MỤC LỤC 1.1 Tổng quan mạng diện rộng (Wide Area Network ) 1.1.3 Router LAN WAN 11 1.1.4 Vai trò router mạng WAN 13 Lời mở đầu Trong thời đại công nghệ thơng tin tồn cầu ngày nay, an ninh mạng vấn đề cộm nhiều người nói đến Khi nói đến an ninh mạng người ta thường nói đến kiểu cơng, phương pháp đột nhập; lấy trộm thông tin… Để đảm bảo mạng chống lại công trên, công ty thường sử dụng công cụ tường lửa hay sử dụng hệ thống phát xâm nhập IDS… Tuy nhiên nhà quản trị mạng lại quên điều nguy công không đến từ mạng bên ngồi mà cịn tiềm ẩn mạng nội cơng ty Các cơng diễn dễ dàng nguy hiểm phần chủ quan nhà quản trị mạng Bởi cơng cụ kể làm việc tốt với lớp mơ hình OSI (từ lớp trở lên) lại hồn tồn khơng có tác dụng với gói tin lớp Như ta biết, mơ hình OSI mơ hình tham chiếu bao gồm lớp có chức độc lập với tương tác qua lại lẫn phần giao diện hai lớp Điều cho phép lớp phát triển mở rộng cách linh động mà không làm ảnh hưởng đến lớp khác không làm ảnh hưởng đến giao diện chuẩn với lớp khác Tuy nhiên điều đem lại điểm hạn chế lớn: lớp bị cơng việc liên lạc trao đổi thông tin bị làm tổn hại mà lớp khác lại khơng biết Như sơ đồ trên, an toàn hệ thống tương đương với mức độ an toàn kết nối yếu Lớp dễ bị ảnh hưởng công lớp khác, nhiên khả bị công lớp cao gấp bội người quản trị hệ thống không coi trọng việc đảm bảo an tồn cho lớp Có lẽ tính độc lập Sự độc lập lớp cho phép có khả nǎng liên tác (interoperability) khả nǎng kết nối (interconnectivity) mạnh Tuy nhiên, xét phương diện an ninh, điều lại tạo thách thức không nhỏ do"bị" thoả hiệp Hệ thống an ninh mạng mạnh lớp 2, tuyến phòng yếu này, phải đủ mạnh Đặc điểm lớp (lớp Liên kết liệu) đáng ý Có lẽ tính độc lập Sự độc lập lớp cho phép có khả nǎng liên tác (interoperability) khả nǎng kết nối (interconnectivity) mạnh Tuy nhiên, xét phương diện an ninh, điều lại tạo thách thức không nhỏ do"bị" thoả hiệp Hệ thống an ninh mạng mạnh lớp 2, tuyến phòng yếu này, phải đủ mạnh Ai quan tâm đến lớp 2? Thông thường, hoạt động mạng thường theo lịch trình Một phận thực tác vụ vận hành mạng - nhân viên quản trị mạng (network administrator) phận thực tác vụ an ninh mạng - nhân viên an ninh mạng (security administrator) Tuy nhiên, hoạt động thường kết thúc lớp lớp Các nhân viên quản trị mạng thường sử dụng mạng LAN ảo (Virtual LAN) Rất nhiều tuyến kết nối VLAN vào/ra thiết bị chuyển mạch (LAN switch) Khi nhân viên an ninh mạng yêu cầu có phân đoạn mạng mới, nhân viên quản trị mạng tạo mạng VLAN cung cấp cho phận an ninh vùng địa Bên an ninh họ sử dụng VLAN họ không quan tâm bên vận hành mạng làm với switch Bộ phận an ninh mạng chí cịn thường xun khơng quan tâm đến lớp mà họ tập trung vào lớp lớp cao Sự khác biệt quan điểm thể thiết bị mạng Các Firewall thường thiết lập với cấu hình bảo mật cao chúng lần đầu cài đặt Theo mặc định, chúng điều chỉnh chúng không cho phép trao đổi thông tin Các thiết bị chuyển mạch thiết bị định tuyến lại hoàn toàn