Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

DHCP Snooping, DAI và IP Source Guard

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • DHCP Snooping, DAI và IP Source Guard

    Bùi Nguyễn Hoàng Long
    VnPro



    I. Giảm tấn công giả mạo
    Kẻ tấn công có thể gởi thông tin giả mạo để “đánh lừa” Switch hay những máy tính nhằm chuyển tiếp luồng dữ liệu đến của người dùng đến gateway giả. Mục đích của kẻ tấn công là trở thành “man-in-the-middle”, khi máy tính người dùng gởi dữ liệu đến gateway để ra mạng bên ngoài, máy tính của kẻ tấn công sẽ trở thành gateway trong trường hợp này. Kẻ tấn công có thể phân tích nội dung của mỗi gói dữ liệu được gởi đến trước khi thực hiện chuyển tiếp thông thường. Với tính năng của Cisco Catalyst: DHCP Snooping, IP source guard và dynamic ARP (DAI) cho phép ngăn chặn một số loại tấn công dạng này.

    II. DHCP Snooping
    Một Server DHCP thông thường cung cấp những thông tin cơ bản cho một máy tính hoạt động trên mạng. Ví dụ: máy tính người dùng có thể nhận địa chỉ IP, địa chỉ gateway, địa chỉ DNS... Giả sử kẻ tấn công xây dựng một Server DHCP giả trong cùng mạng với máy tính người dùng, và khi máy tính người dùng thực hiện gởi broadcast DHCP Request, khi đó Server DHCP giả có thể sẽ gởi thông tin trả lời và máy tính người dùng sẽ dùng Server DHCP giả làm gateway. Lúc này tất cả luồng dữ liệu gởi ra mạng bên ngoài đều sẽ đi qua gateway giả và kẻ tấn công sẽ thực hiện phân tích và biết được nội dụng của dữ liệu sau đó gói được chuyển tiếp đi như bình thường. Đây là một dạng tấn công “man-in-the-middle”, kẻ tấn công thay đổi đường đi của gói dữ liệu mà người dùng không thể nhận biết.


    Với DHCP Snooping sẽ giúp ngăn chặn loại tấn công này loại này. Khi DHCP được kích hoạt, cổng trên Switch sẽ phân loại thành cổng tin cậy (trusted) và không tin cậy (untrusted).
    Cổng tin cậy cho phép nhận DHCP Reply hay cổng được kết nối với Server DHCP, trong khi cổng không tin cậy chỉ cho phép nhận DHCP Request hay cổng kết nối với máy tính người dùng. Nếu Server DHCP giả gắn vào cổng không tin cậy và gởi DHCP Reply thì gói Reply sẽ bị loại bỏ.
    DHCP Snooping sẽ thực hiện phân tích gói DHCP Request và Reply, xây dựng bảng cơ sở dữ liệu về địa chỉ IP được cấp, địa chỉ MAC, thông tin cổng... mà máy tính đó thuộc.

    1. Cấu hình DHCP Snooping
    Kích hoạt tính năng DHCP Snooping
    SW(config)#ip dhcp snooping
    Tính năng information option cho phép mang thông tin về cổng mà máy tính đó thuộc khi thực hiện DHCP request, tuy nhiên tùy chọn này buộc Server DHCP phải hổ trợ, trong trường hợp không cần thiết bạn nên tắt tính năng này
    SW(config)#no ip dhcp snooping information option

    Xác định tính năng DHCP Snooping trên VLAN
    SW(config)#ip dhcp snooping vlan 1

    Xác định cổng tin cậy

    SW(config)#interface fa0/24
    SW(config-if)#ip dhcp snooping trust

    2. Kiểm tra

    Địa chỉ IP được cấp trên Server DHCP


    Switch xây dựng bảng cơ sở dữ liệu dựa vào thông tin của DHCP Request và Reply



    Thông tin cổng tin cậy



    Trong một số trường hợp kẻ tấn công có thể thực hiện DHCP Request với địa chỉ MAC giả, sử dụng hết dãy địa chỉ trên Server DHCP. Và Server DHCP không còn địa chỉ để cấp cho người dùng khác . Để hạn chế DHCP Snooping cho phép giới hạn tốc độ gói Request được gởi

