truy cập phương tiện (MAC) nguồn không hợp lệ cho đến khi bảng CAM lấp đầy. Khi điều đó xảy ra, bộ chuyển mạch sẽ làm ngập tất cả các cổng có lưu lượng đến vì nó không thể tìm thấy số cổng cho một địa chỉ MAC cụ thể trong bảng CAM. Về bản chất, Switch hoạt động giống như một trung tâm. Nếu kẻ xâm nhập không duy trì dòng địa chỉ MAC nguồn không hợp lệ, Switch cuối cùng sẽ loại bỏ các mục nhập địa chỉ MAC cũ hơn từ bảng CAM và bắt đầu hoạt động lại giống như một Switch.

Bảng CAM tràn chỉ làm ngập lưu lượng truy cập trong VLAN cục bộ nên kẻ xâm nhập chỉ nhìn thấy lưu lượng trong VLAN cục bộ mà chúng được kết nối. Có thể giảm nhẹ cuộc tấn công tràn bảng CAM bằng cách cấu hình bảo mật cổng trên switch. Tùy chọn này cung cấp thông số kỹ thuật của các địa chỉ MAC trên một cổng chuyển mạch cụ thể hoặc thông số kỹ thuật về số lượng địa chỉ MAC có thể được học bởi cổng chuyển mạch. Khi một địa chỉ MAC không hợp lệ được phát hiện trên cổng, bộ chuyển mạch có thể chặn địa chỉ MAC vi phạm hoặc đóng cổng. Đặc điểm kỹ thuật của địa chỉ MAC trên các cổng chuyển mạch là một giải pháp quá khó quản lý cho môi trường sản xuất. Có thể quản lý giới hạn số lượng địa chỉ MAC trên một cổng chuyển mạch. Một giải pháp có thể mở rộng về mặt quản trị hơn là triển khai bảo mật cổng động tại bộ chuyển mạch. Để triển khai bảo mật cổng động, hãy chỉ định số lượng địa chỉ MAC tối đa sẽ được học.

Giả mạo địa chỉ điều khiển truy cập phương tiện (MAC)

Các cuộc tấn công giả mạo Media Access Control (MAC) liên quan đến việc sử dụng địa chỉ MAC đã biết của một máy chủ khác để cố gắng làm cho mục tiêu chuyển tiếp các khung dành cho máy chủ từ xa cho kẻ tấn công mạng. Khi một khung đơn được gửi với địa chỉ Ethernet nguồn của máy chủ khác, kẻ tấn công mạng sẽ ghi đè mục nhập bảng CAM để bộ chuyển mạch chuyển tiếp các gói dành cho máy chủ tới kẻ tấn công mạng. Cho đến khi máy chủ gửi lưu lượng truy cập, nó không nhận được bất kỳ lưu lượng nào. Khi máy chủ gửi lưu lượng truy cập, mục nhập bảng CAM được viết lại một lần nữa để nó di chuyển trở lại cổng ban đầu.

Sử dụng tính năng bảo mật cổng để giảm thiểu các cuộc tấn công giả mạo MAC. Bảo mật cổng cung cấp khả năng chỉ định địa chỉ MAC của hệ thống được kết nối với một cổng cụ thể. Điều này cũng cung cấp khả năng chỉ định một hành động cần thực hiện nếu vi phạm an ninh cảng xảy ra.

Giả mạo giao thức phân giải địa chỉ (ARP)

ARP được sử dụng để ánh xạ địa chỉ IP với địa chỉ MAC trong một phân đoạn mạng cục bộ nơi các máy chủ của cùng một mạng con cư trú. Thông thường, một máy chủ sẽ gửi một yêu cầu ARP quảng bá để tìm địa chỉ MAC của một máy chủ khác có địa chỉ IP cụ thể và phản hồi ARP đến từ máy chủ có địa chỉ phù hợp với yêu cầu. Máy chủ yêu cầu sau đó lưu vào bộ nhớ cache phản hồi ARP này. Trong giao thức ARP, một điều khoản khác được thực hiện cho các máy chủ thực hiện các phản hồi ARP không được yêu cầu. Các câu trả lời ARP không được yêu cầu được gọi là ARP vô cớ (GARP). GARP có thể bị kẻ tấn công lợi dụng một cách ác ý để giả mạo danh tính của địa chỉ IP trên một phân đoạn mạng LAN. Điều này thường được sử dụng để giả mạo danh tính giữa hai máy chủ hoặc tất cả lưu lượng truy cập đến và đi từ một cổng mặc định trong một cuộc tấn công “man-in-the-middle”. Khi một phản hồi ARP được tạo, kẻ tấn công mạng có thể làm cho hệ thống của họ có vẻ là máy chủ đích mà người gửi tìm kiếm. Phản hồi ARP khiến người gửi lưu trữ địa chỉ MAC của hệ thống của kẻ tấn công mạng trong bộ nhớ cache ARP. Địa chỉ MAC này cũng được lưu trữ bởi switch trong bảng CAM của nó. Bằng cách này, kẻ tấn công mạng đã chèn địa chỉ MAC của hệ thống của mình vào cả bảng CAM của switch và ARP cache của người gửi. Điều này cho phép kẻ tấn công mạng chặn các khung dành cho máy chủ mà chúng đang giả mạo. Các bộ hẹn giờ nhấn giữ trong menu cấu hình giao diện có thể được sử dụng để giảm thiểu các cuộc tấn công giả mạo ARP bằng cách đặt khoảng thời gian mục nhập sẽ ở trong bộ nhớ cache ARP. Tuy nhiên, các bộ hẹn giờ giữ lại là không đủ. Cần phải sửa đổi thời gian hết hạn của bộ đệm ARP trên tất cả các hệ thống cuối cũng như các mục ARP tĩnh. Một giải pháp khác có thể được sử dụng để giảm thiểu các hoạt động khai thác mạng dựa trên ARP khác nhau, đó là việc sử dụng DHCP snooping cùng với kiểm tra ARP động. Các tính năng của Catalyst này xác thực các gói ARP trong mạng và cho phép chặn, ghi nhật ký và loại bỏ các gói ARP có ràng buộc địa chỉ MAC với địa chỉ IP không hợp lệ.

