Port security and DHCP Protocol

by Rumbleking Posted on

Port Security

Bảo mật cổng (Port Security) – phần 1

Bảo mật cổng giới hạn số lượng địa chỉ MAC mà switch có thể học trên mỗi giao diện. Có ba loại địa chỉ MAC bảo mật:

  • Địa chỉ MAC tĩnh bảo mật: địa chỉ MAC được cấu hình thủ công và lưu trữ trong bảng địa chỉ MAC, đồng thời được thêm vào cấu hình chạy của Switch và lưu trữ sau khi khởi động lại.
  • Địa chỉ MAC động bảo mật: địa chỉ MAC được học động và chỉ lưu trữ trong bảng địa chỉ, sẽ bị xóa khi Switch khởi động lại.
  • Địa chỉ MAC bảo mật có Sticky (dính): địa chỉ MAC được học động hoặc cấu hình thủ công, lưu trữ trong bảng địa chỉ và được thêm vào cấu hình chạy để có sẵn sau khi Switch khởi động lại.

Bảo mật cổng (Port Security) – phần 2

Khi đạt đến số lượng tối đa địa chỉ MAC bảo mật cho phép, một vi phạm bảo mật sẽ xảy ra. Switch có thể phản ứng với vi phạm bảo mật theo ba cách khác nhau:

  • Bảo vệ (protect): gói tin với địa chỉ MAC nguồn chưa biết được loại bỏ cho đến khi bạn xóa đủ số lượng địa chỉ MAC bảo mật hoặc tăng số lượng địa chỉ tối đa cho phép. Không có thông báo rằng đã xảy ra vi phạm bảo mật.
  • Hạn chế (restrict): gói tin với địa chỉ MAC nguồn chưa biết được loại bỏ cho đến khi bạn xóa đủ số lượng địa chỉ MAC bảo mật hoặc tăng số lượng địa chỉ tối đa cho phép. Một thông báo SNMP trap được gửi đi, một thông điệp syslog được ghi lại và bộ đếm vi phạm tăng lên.
  • Tắt (shutdown): giao diện sẽ bị vô hiệu hóa ngay lập tức. Switch cũng sẽ gửi một SNMP trap, ghi lại một thông điệp syslog và tăng bộ đếm vi phạm. Khi một cổng bảo mật đang ở trạng thái bị vô hiệu hóa do lỗi, bạn có thể kích hoạt nó trở lại bằng cách thủ công thông qua các lệnh cấu hình giao diện shutdown và no shutdown. Đây là chế độ mặc định.

DHCP Protocol

Giao thức DHCP (Dynamic Host Configuration Protocol) được sử dụng để cung cấp địa chỉ IP và các thông tin cấu hình khác một cách động cho các máy chủ trên mạng LAN có dây và không dây.

  • Có thể dùng Wireshark để thu thập thông tin. (Chú ý đến Discover)

(trong trường hợp ko lọc được dhcp -> lọc bootp)

Ngoài lề:

DHCP và BOOTP là hai giao thức được sử dụng để cấp địa chỉ IP cho các thiết bị mạng. Dưới đây là một số điểm khác biệt chính giữa BOOTP và DHCP:

BOOTPDHCP
BOOTP là giao thức cũ hơn, được sử dụng để cấp địa chỉ IP cho các thiết bị mạng trong quá trình khởi độngDHCP là giao thức tiên tiến hơn và linh hoạt hơn, cung cấp cấp phát địa chỉ IP tự động và thông tin cấu hình bổ sung
BOOTP cho phép thiết lập địa chỉ IP tĩnhDHCP cho phép cấu hình động
BOOTP chỉ hỗ trợ cấu hình thủ côngDHCP hỗ trợ cấu hình thủ công, động và tự động của địa chỉ IP
BOOTP chỉ có thể cung cấp địa chỉ IP cho máy tính trong khi nó đang khởi độngDHCP có thể cung cấp địa chỉ IP khi hệ điều hành đã được tải

Nói chung, DHCP dễ quản lý và mở rộng hơn so với BOOTP.

DHCP Messages:

Điều này đã được nhận bởi bất kỳ server nào trong mạng bao gồm cả máy tính bạn đang sử dụng để dùng wireshark, sau đó máy chủ đã đáp lại bằng một lời đề nghị được gửi đến unicast. Chúng ta không thể nhìn thấy gói tin trên máy chủ khác, như máy tính đang sử dụng, vì đó là một gói tin unicast. Và ở bước thứ ba, điện thoại đã yêu cầu lời đề nghị bằng cách gửi một thông điệp broadcast mà chúng ta có thể nhìn thấy trong Wireshark. Bây giờ khi bạn đã hiểu rõ cách DHCP hoạt động, hãy tiếp tục xem xét về các cuộc tấn công vào DHCP. Hãy lưu ý rằng các cuộc tấn công có thể xảy ra do thiếu chức năng xác thực giữa DHCP server và các DHCP client.

DHCP Attacks Types of DHCP attacks:

  1. DHCP Flooding
  2. DHCP Starvation
  3. DHCP Rogue Server.

DHCP Flooding

Trong một cuộc tấn công lũ tràn DHCP (DHCP flooding attack), hacker sẽ flood (gửi một lượng lớn) các thông điệp DHCP Discover giả mạo tới máy chủ. Máy chủ sẽ bắt đầu xử lý những thông điệp này và trở nên không khả dụng đối với các khách hàng hợp lệ, không thể nhận được cấu hình địa chỉ IP. Điều này là một cuộc tấn công denial-of-service (DoS), khiến dịch vụ bị tắc nghẽn hoặc không hoạt động.

DHCP Starvation Attack

Một cuộc tấn công DHCP Starvation xảy ra khi một kẻ tấn công liên tục gửi các yêu cầu DHCP giả mạo với địa chỉ MAC giả mạo tới máy chủ DHCP.

Tools to perform this attack: dhcpig, dhcpstarv, gobbler or yersinia

Rogue DHCP Server

Một máy chủ DHCP giả mạo (rogue DHCP server) là một máy chủ DHCP được thiết lập trên mạng bởi một kẻ tấn công hoặc một người dùng không có ý thức, và không được kiểm soát bởi quản trị mạng.

Các biện pháp đối phó với các cuộc tấn công DHCP

Tấn công DHCP Starvation

– Cấu hình Bảo mật Cổng trên Switch.

– Bật kiểm tra Địa chỉ MAC trên máy chủ DHCP.

Rogue DHCP Server

– Bật DHCP Snooping trên switch truy cập.

DSW(config)#ip dhcp snooping DSW(config)#ip dhcp snooping vlan 1,10,20 DSW(config)#int e0/0 DSW(config-if)#ip dhcp snooping trust DSW(config-if)#end DSW#sh ip dhcp snooping  

Goodluck (▀̿Ĺ̯▀̿ ̿)

Leave a Reply

Your email address will not be published. Required fields are marked *

Proudly powered by WordPress | Theme: Code Blog by Crimson Themes.