BÁO CÁO THỰC TẬP TỐT NGHIỆP Đề tài: BÁO CÁO THỰC TẬP TỐT NGHIỆP Sinh viên: Nguyễn Ngọc Hải Nam MSSV: 1811547232 Khóa: 2018 Đơn vị TT: Cơng ty Cổ Phần Đầu Tư Công Nghệ HACOM GVHD: Nguyễn Thị Phong Dung NỘI DUNG Giới Thiệu Đơn Vị Thực Tập Công Việc Thực Hiện Tại Công Ty Đề Tài Báo Cáo Thực Tập Kết Luận Giới Thiệu Đơn Vị Thực Tập Tên Đơn Vị Thực Tập: Công ty Cổ Phần Đầu Tư Công Nghệ HACOM (HACOM) Sơ Lượt Về Công ty: Công ty Cổ phần Đầu tư Công nghệ HACOM (viết tắt “HACOM”) thành lập vào tháng 9/2001, hoạt động chủ yếu lĩnh vực bán lẻ sản phẩm máy tính thiết bị văn phịng Trải qua chặng đường 20 năm phát triển, đến HACOM (sở hữu thương hiệu HANOICOMPUTER) trở thành thương hiệu hàng đầu lĩnh vực kinh doanh sản phẩm Công nghệ thông tin Việt Nam với hệ thống showroom quy mô đại trải dài từ Bắc vào Nam Giới Thiệu Đơn Vị Thực Tập Lĩnh Vực Hoạt Động Kinh Doanh: Thiết kế giải pháp tổng thể (thiết kế hệ thống, xây dựng mạng LAN, WAN, ) Cung cấp thiết bị tin học (Máy chủ, máy tính PC, máy tính NOTEBOOKS, thiết bị ngoại vi, ứng dụng) Cung cấp phần mềm hãng giới, phần mềm quản lý, truyền thông… Các dịch vụ bảo hành, bảo trì… -4- Giới Thiệu Đơn Vị Thực Tập Cơng Việc Thực Hiện Tại Cơng Ty Học hỏi tìm hiểu sản phẩm kinh doanh công ty như: Máy Chủ, PC, chủng loại Switch, Thiết bị cân tải… Được trải nghiệm khảo sát thực tế lắp đặt thiết bị như: Camera, máy chấm công, PC, máy in dây mạng Hỗ trợ trực tiếp khách hàng cửa hang đến tận nên khách hàng yêu cầu Học hỏi nhiều kinh nghiệm nhờ dạy giúp đỡ tận tình người đồng nghiệp Rèn luyện cách giao tiếp ứng xử với người đặc biệt khách hàng Đề Tài Báo Cáo Thực Tập SƠ LƯỢC VỀ ĐỀ TÀI BÁO CÁO Đề tài báo cáo: THỰC NGHIỆM CÁC KỸ THUẬT TẤN CÔNG MẠNG LAYER-2 VÀ THỰC THI CÁC PHƯƠNG PHÁP PHÒNG CHỐNG Layer-2 gì? Là tầng liên kết liệu(Data-Link Layer) cung cấp phương tiện có tính chức quy trình để truyền liệu thực thể mạng (truy cập đường truyền, đưa liệu vào mạng), phát sửa chữa lỗi tầng vật lý có Tầng liên kết liệu nơi thiết bị chuyển mạch hoạt động Kết nối cung cấp nút mạng nối với nội mạng Đề Tài Báo Cáo Thực Tập Công nghệ chuyển mạch Switch gì? Switch (hay chuyển mạch) phận tối quan trọng mạng Nó thiết bị dùng vào việc định tuyến hay nói rõ hơn, thiết bị dựa vào thuật toán cài đặt sẵn, thông số cho giao thức cụ thể tham số nguồn liệu để xác định, tạo đường nối tạm với thiết bị khác trung chuyển liệu Tầm quan trọng Switch gì? Switch định chuyển frame dựa địa MAC, xếp vào thiết bị Lớp Chính nhờ Switch có khả lựa chọn đường dẫn để định chuyển frame nên mạng LAN hoạt động hiệu Switch thiết lập mạch ảo hai cổng tương ứng mà không làm ảnh hưởng đến lưu thông cổng khác Do đó, mạng LAN có hiệu suất hoạt động cao thường sử dụng chuyển mạch toàn Nếu có hai máy trạm thiết lập phiên kết nối chúng sử dụng lượng băng thông đáng kể hoạt động thiết bị lại kết nối vào Hub bị giảm xuống Để giải tình trạng trên, Switch xử lý cổng đoạn mạng (segment) riêng biệt Khi máy cổng khác cần liên lạc với nhau, Switch chuyển frame từ cổng sang cổng đảm bảo cung cấp chọn băng thông cho phiên kết nối -8- Đề Tài Báo Cáo Thực Tập Giao thức ARP mạng Ethernet ARP (viết tắt cụm từ Address Resolution Protocol) giao thức mạng dùng để tìm địa phần cứng (địa MAC) thiết bị từ địa IP nguồn Nó sử dụng thiết bị giao tiếp với thiết bị khác dựa tảng local network Ví dụ mạng Ethernet mà hệ thống yêu cầu địa vật lý trước thực gửi packets Thiết bị gửi sử dụng ARP để dịch địa IP sang địa MAC Thiết bị gửi request ARP chứa địa IP thiết bị nhận Tất thiết bị đoạn local network nhìn thấy thơng điệp Tuy nhiên, thiết bị có địa IP chứa request phản hồi lại với thơng điệp mà chứa địa MAC Thiết bị gửi có đầy đủ thơng tin để gửi packet tới thiết bị nhận -9- Đề Tài Báo Cáo Thực Tập Công nghệ VLAN VLAN (Virtual Local Area Network) mạng tùy chỉnh, tạo từ hay nhiều mạng cục khác (LAN) Mạng VLAN cho phép nhóm thiết bị khả dụng nhiều mạng kết hợp với thành mạng logic Từ tạo mạng LAN ảo (Virtual LAN), quản lý giống mạng LAN vật lý Nếu khơng có mạng Virtual LAN, broadcast gửi từ host dễ dàng đến thiết bị mạng Khi đó, tất thiết bị xử lý frame nhận broadcast Việc làm tăng đáng kể chi phí cho CPU thiết bị, đồng thời làm giảm khả bảo mật hệ thống Nếu ta đặt interface switch VLAN riêng biệt, broadcast từ host A đến thiết bị khả dụng Virtual LAN Các host Virtual LAN cách thức giao tiếp - 10 - Đề Tài Báo Cáo Thực Tập KỸ THUẬT PHỊNG CHỐNG TẤN CƠNG MẠNG LAYER-2 VÀ THỰC NGHIỆM TẤN CƠNG-BẢO MẬT Tấn cơng mạng Layer-2 • VLAN Hopping Attacks: Attackers sử dụng máy tính có cài phần mềm giả lập biến máy tính thành Switch bật tính Trunking Switch giả Nếu port kết nối với máy tính Switch thật có bặt tính Auto trunking Switch giả trở thành thành viên tất VLAN Khi máy tính Attacker liên lạc với VLAN hệ thống • STP Storm Attack : Làm cho hạ tầng mạng Layer-2 bị tắc nghẽn Là dạng công từ chối dịch vụ Kỹ thuật Storm STP: Dùng cơng cụ: liên tục broadcast gói BPDU khác nhau, tất Switch ln rơi vào q trình “bầu chon Root”, thời gian bầu chọn topology Root, khơng có blocked port Sự cố Switching loop xảy - 11 - Đề Tài Báo Cáo Thực Tập • • • DHCP Starvation Attack: Làm cho DHCP Server khơng cịn IP address để cấp phát cho Client Thời điểm đó, Attacker cho Rogue DHCP Server vào chạy DHCP Flooding Attack: Làm cho DHCP Server tràn ngập tiến trình cần xử lý => ngừng dịch vụ (DoS) Giả mạo DHCP Server: Mục đích: cấp phát cho Clients thơng số IP theo ý Attacker - 12 - Đề Tài Báo Cáo Thực Tập THỰC NGHIỆM TẤN CƠNG-BẢO MẬT • Tấn cơng vào VLAN(VLAN HOPPING) bảo mật: Mơ hình hệ thống Mạng nội doanh nghiệp ABC triển khai VLAN: VLAN 10 cho máy tính Server Phịng Kế tốn VLAN 20 cho máy tính Server Phòng Kinh doanh - 13 - Đề Tài Báo Cáo Thực Tập Lúc đầu máy Attacker đổi địa ip lớp mạng ping KT-SVR - 14 - Phương án công: Attacker mang vào Switch riêng (Atk-SW): Lấy cáp mạng máy tính đấu nối vào switch Atk-SW (ví dụ port 24) Máy tính Attack đấu vào Atk-SW - 15 - Đề Tài Báo Cáo Thực Tập • • Trên Atk-SW chọn port 24 cho lên chế độ trunk lệnh: Switchport mode trunk Tạo VLAN 10 Atk-SW vào them port 10 kết nối đến máy Attacker gắn vào VLAN tạo - 16 - Đề Tài Báo Cáo Thực Tập Phương pháp phòng chống: Trên SW0: cấu hình cho tất port kết nối máy tính hoạt động chế độ Access Như với câu lệnh đơn giản phịng chống VLAN HOPPING - 17 - Đề Tài Báo Cáo Thực Tập • Tấn cơng giả mạo ARP phịng chống Mơ hình mạng: - 18 - Đề Tài Báo Cáo Thực Tập Phương pháp công: Search, Download Setup phần mềm Netcut Chạy công cụ Netcut Chọn máy nạn nhân tiến hành “Net cut = ON” - 19 - Đề Tài Báo Cáo Thực Tập Máy nạn nhân (trước bị Net cut) Máy nạn nhân (sau bị Net cut) - 20 - Đề Tài Báo Cáo Thực Tập Phương pháp phịng chống: Cấu hình DHCP Snooping cho DAI lấy liệu ARP từ DHCP Server tin cậy Cấu hình kích hoạt chức chống DHCP snooping Switch: Cấu hình cho port kết nối DHCP Server tin tưởng: Kích hoạt DAI cho port thuộc VLAN 1: - 21 - Đề Tài Báo Cáo Thực Tập Cấu hình trusted cho cổng kết nối DHCP Server tin cậy (ví dụ: f0/0) Tất cổng lại mặc định untrusted: Kết Luận: Dynamic ARP Inspection (DAI) phương pháp đánh giá độ tin cậy gói ARP switch-port áp đặt Untrusted port (port khơng tin cậy) Độ tin cậy gói ARP (ARP Request ARP Reply) DAI đánh giá tin cậy dựa Trusted Database Những gói ARP có IP address MAC address không thuộc Trusted Database bị hủy - 22 - Kết Luận Qua trình làm đề tài em đưa kết luận: điểm yếu lớn giao thức lớp thiếu chứng thực Điều hiểu nhiều người quan niệm giao thức lớp hai hoạt động mạng cục nên việc chứng thực cho chúng không cần thiết Tuy nhiên qua thí nghiệm trên, ta thấy nhờ chủ quan mà cơng diễn cách dễ dàng Các biện pháp phòng chống với kiểu cơng khơng có q khó khăn, nhiên vấn đề nhà quản trị mạng phải ý thức nguy hiểm mà kẻ cơng gây mạng cục Về phần đề tài, em thấy phần lí thuyết em trình bày kĩ cịn nhiều lỗi thiếu sót Về phần thí nghiệm, em thực thí nghiệm đơn giản chưa có phần kali-linux Một phần yếu tố chủ quan em nghĩ thí nghiệm tiến hành thiết bị lớp hai nhà sản xuất - 23 - Cảm ơn người lắng nghe TP.HCM, tháng 09, 2022 ... Vị Thực Tập Công Việc Thực Hiện Tại Công Ty Đề Tài Báo Cáo Thực Tập Kết Luận Giới Thiệu Đơn Vị Thực Tập Tên Đơn Vị Thực Tập: Công ty Cổ Phần Đầu Tư Công Nghệ HACOM (HACOM) Sơ Lượt Về Công ty: Công. .. đồng nghiệp Rèn luyện cách giao tiếp ứng xử với người đặc biệt khách hàng Đề Tài Báo Cáo Thực Tập SƠ LƯỢC VỀ ĐỀ TÀI BÁO CÁO Đề tài báo cáo: THỰC NGHIỆM CÁC KỸ THUẬT TẤN CÔNG MẠNG LAYER-2 VÀ THỰC... - 18 - Đề Tài Báo Cáo Thực Tập Phương pháp công: Search, Download Setup phần mềm Netcut Chạy công cụ Netcut Chọn máy nạn nhân tiến hành “Net cut = ON” - 19 - Đề Tài Báo Cáo Thực Tập Máy nạn nhân