DHCP snooping lọc các thông báo DHCP đáng tin cậy để cung cấp bảo mật. Sau đó, những thông báo này được sử dụng để xây dựng và duy trì một bảng ràng buộc theo dõi DHCP. DHCP snooping coi các thông báo DHCP bắt nguồn từ bất kỳ cổng hướng tới người dùng nào không phải là cổng máy chủ DHCP là không đáng tin cậy. Từ góc độ theo dõi DHCP, các cổng giao diện người dùng không đáng tin cậy này không được gửi phản hồi loại máy chủ DHCP, chẳng hạn như DHCPOFFER, DHCPACK hoặc DHCPNAK. Bảng ràng buộc theo dõi DHCP chứa địa chỉ MAC, địa chỉ IP, thời gian thuê, loại liên kết, số VLAN và thông tin giao diện tương ứng với các giao diện không đáng tin cậy cục bộ của một switch. Bảng ràng buộc theo dõi DHCP không chứa thông tin về các máy chủ được kết nối với nhau bằng giao diện tin cậy. Giao diện không đáng tin cậy là giao diện được cấu hình để nhận thông báo từ bên ngoài mạng hoặc tường lửa. Giao diện tin cậy là giao diện được cấu hình để chỉ nhận các tin nhắn từ bên trong mạng. Bảng ràng buộc DHCP snooping có thể chứa cả ràng buộc địa chỉ MAC động và tĩnh với địa chỉ IP.

Kiểm tra ARP động xác định tính hợp lệ của gói ARP dựa trên ràng buộc địa chỉ MAC hợp lệ với địa chỉ IP được lưu trữ trong cơ sở dữ liệu DHCP snooping. Ngoài ra, kiểm tra ARP động có thể xác nhận các gói ARP dựa trên danh sách kiểm soát truy cập có thể định cấu hình của người dùng (ACL). Điều này cho phép kiểm tra các gói ARP cho các máy chủ sử dụng địa chỉ IP được cấu hình tĩnh. Kiểm tra ARP động cho phép sử dụng Danh sách kiểm soát truy cập trên mỗi cổng và VLAN (PACL) để giới hạn các gói ARP cho các địa chỉ IP cụ thể thành các địa chỉ MAC cụ thể.

Tình trạng đói giao thức cấu hình máy chủ động (DHCP)

Một cuộc tấn công đói DHCP hoạt động bằng cách phát các yêu cầu DHCP với các địa chỉ MAC giả mạo. Nếu đủ yêu cầu được gửi, kẻ tấn công mạng có thể làm cạn kiệt không gian địa chỉ có sẵn cho các máy chủ DHCP trong một khoảng thời gian. Kẻ tấn công mạng sau đó có thể thiết lập một máy chủ DHCP giả mạo trên hệ thống của mình và phản hồi các yêu cầu DHCP mới từ các máy khách trên mạng. Với việc đặt máy chủ DHCP giả mạo trên mạng, kẻ tấn công mạng có thể cung cấp cho khách hàng địa chỉ và thông tin mạng khác. Bởi vì phản hồi DHCP thường bao gồm cổng mặc định và thông tin máy chủ DNS, kẻ tấn công mạng có thể cung cấp hệ thống của riêng mình làm cổng mặc định và máy chủ DNS. Điều này dẫn đến một cuộc tấn công man-in-the-middle. Tuy nhiên, việc hết tất cả các địa chỉ DHCP không cần thiết để tạo ra một máy chủ DHCP giả mạo.

Các tính năng bổ sung trong dòng thiết bị chuyển mạch Catalyst, chẳng hạn như tính năng theo dõi DHCP, có thể được sử dụng để giúp bảo vệ chống lại cuộc tấn công đói DHCP. DHCP snooping là một tính năng bảo mật lọc các thông điệp DHCP không đáng tin cậy và xây dựng và duy trì một bảng ràng buộc DHCP snooping. Bảng liên kết chứa thông tin như địa chỉ MAC, địa chỉ IP, thời gian thuê, loại liên kết, số VLAN và thông tin giao diện tương ứng với các giao diện không đáng tin cậy cục bộ của một switch. Thư không đáng tin cậy là những thư nhận được từ bên ngoài mạng hoặc tường lửa. Giao diện chuyển mạch không đáng tin cậy là những giao diện được cấu hình để nhận các thông báo như vậy từ bên ngoài mạng hoặc tường lửa.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *