Các biện pháp dự phòng chống tấn công trong mạng internet

NGUYỄN ĐỨC TRỤ

CÁC BIỆN PHÁP DỰ PHÒNG CHỐNG TẤN CÔNG TRONG MẠNG INTERNET

CHUYÊN NGÀNH KỸ THUẬT ĐIỆN TỬ

LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT ĐIỆN TỬ

NGƯỜI HƯỚNG DẪN KHOA HỌC : TS LÊ DŨNG

Hà Nội – Năm 2014

DANH MỤC HÌNH VẼ v

DANH MỤC TỪ VIẾT TẮT vi

LỜI NÓI ĐẦU 1

Chương 1 Tổng quan về mạng máy tính 4

1.1 Giới thiệu về mạng máy tính 4

1.2 Các mạng máy tính ngày nay 4

1.2.1 Mạng LAN – Local Area Network 4

1.2.2 Mạng MAN Metropolitan Area Network 6

1.2.3 Mạng WAN ( wide area network) 7

1.2.4 Mạng internet 10

Chương 2 Các phương pháp dự phòng đảm bảo an toàn trong mạng core-internet 11

2.1 Các mục tiêu của việc dự phòng đảm bảo an toàn mạng 11

2.1.1 Đảm bảo tính bảo mật 11

2.1.2 Đảm bảo tính toàn vẹn dữ liệu 12

2.1.3 Đảm bảo tính sẵn sàng của hệ thống 12

2.1.4 Tấn công một hệ thống mạng 12

2.1.5 Các bước tiến hành của một tin tặc ( Hacker) 13

2.2 Các phương án dự phòng đảm bảo an toàn mạng 14

2.2.1 Thiết kế dự phòng phần cứng 14

2.2.2 Dự phòng mềm 16

2.3 Các nguy cơ về bảo mật trong mạng Core –internet 21

Chương 3 Các cách phòng chống tấn công trong mạng Core-internet triển khai tại các nhà cung cấp dịch vụ ( ISP) trong nước 22

3.1 Cấu hình chống tấn công ARP snoofing 22

Giao thức ARP 22

3.1.6 Các cách phòng chống tấn công ARP 27

3.1.7 Thực nghiệm lấy thông tin password của thiết bị khi đăng nhập trong LAN33 3.2 Tấn công làm tràn bảng MAC (CAM) 37

3.3.4 Cấu hình trên thiết bị Huawei sử dụng trong mạng METRO internet 44

3.4 Cấu hình bảo mật dùng mã hóa MD5 cho giao thức mạng 50

3.4.1 Giới thiệu 50

3.4.2 Cấu hình mã hóa cho giao thức 52

3.5 Ngăn chặn truy cập với access-list 67

3.6 Cấu hình theo dõi traffic để phát hiện tấn công trên mạng IP 71

3.6.1 Cấu hình trên thiết bị Cisco S6509 với IOS cũ 71

3.6.2 Cấu hình trên IOS XR ( mới ) thiết bị ASR9K, Cisco CRS-3 73

3.7 Phòng chống tấn công DDoS trên mạng core 74

3.8 Kiểm tra thực tế tấn công ARP trong mạng Viettel 82

KẾT LUẬN 85

TÀI LIỆU THAM KHẢO 86

LỜI CAM ĐOAN

Trước hết, tôi xin gửi lời cảm ơn chân thành tới tập thể các thầy cô trong Viện Điện tử viễn thông, trường Đại học Bách Khoa Hà Nội đã tạo ra một môi trường tốt để tôi học tập và nghiên cứu Tôi cũng xin cảm ơn các thầy cô trong Viện Đào tạo sau đại học đã quan tâm đến khóa học này, tạo điều kiện cho các học viên có điều kiện thuận lợi để học tập và nghiên cứu Và đặc biệt tôi xin gửi lời cảm ơn sâu sắc đến thầy giáo TS Lê Dũng, đã tận tình hướng dẫn và sửa chữa cho nội dung của luận văn này

Tôi xin cam đoan rằng nội dung của luận văn này hoàn toàn do tôi tìm hiểu, nghiên cứu và viết ra Tất cả đều được tôi thực hiện cẩn thận, có sự góp ý và sửa chữa của giáo viên hướng dẫn

Tôi xin chịu trách nhiệm với tất cả nội dung trong luận văn này Tác giả

Nguyễn Đức Trụ

Hình 2-1 Mô hình mạng core-ip 15

Hình 2-2 mô hình mạng triển khai dự phòng theo kiểu Ring 16

Hình 3-1 Định dạng gói tin ARP 22

Hình 3-2 Kiểm tra bảng ánh xạ ARP IP-MAC 25

Hình 3-3 Mô hình mạng tấn công MITM 27

Hình 3-4 xây dựng mô hình chứng thực kiểu client-server 28

Hình 3-5 mô hình mạng tấn công trong LAN 34

Hình 3-6 Kết quả truy cập địa chỉ modem 192.168.1.1 35

Hình 3-7 Khởi chạy cain & abel 36

Hình 3-8 Kết quả của khởi chạy 36

Hình 3-9 Quá trình tấn công MAC flooding 38

Hình 3-10 Mô hình nguyên lý hoạt động DS 42

Hình 3-11 Nguyên lý thực thi bảo đảm an toàn thiết bị 43

Hình 3-12 Kết quả thực tế kiểm tra CPU-defend 46

Hình 3-13 kết quả CPU-defend 47

Hình 3-14 kết quả CPU-Defend 48

Hình 3-15 kết quả CPU-Defend 49

Hình 3-15 Kết quả CPU-Defend 50

Hình 3-16 Mô hình giả lập kiểm tra mã hóa trên mạng 2 router 52

Hình 3-17 Kiểm tra ospf neighbor trên R1 61

Hình 3-18 Kiểm tra ospf neighbor trên R2 62

Hình 3-19 Bản tin bắt gói với Wireshark khi chưa mã hóa 64

Hình 3-20 kiểm tra thông tin OSPF với mã hóa MD5 66

Hình 3-21 kết quả bắt gói tin khi đã mã hóa 67

Hình 3-22 Mô hình kết nối server netflow trên mạng IP 74

Hình 3-23 quá trình bắt tay 3 bước trong TCP/IP 76

Hình 3-24 Mô hình kết nối của IDC 78

Hình 3-25 kết quả theo dõi traffic khi IDC bị tấn công 79

Hình 3-26 sơ đồ đấu nối khách hàng tới nhà cung cấp dịch vụ 82

LAN Local Are Network

ARP Address Resolution Protocol MAC Adress Media access controll address

DDoS Distributed denial of service

Core-ip Core internet protocol network

GSM Global System for Mobile Communications TCP Tranmission Control Protocol

LỜI NÓI ĐẦU

Khoa học công nghệ ngày một phát triển và có ảnh hưởng to lớn tới đời sống sinh hoạt và văn hóa của con người, đặc biệt là công nghệ thông tin truyền thông, nó ảnh hưởng trực tiếp đến mỗi chúng ta, đến cách mà con người nói chuyện, làm việc với nhau, ngày nay mạng máy tính phát triển cùng công nghệ không dây các hệ thống mạng GSM 2G,3G ngày càng bùng nổ mỗi người mỗi nhà đều có một cái PC, và điện thoại di động, hàng ngày chúng ta dùng đó để trao đổi tin tức và công việc, dùng điện thoại máy tính để thanh toán tiền điện nước, học phí cho con cái, hay mua đồ dùng sinh hoạt hàng ngày Với việc hoạt động dịch vụ trên mạng internet ngày càng cao việc đảm bảo tin cậy của hệ thống, chống lại các cuộc tấn công ( thường làm mất uy tín doanh nghiệp, và đánh cắp thông tin khách hàng) là vô cùng quan trọng

Vậy việc đảm bảo cho hệ thống mạng được an toàn và thông suốt đóng góp lớn vào sự phát triển của các doanh nghiệp, đảm bảo lòng tin của khách hàng, và cũng là cách tốt nhất để phát triển

Do vậy em chọn đề tài “ Các biện pháp dự phòng chống tấn công trong mạng

internet “ Nội dung bao gồm 3 phần chính

Chương 1 : Tổng quan về mạng máy tính

Chương 2 : Các phương pháp dự phòng đảm bảo an toàn trong mạng

core- internet

Chương 3 : Các cách phòng chống tấn công trong mạng core-internet triển khai

tại các nhà cung cấp dịch vụ (ISP) trong nước

Đứng dưới vai trò nhà cung cấp dịch vụ, và đang thực hiện các biện pháp đảm bảo an toàn trong mạng core-internet nên trong đề tài này chỉ đưa ra các phương pháp đảm bảo trong mạng core thuộc bộ phận truyền tải mạng IP cho tất cả các dịch vụ khác

Chương 1 Trình bày một cách tổng quan về mạng máy tính ngày nay, mục đích

là đưa ra các khái niệm, ví dụ như mạng LAN, WAN,MAN,Internet

Chương 2 Trình bày về các nguyên lý cơ bản về dự phòng, đảm bảo an toàn

mạng lưới trong hệ thống mạng, dự phòng về vật lý như về thiết bị, tuyến cáp, về các điều kiện, các điều kiện đảm bảo tính toàn vẹn dữ liệu, bảo mật hệ thống, tính sẵn sàng chống tấn công, thế nào là tấn công một hệ thống và các bước mà kẻ tấn công thường sử dụng

Chương 3 Nội dung chính của đề tài được trình bày trong chương này là các

phương pháp mà nhà mạng đã triển khai để chống tấn công đảm bảo an toàn mạng lưới, trình bày về các hình thức tấn công ARP, và giải pháp, các tin tặc lợi dụng lỗ hổng của việc bắt tay 3 bước trong giao thức TCP/IP, và một số bài thực hành mô phỏng kẻ tấn công có thể lấy cắp thông tin trong mạng LAN, trình bày mô phỏng về cấu hình mã hóa bảo mật giao thức OSPF với mã hóa MD5

Trình bày về cấu hình DS ( Device Security) cấu hình CPU defend trên router core của Huawei đang được triển khai tại Vietnam, Cấu hình theo dõi traffic dựa trên Netflow của Cisco

và trình bày một số trường hợp kiểm tra giúp các đối tác ngăn chặn tấn công kịp thời, kiểm tra nguyên nhân gây ra lỗi dịch vụ trên hệ thống mạng Metro của

Viettel Như giúp IDC chặn tấn công DDoS từ quốc tế, Kiểm tra nguyên nhân gây lỗi dịch vụ 3G ở Cần thơ

Đề tài thực hiện trong thời gian ngắn nên không thể đưa ra tất cả phương pháp đang dùng hiện nay, các ví dụ cũng chỉ dùng lại ở một giao thức là OSPF, còn nhiều giao thức công nghệ IP khách như BGP,VPN-MPSL,ISIS, Ipsec các giao thức bảo vệ vòng ring của Huawei như RRPP bảo vệ layer2

Đề tài chỉ thực hiện trong mạng core-ip các dịch vụ chỉ ở layer 3-4 lớp Network và lớp transport, do vậy chỉ có thể giới hạn ngăn chặn tấn công người dùng dựa vào địa chỉ IP, MAC, do vậy vẫn không thể phân tích được các gói tin bên trong khách hàng, không kiểm soát được nội dung, việc Lan truyền mã độc, virus… do vậy để giải quyết vấn đề này trong thời gian tới sẽ nghiên cứu thêm về hệ thông firewall faf hệ thống quản lý băng thông như SCE, Allot… có thể phân tích gói tin đến lớp 7 nên có thể kiểm soát tối đa dịch vụ khách hàng

Trân trọng !

Chương 1 Tổng quan về mạng máy tính 1.1 Giới thiệu về mạng máy tính

Mạng máy tính là tập hợp tất cả các máy tính( mà ngày nay là các thiết bị có thể kết nối với nhau như điện thoại,camera, máy in…) kết nối với nhau trao đổi giữ liệu với nhau Ngày nay kết nối mạng có một vai trò rất quan trọng nó giúp mọi người khắp nơi có thể kết nối trao đổi thông tin với nhau một cách nhanh chóng và thuận tiện, giúp chúng ta có thể gọi điện, chuyển thư điện tử, gửi ảnh, truyền video, thanh toán tiền điện, nước, chuyển khoản ngân hàng, nhìn thấy những lợi ích như thế cũng đồng nghĩa với những thách thức mà chúng ta phải đối mặt như việc đánh cắp thông tin, việc tấn công các server, máy chủ làm tê liệt các dịch vụ của khách hàng, đây đang là một vấn đền hết sức bức bách cần sự phối hợp của người dùng cùng các nhà cung cấp dịch vụ ( ISP ) Trước khi đi vào vấn đề này chúng ta hãy xem quan tổng quan về các loại mạng máy tính ngày nay

1.2 Các mạng máy tính ngày nay

Tùy thuộc vào phạm vi, mức độ, tích chất mà người ta chia mạng máy tính ra làm nhiều loại mạng khác nhau, nhưng nhìn chung xét về phạm vi hoạt động thì có thể chia thành các mạng sau:

 Mạng LAN – Local Area Network

 Mạng MAN – Metropolitan Area Network  Mạng WAN- Wide Area Network

 Mạng Internet- gọi là mạng của mạng ( kết nối mọi mạng với nhau)

1.2.1 Mạng LAN – Local Area Network

Xét về phạm vi hoạt động thì mạng LAN là mạng có quy mô nhỏ nhất trong tất cả các loại thường được hiểu là mạng các máy tính ( thiết bị kết nối) kết nối với nhau trong

một phạm vi nhỏ Và các thiết bị trong mạng thường đều được kết nối đến một thiết bị tập trung đó là Switch Đây cũng là thiết bị chính dóng vai trò kết nối trong mạng, do vậy việc bảo đảm an toàn dữ liệu trong mạng Lan cũng đều được thiết lập trên thiết bị này là chính Ta có mô hình cơ bản sau:

Máy trạm 1

Máy trạm 1

Máy trạm 5Máy trạm 4

Máy trạm 3Máy trạm 2

Hình 1-1 Sơ đồ mạng LAN đơn giản

Mạng LAN thì thường được giới hạn trong hộ gia đình, trong một phòng ban, trong lớp nhưng do nhu cầu ngày nay việc kết nối giữ các phòng ban, và tiết kiệm tài nguyên nên hiện nay người ta hay xây dựng mạng LAN ảo ( Virtual LAN) , ở đây trên Switch sẽ được cấu hình để phân chia nhóm kết nối

1.2.2 Mạng MAN Metropolitan Area Network

Mạng MAN thường được gọi là mạng đô thị là sự kết hợp của nhiều mạng LAN lại với nhau, nhưng ngày nay mạng MAN còn được hiểu là một mạng băng rộng, kết nối trong phạm vi một vùng, một khu vực rộng lớn hơn rất nhiều, thực hiện được điều này là do sự phát triển của công nghệ truyền dẫn, màn ngày nay đang sử dụng là truyền dẫn quang

Mạng MAN bây giờ là mạng tích hợp đa dịch vụ các nhà cung cấp dịch vụ ISP trong nước như Viettel, FPT, VTN đều xây dựng mạng MAN làm nền tảng chuyển dữ liệu cho các dịch vụ như 3G, IPTV, FTTX, ADSL, Cầu truyền hình…

Ví dụ về một mô hình mạng MAN

DNG_S6509 _NTH03

DNG_S6509 _NTH04

DN-SW36DN-SW35PS -

Hình 1-2 Sơ đồ mạng MAN của một khu vực thực tế

Về thiết bị thì trong mạng MAN hay còn gọi là mạng METRO thì sử dụng các bộ định tuyến ( router) và chuyển mạch ( switch) Các quận huyện thì dùng các switch chuyển mạch, và tập trung vào các Switch core đi qua bộ định tuyến và kết nối với các dịch vụ khác

Mạng METRO internet

1.2.3 Mạng WAN ( wide area network)

Mạng WAN là mạng thường được sử dụng trong các doanh nghiệp, có phạm vi kết nối lớn là mạng kết nối nhiều mạng nhỏ( mạng LAN) hay mạng thông tin băng rộng ( mạng MAN) dạng phổ biến hơn của mạng WAN chính là mạng internet ngày nay, mạng WAN kết nối các chi nhánh, các trung tâm, các doanh nghiệp với nhau

Một tập hợp các thiết bị chuyển mạch ( switch) và bộ định tuyến ( router) kết nối với nhau tạo nên mạng WAN Và sử dụng các mạng truyền dẫn như PSTN,ISDN, ATM, FrameRelay, Tvcable, Cáp quang, Viba, vệ tinh Hoặc wimax

 Dùng nhiều giao thức khách nhau ( MPLSVPN, IPSec….)  Sử dụng các Gateway

 Dùng mạng WiMax

Trục 2B - 1C

OSPF Area 0

Trục 2B – 1C

SW OFFICEHCM_S3560_HHT

SW OFFICEPLM_S3550_PLM

01_01FW DCN

SYSTEM PLMSYSTEM

SYSTEM DNG

Hình 1-3 Mô hình mạng WAN trong thực tế

Các yêu cầu chính được cần được xem xét khi thiết kế mạng diện rộng: Phân tích các yêu cầu mạng:

 Loại các ứng dụng, lưu lượng truyền tải, và mô hình truyền tải  Dự phòng và sao lưu cần thiết

Đặc điểm của mạng lưới và các ứng dụng hiện có:

 Công nghệ được sử dụng

 Địa chỉ của máy chủ, máy chủ, thiết bị đầu cuối, và các node mạng đầu cuối khác

Xây dựng mạng WAN và thiết kế mạng lưới chi nhánh:

 Chọn công nghệ WAN sử dụng để đáp ứng được các yêu cầu đặt ra

 Chọn các thành phần phần cứng và phần mềm để hỗ trợ các yêu cầu đặt ra  Mạng ứng dụng và các yêu cầu kết nối có ảnh hưởng đến thiết kế WAN

Thiết kế mạng WAN :

Mạng WAN được thiết kế dự trên yêu cầu về ứng dụng, địa lý, và các dịch của nhà cung cấp, dựa vào các yêu câu dự phòng khác nhau, về kinh phí đầu tư mà có thể xậy dựng mạng

 Mạng hình Sao ( star)  Mạng Lưới ( Mesh)

 Dạng kết hợp ( Mesh- Star) đảm bảo tính dự phòng cao

Ngày nay việc các doanh nghiệp triển khai mạng WAN rất đơn giản không tốn nhiều chi phí đầu tư, bởi vì họ sử dụng công nghệ VPN triển khai trên nền tảng phần cứng của nhà cung cấp dịch vụ, nhiều doanh nghiệp có thể dùng trung cơ sở hạ tầng mà không lo lắng nhiều đến vấn đề kinh phí và bảo mật

Ưu điểm :

 Triển khai nhanh

 Bảo mật cao ( do thiết bị đầu cuối được mã hóa)  Giá thành rẻ ( do dùng chung)

Nhược điểm phụ thuộc vào các ISP, nhưng hiện nay có nhiều nhà cung cấp dịch vụ khác nhau, do vậy vấn đề này không còn quan trọng

1.2.4 Mạng internet

Ngày nay mạng internet được hiểu là mạng kết nối tất cả các máy tính, các thiết bị kết nối khác trên toàn thế giới với nhau, là mạng của mạng, nó kết nối các mạng khác với nhau Các kết nối quốc tế sử dụng là kế nối quang tốc độ cao

Chương 2 Các phương pháp dự phòng đảm bảo an toàn trong mạng internet

core-Nhờ sự phát triển không ngừng của khoa học công nghệ và nhu cầu trao đổi thông tin của con người ngày càng cao đã làm công nghệ thông tin truyền thông phát triển một cách nhanh, mạnh, rộng rãi trễn toàn thế giới Chính nhu cầu của con người đã đặt ra nhưng yêu cầu thách thức đối với việc thiết kế mạng ngày nay, một mạng tốt có nghĩa là kết nối mọi lúc mọi nơi, đảm bảo tính dự phòng cao, có khả năng chống lại thiên tai, hỏa hoạn, và các tại nạn bất ngời xảy ra, do vậy một mạng an toàn ngày nay đời hỏi phải có tính dự phòng cao, vậy dự phòng ở đây ta hiểu theo 2 nghĩa là dự phòng về:

 Phần cứng ( dự phòng node mạng, dự phòng truyền dẫn, dự phòng băng thông…)

 Phần mền (logic) ( dự phòng về giao thức, dự phòng về khai báo, dự phòng về chống tấn công…)

Vậy trước khi đi vào phần này chúng ta đi tìm hiều các mục tiêu của việc đảm bảo an toàn mạng lưới, thông tin

2.1 Các mục tiêu của việc dự phòng đảm bảo an toàn mạng 2.1.1 Đảm bảo tính bảo mật

Các dữ liệu mật là được hiểu là các dữ liệu riêng của mỗi tổ chức cá nhân mà không được tiết lộ cho các đối tác, đối thủ cạnh tranh biết Sự riêng tư này có thể xem cả về mặt vật lý và logic, nhằm mục đích ngăn cản sự truy nhập trái phép từ bên ngoài Một mạng cung có tính bảo mật sẽ thực hiện các việc như:

 Dùng các cơ chế và thiết bị bảo mật như firewall, accesslist để ngăn chặn các truy cập bất hợp pháp

 yêu cầu các thông tin chứng thực truy cập như username, password Ví dụ ta muốn truy cập vào hệ thống thông tin nhân sự, hệ thống vật tư của công ty Ta đều phải xác thực

 Mã hóa luồng dữ liệu riêng Ví dụ các tài liệu của công ty khi được gửi đi trên internet đều được dùng phần mền mã hóa riêng mà chỉ người trong công ty mới có thể xem được

2.1.2 Đảm bảo tính toàn vẹn dữ liệu

Một hệ thống tốt là hệ thống đẩm bảo tính toàn vẹn dữ liệu có nghĩa là các tư liệu được đảm bảo không bị mất mát, thay đổi, hoạch di chuyển trước các cuộc tấn công Ví dụ về vi phạm tính toàn vẹn

 Chặn và thay đổi nội dung một phiên giao dịch điện tử

 Thay đổi nội dung bảng ghi của hệ thống nhà trạm, vật tư, hệ thống tính cước thuê bao

 thay đổi nội dung website công ty  thay đổi các tài liệu thiết kế…

2.1.3 Đảm bảo tính sẵn sàng của hệ thống

Tính sẵn sàng của hệ thống là khả năng đảm bảo trạng thái hoạt động của hệ thống, là khả năng truy cập được dữ liệu, chẳng hạn như một node mạng bị down, một server, một trạm BTS, một NodeB bị down thì khách hàng có mất dịch vụ không

Để tiếp tục phần này ta phải tìm hiểu thế nào là tấn công một hệ thống mạng và các phương pháp khách nhau và người dùng có thể bị hacker xâm nhập hệ thống máy tính, server…

2.1.4 Tấn công một hệ thống mạng

Vậy để xập nhập vào hệ thống, có thể cả về phần cứng và phần mền thì kẻ xâp nhập phải tìm ra các điểm yếu của hệ thống bởi vì chúng không thể tấn công vào nơi mà đang vững trãi không có sở hở hoặc là sẽ tốn rất nhiều công sức để thực hiện vậy đó là gì

Lỗ hổng bảo mật một kẻ phá hoại muốn tấn công vào các hệ thống chúng sẽ cố gắng tìm ra các lỗ hổng ví dụ các chương trình chạy trên máy tính bị nhiễm virus, các

website khách hàng hay truy cập, lỗi an toàn của trình duyệt, hay trong các giao thức mạng hoặc một hệ thống cung cấp điện cho các server, các router, và khi có kế hoạch chúng ta phải tìm ra các loại sau:

 Các lỗi bảo mật vật lý, điện, hỏa hoạn, động đất, lũ lụt, gió, ánh sáng, núi lửa

 Các điểm yếu trong hệ thống thiết kế  Điểm yếu trong giao thức

 Trong các script thực thi  Trong cấu hình tham số  Các chương trình độc hại  Về con người

2.1.5 Các bước tiến hành của một tin tặc ( Hacker)

 Bước 1:tìm hiểu về hệ thống bằng cách trinh thám Bước này cũng được gọi là “footprinting”, hacker sẽ tìm hiểu tất cả các thông tin về hệ thống, chẳng hạn như tên miền, khoảng IP address được sử dụng của công ty đối thủ Haker có thể sử dụng phương thức quét port để thấy các port đang mở trên hệ thống

 Bước 2: xác định ứng dụng được sử dụng trên hệ thống, chẳng hạn như hệ điều hành Hacker có thể sử dụng các công cụ khác nhau để thử kết nối vào hệ thống, và làm mọi cách để chúng chấp nhận, để sau đó có thể nhìn thấu hệ điều hành của hệ thống bên trong

 Bước 3: giành lấy quyền truy cập hệ thống Social engineering là một trong những phương thức phổ biến để lấy được bộ chứng thực đăng nhập Ví dụ như một DNS public cung cấp nội dung thông tin của tên miền một công ty Một hacker có thể dùng thông tin này làm người quản trị hệ thống tin mình để họ tiết lộ thông tin về hệ thống Chẳng hạn như hacker có thể giả vờ như một nhà cung cấp dịch vụ hoặc một thành viên thuộc chính phủ Cách tiếp cận này gọi là pretexting

 Bước 4: đăng nhập bằng bộ chứng thực lấy được, và tiến hành leo thang đặc quyền Ví dụ hacker có thể cài một con Trojan để leo thang đặc quyền

 Bước 5: thu thập thêm các username và password Với quyền đã có, hacker có thể sử dụng để tạo ra một danh sách các username và password

 Bước 6: tạo một “back door” Truy cập vào hệ thống bằng một bộ chứng thực hợp lệ để hacker không phải thường xuyên lặp lại các bước trên để truy cập vào hệ thống Password có thể hết hạn và tài khoản có thể bị khóa Do đó, hacker sẽ nạp một back door, là một phương thức lấy quyền điều khiển hệ thống bằng cách vượt qua những phương thức bảo mật thông thường

 Bước 7: sử dụng hệ thống Sau khi một hacker lấy được quyền điều khiển hệ thống, hắn có thể thu thập thông tin bảo mật của hệ thống Hoặc hacker cũng có thể thay đổi dữ liệu của hệ thống, dùng hệ thống bị điều khiển làm bàn đạp tấn công các hệ thống khác

Để xâm nhập một hệ thống tin tặc có thể dùng các công cụ khác nhau nhưng nhìn chung đều phải thông qua các bước dưới đây:

2.2 Các phương án dự phòng đảm bảo an toàn mạng 2.2.1 Thiết kế dự phòng phần cứng

Việc đảm bảo tính dự phòng của thiết bị là vô cùng quan trọng, trong thiết kế thường các node mạng được bảo vệ 1+1 có nghĩ là 1 node mà xảy ra sự cố thì không mất dịch vụ, và bảo vệ 1+1 về kết nối ngoài ra băng thông của kết nối dự phòng cũng phải được đảm bảo bằng băng thông đang sử dụng

Với mạng đấu theo kiểu fullmesh

Với cách xây dựng như trên khi mặt 1 chết thì ta thấy mặt 2 vậy chạy bình thường đảm bảo dung lượng kết nối và không ảnh hưởng đến dịch vụ

Với trường hợp mạng kết nối theo kiểu vòng Ring

Hình 2-2 mô hình mạng triển khai dự phòng theo kiểu Ring

Thông thường với các node mạng phần access ( phần kết nối với khách hàng) nhà cung cập dịch vụ thường đấu kiểu Ring để đảm bảo tính dự phòng và đỡ tốn kém chi phí triển khai Như trong sơ đồ ta thấy các router site được kết nối với nhau thành Ring và kết cuối tại các core Để đảm bảo tính dự phòng thì năng lực của các thiết bị là một điều quan trọng Việc này đòi hỏi nhà thiết kế phải có chuyên môn vững vàng cộng với kinh nghiệm trong việc triển khai, vì khi một mạng được xây dựng nên nó phải đảm bảo tính sẵn sàng mở rộng cao, để đảm bảo điều kiện phát triển

Trong một mạng ngoài các thiết bị định tuyến và chuyển mạch ra còn các thiết bị bảo vệ khác như firewall, và các Tổng đài, các server dịch vụ, và để bảo vệ chính các node mạng thì nguồn điện cung cấp cho nó cũng giữ vai tro quan trọng nên ngoài việc cung cấp nguồn điện còn có các UPS để dự phòng, và các thiết bị được đặt ở nơi có độ an toàn cao