trái ngược Chúng thiết kế theo xu hướng "khuyến khích truyền thơng" Khi thực chức nǎng - mở kết nối - chúng tạo lỗ hổng bảo mật kế thừa switch router thường tích hợp sẵn tính nǎng bảo mật bên Tuy nhiên, tính nǎng khả nǎng chúng khơng kích hoạt trừ nhân viên quản trị mạng bật tính nǎng lên Thơng thường tính nǎng không sử dụng, sử dụng không cách Một khảo sát an ninh tội phạm máy tính nǎm 2002 Viện nghiên cứu an ninh máy tính Cục điều tra liên bang Mỹ tiến hành cho thấy gia tǎng đáng kể kiểu công mạng (http://gocsi.com) Nǎm 1996, phần lớn vụ công đến từ hệ thống bên Phần lại đến từ khu vực dial-up quét cổng Internet Đến cuối nǎm 2002, số lượng chủng loại vụ công thay đổi Hơn 70% vụ công thực theo kiểu quét cổng từ bên 30% xuất phát từ hệ thống bên Tuy nhiên, số lượng vụ cơng từ bên cịn lớn thiệt hại mà kiểu công gây lớn nhiều so với vụ cơng từ bên ngồi Theo thăm dị cho thấy có nhiều người quản trị không quan tâm đến vấn đề an ninh Với câu hỏi :  Bạn sử dụng biện pháp an ninh lớp 2?  Bạn có thường xuyên sử dụng mạng LAN ảo (VLAN) khơng?  Bạn có đặt mức an ninh khác lên switch sử dụng VLAN khơng?  Q trình cấp phát địa cho phân đoạn mạng gì? Thì hầu hết câu trả lời với hầu hết nhà quản trị mạng là:  Có vấn đề an ninh xảy với lớp à?  Tôi sử dụng mạng LAN ảo thường xuyên  Nếu người làm công tác bảo mật yêu cầu cấp cho phân đoạn mạng mới, tạo VLAN gán địa cho Câu trả lời với hầu hết nhà an ninh mạng là:  Tơi quản lí vấn đề an ninh từ lớp trở lên  Tơi chẳng có ý kiến chúng tơi sử dụng VLAN  Tại lại phải quan tâm đến việc mà làm với mạng chuyển mạch  Tôi yêu cầu người quản trị mạng phân đoạn mạng họ cấp cho port địa Vấn đề đặt ta phải nắm kiểu công mà hacker tiến hành nhằm làm tổn hại đến hệ thống đồng thời phải đưa cách phòng ngừa hiệu làm giảm thiểu hậu mà công gây Trong đề tài này, em xin đề cập đến kiểu công chủ yếu vào lớp bao gồm Ba chương chính: Chương I: Cơ sở lý thuyết + Tổng quan WAN + Mơ hình OSI, giao thức TCP/IP + Khái niệm địa IP địa MAC + Giới thiệu kiểu công Chương II: Kiểu cơng VLAN Chương III: Chương trình mơ VLAN Các chương bao gồm phần lí thuyết chung giao thức, điểm yếu giao thức mà kẻ cơng lợi dụng, kiểu cơng phương pháp phịng chống Em xin bày tỏ lòng cảm ơn sâu sắc tới Ban chủ nhiệm khoa, thầy giáo tận tình giảng dậy, trang bị cho chúng em vốn kiến thức, kinh nghiệm quý báu, cung cấp cho chúng em điều kiện môi trường học tập tốt Để hoàn thành đề tài em xin cảm ơn chân thành tới Thầy Lê Tuấn Anh Thầy tận tình hướng dẫn bảo để em hồn thành đề tài cách tốt Thái Nguyên 10/03/2011 CHƯƠNG I: CƠ SỞ LÝ THUYẾT 1.1 Tổng quan mạng diện rộng (Wide Area Network ) 1.1.1 Giới thiệu WAN WAN mạng truyền liệu qua vùng địa lý rộng lớn bang, tỉnh, quốc gia… Các phương tiện truyền liệu WAN cung cấp nhà cung cấp dịch vụ, ví dụ cơng ty điện thoại Mạng WAN có số đặc điểm sau: - WAN dùng để kết nối thiết bị cách xa vùng địa lý lớn - Wan sử dụng dịch vụ công ty cung cấp