Tweet
Làm sao để chống kiểu tấn công làm tràn bảng MAC của switch?
Trong mạng máy tính, mỗi cổng truy cập (access port) trên switch thường chỉ nên học một địa chỉ MAC duy nhất — vì mỗi người dùng hay thiết bị thường chỉ có một card mạng. Tuy nhiên, vẫn có những ngoại lệ hợp lệ như:
Máy tính chạy một vài máy ảo, mỗi máy ảo có thể có địa chỉ MAC riêng
Điện thoại IP có tích hợp switch nhỏ để chia sẻ mạng với máy tính
Dù vậy, nếu một cổng bắt đầu học hàng chục, thậm chí hàng trăm địa chỉ MAC, có thể bạn đang gặp một trong các tình huống sau:
Người dùng cắm một switch trái phép (rogue switch) để chia sẻ mạng cho nhiều thiết bị
Tấn công tràn bảng CAM (CAM table overflow attack): kẻ tấn công gửi hàng nghìn frame, mỗi frame có địa chỉ MAC giả khác nhau nhằm làm đầy bảng địa chỉ MAC trên switch. Khi bảng đầy, switch không còn biết chuyển frame đi đâu, nên gửi broadcast đến toàn bộ VLAN — từ đó kẻ tấn công có thể nghe lén (sniffing) dữ liệu.
CAM (Content-addressable memory) là bộ nhớ lưu trữ địa chỉ MAC của switch — nên còn gọi là bảng địa chỉ MAC.
Tấn công giả mạo DHCP (DHCP spoofing attack): kẻ tấn công gửi hàng loạt yêu cầu DHCP, mỗi yêu cầu dùng địa chỉ MAC khác nhau, khiến DHCP server cấp phát hết địa chỉ trong pool, dẫn đến người dùng hợp pháp không thể nhận địa chỉ IP.
Giải pháp: TRIỂN TÍN NĂNG Port Security trên switch
Tính năng bảo mật cổng (Port Security) trên switch giúp bạn kiểm soát số lượng địa chỉ MAC mà một cổng được phép học.
Ví dụ: bạn có thể cấu hình chỉ cho phép tối đa 1 hoặc 2 địa chỉ MAC trên một cổng. Nếu có thêm địa chỉ lạ xuất hiện, switch sẽ phản ứng theo cấu hình của bạn:
Ngay sau đây là hướng dẫn cấu hình lab để bạn thực hành thiết lập Port Security trên switch Cisco.
SW2(config-if)# interface Gi0/2
! Enable the feature per interface
SW2(config-if)# switchport port-security
SW2(config-if)# switchport port-security maximum 5
! Set the violation action. Default is err-disable. Protect will simply
! not allow
SW2(config-if)# switchport port-security violation protect
SW2(config-if)# switchport port-security mac-address sticky
! Để kiểm tra hãy dùng lệnh sau:
SW2# show port-security
Trong mạng máy tính, mỗi cổng truy cập (access port) trên switch thường chỉ nên học một địa chỉ MAC duy nhất — vì mỗi người dùng hay thiết bị thường chỉ có một card mạng. Tuy nhiên, vẫn có những ngoại lệ hợp lệ như:
Máy tính chạy một vài máy ảo, mỗi máy ảo có thể có địa chỉ MAC riêng Điện thoại IP có tích hợp switch nhỏ để chia sẻ mạng với máy tínhDù vậy, nếu một cổng bắt đầu học hàng chục, thậm chí hàng trăm địa chỉ MAC, có thể bạn đang gặp một trong các tình huống sau:
Người dùng cắm một switch trái phép (rogue switch) để chia sẻ mạng cho nhiều thiết bị Tấn công tràn bảng CAM (CAM table overflow attack): kẻ tấn công gửi hàng nghìn frame, mỗi frame có địa chỉ MAC giả khác nhau nhằm làm đầy bảng địa chỉ MAC trên switch. Khi bảng đầy, switch không còn biết chuyển frame đi đâu, nên gửi broadcast đến toàn bộ VLAN — từ đó kẻ tấn công có thể nghe lén (sniffing) dữ liệu. CAM (Content-addressable memory) là bộ nhớ lưu trữ địa chỉ MAC của switch — nên còn gọi là bảng địa chỉ MAC. Tấn công giả mạo DHCP (DHCP spoofing attack): kẻ tấn công gửi hàng loạt yêu cầu DHCP, mỗi yêu cầu dùng địa chỉ MAC khác nhau, khiến DHCP server cấp phát hết địa chỉ trong pool, dẫn đến người dùng hợp pháp không thể nhận địa chỉ IP. Giải pháp: TRIỂN TÍN NĂNG Port Security trên switchTính năng bảo mật cổng (Port Security) trên switch giúp bạn kiểm soát số lượng địa chỉ MAC mà một cổng được phép học.
Ví dụ: bạn có thể cấu hình chỉ cho phép tối đa 1 hoặc 2 địa chỉ MAC trên một cổng. Nếu có thêm địa chỉ lạ xuất hiện, switch sẽ phản ứng theo cấu hình của bạn:- Shutdown (mặc định): tắt luôn cổng khi vi phạm
- Protect: bỏ qua các frame từ MAC lạ nhưng vẫn giữ cổng hoạt động
- Restrict: giống Protect, nhưng có gửi thông báo cảnh báo qua syslog
Ngay sau đây là hướng dẫn cấu hình lab để bạn thực hành thiết lập Port Security trên switch Cisco.SW2(config-if)# interface Gi0/2
! Enable the feature per interface
SW2(config-if)# switchport port-security
SW2(config-if)# switchport port-security maximum 5
! Set the violation action. Default is err-disable. Protect will simply
! not allow
SW2(config-if)# switchport port-security violation protect
SW2(config-if)# switchport port-security mac-address sticky
! Để kiểm tra hãy dùng lệnh sau:
SW2# show port-security