    SW(config)#interface range fa0/1 - 2
    SW(config-if-range)#ip dhcp snooping limit rate 10

    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  • #2
    II. Dynamic ARP Inspection

    PC thường dùng ARP để phẩn giải một địa chỉ MAC không biết khi địa chỉ IP được biết. Khi địa chỉ MAC được cần để một gói có thể được gởi. PC gởi broadcast ARP Request mà chứa địa chỉ IP của PC cần tìm địac chỉ MAC. Nếu có bất kỳ PC nàu dùng địa chỉ IP đó, nó sẽ trả lời địa chỉ MAC tương ứng. Tuy nhiên một ARP Reply có thể được tạo ra mà không cần ARP Request hay còn gọi là (gratuituos ARP), để cho những PC khác trong mạng có thể cập nhật bảng ARP khi có sự thay đổu xảy ra. Lợi dụng điều này kẻ tân cống thực hiện gởi gratuituos ARP với thông tin giả, nó sẽ thay thể địa chỉ MAC của nó với địa chỉ của IP gateway thay vì địa chỉ MAC của gateway, điều này sẽ buộc máy nạn nhân thay đổi lại bảng ARP với thông tin sai, đây là dạng tấn công “ARP spoofing” được xem như man-in-the-middle, gói dữ liệu sẽ đến gateway giả trước khi được chuyến tiếp đến đích.



    Tính năng DAI ( Dynamic ARP inspection) có thể ngăn chặn loại tấn công này. DAI làm việc tương tu với DHCP Snooping, tất cà các cổng sẽ phân loại thành tin cậy và không tin cậy. Switch sẽ thực hiện phân tích hợp lệ của ARP Request và Reply trên cổng không tin cập nơi mà cở sở dữ liệu của DHCP Snooping đã xây dựng trước đó, nếu nội dung của gói ARP Re quest hay Reply bao gồm MAC và IP mà khác so với giá trị trong cơ sở dữ liệu được xây dựng trước đó gói sẽ bị loại bỏ. Cổng tin cậy sẽ không thực hiện kiểm tra gói ARP Request và Reply.
    Hành động này ngăn chặn sự không hợp lệ hay gói ARP giả mạo được gởi.

    1. Cấu hình

    Trạng thái bảng ARP trên PC2



    Thực hiện ARP spoofingvới ứng dụng Switchsnarf trên PC1
    Xác định cổng mà gói ARP giả mạo sẽ được gởi


    Chọn Scan Network để tìm PC trên mạng
    Chọn PC mà có phần DescriptionSniffable, chọn Start Spoofing



    Thực hiện Telnet từ PC2



    Bảng ARP trên PC2 bị thay đổi



    Dùng Wireshark để thực hiện phân tích nội dung gói



    Gói Telnet gởi đến PC1 trước khi đến Router



    Trong trường hợp nếu DHCP Snooping đã được cấu hình trước đó, bạn chỉ cần xác định VLAN sử dụng tính năng DAI

    SW(config)#ip arp inspection vlan 1

    Xác định cổng tin cậy (tất cả các cổng còn lại là không tin cậy)

    SW(config)#interface fa0/24

    SW(config-if)#ip arp inspection trust

    2. Kiểm tra
    Chạy lại ứng dụng Switchsnarf trên PC1, thông tin log cho biết gói ARP Reply không hợp lệ bị loại bỏ

    00:54:51: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([001b.fc36.ecdd/192.168.1.3/0007.0e9a.0dc0/192.168.1.1/00:54:51 UTC Mon Mar 1 1993])
    00:54:51: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([001b.fc36.ecdd/192.168.1.1/001b.fc36.ece4/192.168.1.3/00:54:51 UTC Mon Mar 1 1993])
    Trong trường hợp nếu như PC2 khai báo địa chỉ tĩnh, Switch sẽ không có thông tin để kiểm tra, bạn có thể xây dựng thông tin tĩnh để kiểm tra sự giả mạo

    SW(config)#arp access-list ARPINSPECT
    SW(config-arp-nacl)#permit ip host 192.168.1.3 mac host 001B.FC36.ECE4