dịch vụ, ví dụ như: Regional Bell Operating Companies (RBOCs), Sprint, MCI, VPM internet servies, Inc, Altantes.net… - WAN sử dụng nhiều loại liên kết nối tiếp khác - WAN có số điểm khác với LAN Ví dụ như: LAN sử dụng để kết nối máy tính đơn lẻ, thiết bị ngoại vi, thiết bị đầu cuối nhiều thiết bị khác nhà hay phạm vi địa lý nhỏ Trong WAN sử dụng để kết nối mạng qua vùng địa lý lớn Các công ty thường sử dụng WAN để kết nối chi nhánh mình, nhờ mà thơng tin trao đổi dễ dàng trung tâm Mạng WAN hoạt động chủ yếu lớp vật lý lớp liên kết liệu mơ hình OSI WAN kết nối mạng LAN lại với Do đó, WAN có thực chuyển đổi gói liệu router, switch mạng LAN mà kết nối Sau thiết bị sử dụng WAN: - Router: cung cấp nhiều dịch vụ khác nhau, bao gồm Internet giao tiếp WAN - Loại switch sử dụng WAN cung cấp kết nối cho hoạt động thông tin liên lạc thoại, video liệu - Modem: bao gồm: giao tiếp với dịch vụ truyền thoại; CSU/DSU (Channel service units/Digital service units) để giao tiếp với dịch vụ T1/E1; TA/NT1 ( Terminal Adapters/ Network Termination 1) để giao tiếp với dịch vụ ISDN ( Integrated Services Digital Network) - Server thông tin liên lạc: tập trung xử lý gọi người dùng Hình 1.1: Các thiết bị WAN Các giao thức lớp liên kết liệu mạng WAN mơ tả cách thức mà gói liệu vận chuyển hệ thống đường truyền liệu Các giao thức thiết kế cho dịch vụ chuyển mạch điểm-đến-điểm, đa điểm, đa truy cập, ví dụ như: FrameRelay Các tiêu chuẩn mạng WAN định nghĩa quản lý tổ chức quốc tế sau: - Liên hiệp viễn thông quốc tế - lĩnh vực tiêu chuẩn viễn thông- ITU-T ( International TelecommunicationUnion-Telecommunication - Standardization Sector), trước Uỷ ban cố vấn điện thoại điện tín quốc tế - CCITT ( Consultative Committee for International Telegraph and Telephone) - Tổ chức quốc tế tiêu chuẩn – ISO ( International Organization for Standardization) - Tổ chức đặc trách kỹ thuật Internet – IETF ( Internet Engineering Ták Force) Liên hiệp công nghiệp điện tử - EIA ( Electronic Industries Association) 1.1.2 Giới thiệu router mạng WAN Hình 1.2 Router loại máy tính đặc biệt Nó có thành phần giống máy tính: CPU, nhớ, system bus cổng giao tiếp Tuy nhiên router thiết kế để thực số chức đặc biệt Ví dụ: router kết nối hai hệ thống mạng với cho phép hai hệ thống liên lạc với nhau, ngồi router cịn thực việc chọn lựa đường tốt cho liệu Cũng giống máy tính cần phải có hệ điều hành để chạy chương trình ứng dụng router cần phải có hệ điều hành để chạy tập tin cấu hình Tập tin cấu hình chứa câu lệnh thông số để điều khiển luồng liệu ra/ vào router Đặc biệt router sử dụng giao thức định tuyến để định chọn đường tốt cho gói liệu Do đó, tập tin cấu hình chứa thông tin để cài đặt chạy giao thức định tuyến router Các thành phần bên router bao gồm: nhớ RAM, NVRAM, nhớ flash, ROM cổng giao tiếp RAM, hay gọi RAM động ( DRAM – Dynamic RAM) có đặc điểm chức sau: Lưu bảng định tuyến - Lưu bảng ARP - Có vùng nhớ chuyển mạch nhanh - Cung cấp vùng nhớ đệm cho gói liệu - Duy trì hàng đợi cho gói liệu - Cung cấp nhớ tạm thời cho tập tin cấu hình router router dang hoạt động - Thông tin RAM bị xoá router khởi động lại bị tắt điện Đặc điểm chức NVRAM: - Lưu giữ tập tin cấu hình khởi động router - Nội dung NVRAM lưu giữ router khởi động lại bị tắt điện Đặc điểm chức nhớ Flash: - Lưu hệ điều hành IOS - Có thể cập nhật phần mềm lưu Flash mà không cần thay đổi chip xử lý - Nội dung Flash lưu giữ router khởi động lại tắt điện - Ta lưu nhiều phiên khác phần mềm IOS Flash - Flash loại ROM xố lập trình (EPROM) Đặc điểm chức ROM: - Lưu giữ câu lệnh chương trình tự kiểm tra khởi động – POST ( Power-on Self Test) - Lưu chương trình bootstrap hệ điều hành - Bạn phải thay chip mainboard bạn muốn nâng cấp phần mềm ROM Đặc điểm chức cổng giao tiếp: - Kết nối router vào hệ thống mạng để nhận chuyển gói liệu - Các cổng gắn trực tiếp mainboard dạng card rời 10 Do tất switch mạng có VLAN có liên kết trunk với bảng CAM bị tran 3.2 Tấn cơng đóng gói giả mạo VLAN 3.2.1 Tấn cơng đóng gói giả mạo VLAN: Sơ đồ thí nghiệm: Hình 3.3: Mơ hình thí nghiệm kiểu cơng đóng gói giả mạo VLAN Yêu cầu thiết bị: -2 switch Cisco 2924, IOS 11.2 -2 PC : cho kẻ công cho nạn nhân; máy kẻ cơng có sử dụng phần mềm đóng gói VLAN: dot1q Các bước tiến hành: • Bước 1: Bước chuẩn bị : chia VLAN hai switch; cấu hình trunk cổng fa0/24 Đưa cổng vào VLAN tương ứng Cấu hình switch (switch cấu hình tương tự):  Chia VLAN: Switch # vlan database Switch (vlan-data)# vlan Switch (vlan-data)# vlan Switch (vlan-data)# vlan Switch (vlan-data)# exit 51  Đưa cổng 1; cổng cổng 16 vào VLAN tương ứng ; 2; Ví dụ cho cổng vào VLAN 2: Switch (config-if)# switchport mode access Switch (config-if)# switchport access vlan  Cấu hình trunk cổng fa 0/24: Switch (config-if)# switchport trunk encapsulation dot1q Switch (config-if)# switchport trunk native vlan Switch (config-if)# switchport mode trunk • Bước 2: Kẻ cơng gửi tin đóng gói VLAN giả mạo tới máy nạn nhân; ví dụ gói tin giả mạo dùng dot1q: C:>dot1q –d 2:2:2:2:2:2 –s 1:1:1:1:1:1 Hình 3.4: Gói tin giả mạo VLAN Sau cho máy kẻ công nạn nhân nằm VLAN khác đồng thời gói tin giả mạo gửi với VLAN ID khác Kết thu được: Trường hợp máy kẻ công nạn nhân nằm hai switch khác nhau: 52 Hình 3.5: Kết công giả mạo VLAN trường hợp khác switch Nhận xét: Từ bảng ta thấy từ VLAN (native VLAN đường trunk) sang VLAN khác khơng có trường hợp hai VLAN khác native VLAN VLAN sang lẫn Giải thích kết quả: Từ VLAN đến VLAN 2: Hình 3.6 : Sơ đồ giải thích 53 (trong sơ đồ Di : địa đích thuộc VLAN i; Si: địa nguồn thuộc VLAN I, Vi: tag đóng gói VLAN i) Q trình chuyển tin giải thích sau:  Bản tin đóng gói trunk có tag VLAN ID sau chuyển đến cổng switch Do cổng hoạt động chế độ access nên khơng hiểu tag đóng gói nên coi phần phần liệu Switch nhận thấy gói tin nhận cổng mà lại chưa đóng gói nên đóng gói VLAN với VLAN ID =1  Bản tin chuyển sang trình forwarding Switch tìm kiếm ánh xạ D2 V1 bảng FID (do gói tin unicast) Tuy nhiên, ánh xạ không tồn nên switch gửi tin cổng VLAN trừ cổng nhận tin dựa vào Egress List Vì cổng trunk thuộc VLAN nên tin gửi cổng đánh dấu untag VLAN native VLAN trunk  Bản tin gửi qua đường trunk đến switch Switch nhận thấy tin đóng gói nên kiểm tra bảng FID có tồn ánh xạ D2 V2 hay không Do tồn ánh xạ nên tin chuyển đến máy nạn nhân Từ VLAN khơng thể đến VLAN 3: Hình 3.7: Sơ đồ giải thích 54 Gói tin sau khỏi switch phải đóng gói tag VLAN Sau switch nhận tin gửi qua đường trunk; tin đóng gói; switch kiểm tra xem ánh xạ D3 V2 tồn bảng chưa Do ánh xạ chưa tồn nên tin gửi cổng VLAN (trừ cổng 24) Các cổng lại 9-16 đầu cuối máy có địa MAC trùng với D3 (máy có địa MAC D3 nằm cổng 17) nên nhận gói tin gửi đến, máy huỷ gói tin Kết gói tin đóng gói giả mạo VLAN khơng đến đích • Bước 3: Thay cho máy công máy nạn nhân nằm hai switch khác nhau, ta cho máy công máy nạn nhân nằm switch Kết sau cho máy thuộc vào VLAN khác nhau: Hình 3.8: Kết cơng giả mạo VLAN trường hợp switch Nhận xét: So với trường hợp cơng khác switch trường hợp switch ta thu kết tương tự : Từ VLAN đến VLAN khác 55 3.2.2 Tấn cơng giả mạo VTP Sơ đồ thí nghiệm: Hình 3.9: Sơ đồ cơng giả mạo VTP Cấu hình thiết bị: -Hai switch Cisco 2950 -Ba PC PC máy kẻ cơng có cài phần mềm giả mạo VTP: vtpdown Các bước tiến hành: • Bước 1: (chuẩn bị): Tạo số VLAN switch 1: VLAN 2,3,4,5,6,10; cấu hình cho switch VTP server; đặt VTP domain name steve Cấu hình cho switch VTP client  Tạo VLAN switch 1: Switch # vlan database Switch (vlan-data)# vlan Switch (vlan-data)# vlan Switch (vlan-data)# vlan Switch (vlan-data)# vlan Switch (vlan-data)# vlan Switch (vlan-data)# vlan 10 56 Switch (vlan-data)# exit  Đặt chế độ server cho switch 1; chế độ client cho switch 2: Switch (vlan-data)# vtp server Switch (vlan-data)# vtp client  Đặt vtp domain name switch switch Switch (vlan-data)#vtp domain steve  Kiểm tra vlan database switch 2: có VLAN tạo switch hay chưa Kết : Hình 3.10: VLAN database switch 57  Kiểm tra số revision: Hình 3.11: Hiển thị trạng thái switch • Bước 2: Kẻ công gửi tin VTP giả mạo đến switch Tuy nhiên trước đó, cần phải gửi tin DTP giả mạo để liên kết PC switch liên kết trunk Bản tin giả mạo gửi nhờ phần mềm VTP down: C:> vtpdown Phần mềm gửi hai tin VTP liên tiếp: Bản tin VTP tóm tắt tin VTP subset Nội dung hai tin giả mạo bắt là: 58 Hình 3.12: Bản tin VTP tóm tắt giả mạo Hình 3.13: Bản tin VTP subset giả mạo 59 • Bước 3: Kiểm tra VLAN database switch client: Hình 3.14: VLAN database switch sau bị công Kiểm tra trạng thái VTP switch server: Hình 3.15: Trạng thái vtp switch server Trạng thái vtp switch client Hình 3.16: Trạng thái vtp switch client 60 Từ kết đạt trên, ta thấy switch chịu ảnh hưởng kiểu công VTP giả mạo Cụ thể hai switch cập nhật tin có revision number lớn (27) • Bước 4: Kiểm tra hậu kiểu công : từ PC switch ping thử PC