    SW(config)#ip arp inspection filter ARPINSPECT vlan 1



    Mặc định DAI chỉ kiểm sự vi phạm dựa vào nội dung của gói ARP, mà không kiểm tra giá trị của header của gói ARP. Thực hiện câu lệnh sau khi cần kiểm tra thêm giá trị header của gói ARP

    SW(config)#ip arp inspection validate ?
    dst-mac Validate destination MAC address
    ip Validate IP addresses
    src-mac Validate source MAC address


    • Src-mac: Kiểm tra đại chỉ MAC nguồn trong header Ethernet với địa chỉ MAC của nguời gởi trong gói ARP Reply
    • Det-mac: Kiểm tra địa chỉ MAC đích trong Ethernet header với địa chỉ MAC đích trong gói ARP Reply
    • IP: Kiểm tra địa chỉ IP của người gởi trong tất cả các gói ARP Request, kiểm tra địa chỉ IP của thiết bị gởi với địa chỉ IP đích trong tất cả gói ARP Reply
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3
      IP Source Guard

      Giả mạo địa chỉ là một loại tấn công khó được ngăn chặn, thông thường một thiết bị PC sẽ có một địa chỉ IP được gán và địa chỉ này dùng cho tất cả gói dữ liệu được gởi ra, tuy nhiên một PC vẫn có thể gởi ra những gói dữ liệu với địa chỉ là giả mạo hoặc ngẫu nhiên. Thường kẻ tấn công dùng đcơ chể này để thực Dos hoặc Ddos.
      Với IP Source Guard trên Cisco Switch cho phép hạn chế loại tấn công này dựa vào địa chỉ của gói với cơ sơ dữ liệu của DHCP Snooping. Mặc định chỉ có địa chỉ IP của gói được kiểm tra, nếu địa chỉ này không khớp với bảng dữ liệu của DHCP Snooping gói sẽ bị loại bỏ.

      1. Cấu hình
      Xác định cổng và kích hoạt tính năng IP Source Guard
      SW(config)#interface range fa0/1 - 2
      SW(config-if-range)#ip verify source

      2. Kiểm tra

      Địa chỉ của gói được nhận trên cổng phải khớp với thông tin có được từ DHCP Snooping


      Thực hiện kiểm tra sự hợp lệ với PC1



      Thay đổi địa chỉ bằng cách gán tĩnh trên PC1, gói sẽ bị loại bỏ do không hợp lệ



      Trong trường hợp bạn muốn kiểm tra thêm địa chỉ MAC của gói

      SW(config-if-range)#ip verify source port-security



      Tuy nhiên trong trường hợp này tất cả địa chỉ MAC lại được cho phép, bạn cần dùng kết hợp với port-security để xác định địa chỉ IP và MAC cụ thể được cho phép

      SW(config)#interface range fa0/1 - 2
      SW(config-if-range)#switchport mode access
      SW(config-if-range)#switchport port-security




      Trong trường hợp không sử dụng dữ liệu của DHCP Snooping bạn có thể xây dựng dữ liệu tĩnh

      SW(config)#ip source binding 001B.FC36.ECE4 vlan 1 192.168.1.3 interface fa0/2

      Phạm Minh Tuấn

      Email : phamminhtuan@vnpro.org
      Yahoo : phamminhtuan_vnpro
      -----------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org
      - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment


      • #4
        rồi thank bác luôn nha .. hay đó
        Kho Lanh - Cho Thue May Lanh - Phong Tru Lanh

        Comment


        • #5
          Thanks Thầy !

          Bài viết hay và có ý nghĩa
          Nhiệt tình + Không biết >> Phá hoại

          Comment


          • #6
            Thầy cho em hỏi những catalyst switch nào của cisco hỗ trợ tính năng trên ạ ?!

            Comment


            • #7
              Originally posted by senria1 View Post
              Thầy cho em hỏi những catalyst switch nào của cisco hỗ trợ tính năng trên ạ ?!
              hầu hết các switch cisco đều ho trợ dhcp-snooping

              Comment

              Working...
              X