switch Bắt gói tin ICMP nhận PC kẻ công 3.2.3 Nhận xét Qua thí nghiệm cơng đóng gói giả mạo VLAN cơng giả mạo VTP, ta thấy thực tế kiểu công khơng khó để phịng chống Tuy nhiên người quản trị mạng không ý thức kiểu cơng mục tiêu an ninh chia VLAN không thực kẻ cơng dễ dàng nghe thơng tin 61 Kết luận Qua q trình làm đề tài em đưa kết luận: điểm yếu lớn giao thức lớp thiếu chứng thực Điều hiểu nhiều người quan niệm giao thức lớp hai hoạt động mạng cục nên việc chứng thực cho chúng không cần thiết Tuy nhiên qua thí nghiệm trên, ta thấy nhờ chủ quan mà cơng diễn cách dễ dàng Các biện pháp phòng chống với kiểu cơng khơng có q khó khăn, nhiên vấn đề nhà quản trị mạng phải ý thức nguy hiểm mà kẻ cơng gây mạng cục Về phần đề tài, em thấy phần lí thuyết em trình bày kĩ cịn nhiều lỗi thiếu sót Về phần thí nghiệm, em thực hai thí nghiệm đơn giản Một phần yếu tố chủ quan em nghĩ thí nghiệm tiến hành thiết bị lớp hai nhà sản xuất Một phần yếu tố khách quan em khơng có đủ thiết bị để tiến hành tất thí nghiệm đề Tuy nhiên em nghĩ thành cơng việc giải thích kết thí nghiệm mà người khác tiến hành 62 Hướng phát triển đề tài Việc thêm thông tin chứng thực vào giao thức lớp đem lại hiệu rõ rệt (ví dụ việc sử dụng giao thức S-ARP) Tuy nhiên giao thức triển khai việc thêm phần chứng thực vào Ví dụ giao thức STP; VTP hay DTP giao thức chạy thiết bị mạng lớp Nếu muốn triển khai phần chứng thực vào giao thức cần thiết phải viết lại hệ điều hành cho thiết bị mà điều lại phụ thuộc hồn tồn vào nhà sản xuất Do biện pháp phòng chống cách lợi dụng đặc trưng thiết bị phương án phòng chống hiệu Trong đề tài tốt nghiệp này, em đề cập đến số phương thức công dựa vào giao thức lớp ARP; STP; DTP hay VTP Bên cạnh đó, cịn có số kiểu công khác công dựa vào giao thức CDP (Cisco Discovery Protocol); giao thức RSTP (Rapid STP): giao thức cải tiến giao thức STP; công vào PVLAN (Private VLAN)….cũng cần nghiên cứu xem xét cách cẩn thận để đề cách phịng chống thích hợp 63 Tài liệu tham khảo David Hucaby “CCNP BCMSN Exam Certification Guide”, NXB Cisco Press, 2003 Wendell Odom “CCNA Intro Exam Certification Guide”, NXB Cisco Press, 2003 Steve A Rouiller “Virtual LAN Security: weaknesses and countermeasures” www.securitydocs.com/Architecture/VLAN http://www.nextsecurity.net 64 ... 0.0.0.0 đến 127 .25 5 .25 5 .25 5 B 128 .0.0.0 đến 191 .25 5 .25 5 .25 5 C 1 92. 0.0.0 đến 22 3 .25 5 .25 5 .25 5 D 22 4.0.0.0 đến 23 9 .25 5 .25 5 .25 5 E 24 0.0.0.0 đến 24 7 .25 5 .25 5 .25 5 * Địa mạng con: Đối với địa lớp A,B số trạm... Subnet mask số 32 bit với bít tương ứng với phần netid subnetid đặt bít cịn lại đặt băng Như địa thực trạm hợp địa IP subnet mask Ví dụ địa lớp C: 20 3.1 62. 7. 92, đó: 20 3.1 62. 7 : địa mạng 92: địa Ip... vlan-id] 24 1.4 Một số kiểu công a, Kiểu công làm tràn bảng CAM (MAC flooding) 1.4.1 Phương thức công Kiểu công làm tràn bảng CAM dựa vào điểm yếu thiết bị chuyển mạch: bảng CAM chứa số hữu hạn