2.2.2 Dự phòng mềm

Nhiệm vụ quan trọng khi triển khai mạng chính là dự phòng mền hay còn gọi là bảo mật mức logic

Tác vụ cứng rắn nhất khi triển khai bảo mật đó là bảo mật mức logic Chúng ta nói rằng nó có khả năng giữ tất cả những người không có thẩm quyền tránh xa hệ thống mạng

Chúng ta có thể kết luận rằng bảo mật tốt nhất là làm chậm hoặc ngăn cản một cuộc tấn công bằng cách thử đi vào hệ thống tìm thấy lỗ hổng bảo mật và ngăn chặn trước khi chúng xảy ra Việc làm này rất khó khăn và tốn nhiều thời gian trong suốt quá trình kiểm tra bảo mật nên thật sự nó không đáng để thử

 Password

Bảo mật bằng password là cách hay được sử dụng để bảo mật mức logic Sự định danh một password cho phép hệ thống nhận ra user khi nào muốn đăng nhập vào hệ thống Điều quan trọng là tạo ra một luật cho user noi theo, khi họ chọn password:

 Bắt buộc thay đổi thường lệ, và user không được phép sử dụng lại password cũ

 Giới hạn số kí tự tối thiểu

 Sử dụng các kí tự đặc biệt và con số  Dùng hỗn hợp cả chữ hoa và chữ thường

Hầu hết hệ điều hành mạng đều cho phép network administrator đặt những ràng buộc trong việc lựa chọn password, bắt người dùng phải làm theo Điều quan trọng là chọn một từ mới Nhiều người chọn password như tên người thân trong gia đình, số điện thoại… Rất dễ dàng để tìm ra những password được đặt như vậy trong mạng LAN Bởi vì hầu hết mọi người sử dụng password là những từ thông thường, nên có thể sử dụng một từ điển để phá vỡ việc chứng thực bằng password này Một qui tắc vàng là không

bao giờ chọn một từ thông thường, nhưng chúng ta có thể trộn ngẫu nhiên nhiều từ lại với nhau, ví dụ như “MKQTTBM” Những từ ngẫu nhiên này có thể là từ viết tắt của một câu có nghĩa (Mật Khẩu Quan Trọng Trong Bảo Mật) để có thể nhớ chúng một cách dễ dàng Những loại password này khó phá Nhưng tốt hơn là dùng một password với những kí tự đặc biệt và con số

Người sử dụng phải từ bỏ cách chọn password thông thường của họ Nhiệm vụ của system administrator là tạo ra thói quen cho người dùng làm theo những yêu cầu đã được chỉ ra ở trên Nếu không chỉ ra những lí do phải đặt password như ở trên thì rất khó bắt người dùng thực hiện với thái độ hợp tác

Nếu một người lạ có được một password, người đó sẽ có khả năng đăng nhập vào mạng, và sau đó thì rất đơn giản để sử dụng các tài nguyên khác Đây là lí do mà tại sao system administrator phải giám sát quá trình chọn password của người dùng Có một phần mềm có thể kiểm tra các từ khác nhau trên những password của file và thử phá vỡ một số lượng lớn các password trong file Phương thức này được gọi là password cracking Với hệ thống UNIX có sẵn nhiều chương trình phần mềm miễn phí mà cả hacker và system admin có thể sử dụng Phương thức này có thể sử dụng những bộ từ điển rất cải tiến Chúng chứa từ của nhiều ngôn ngữ khác nhau, và kết hợp giữa từ và số Nếu việc dò password này được thực hiện một cách đều đặn, thì tài khoản của user với password sẽ có thể bị phá vỡ bằng thuật toán loại trừ, và việc bảo mật password cần phải cải tiến mạnh mẽ hơn

Gõ sai password hiển nhiên có thể xảy ra Người dùng có thể quên password mới Do đó quan trọng là phải chắc rằng password không quá khó để user có thể vào lại hệ thống Nhưng nếu một lần nữa, nếu password bị gõ sai thì phải có những phản ứng ngược trở lại của hệ thống Những phản ứng của hệ thống vào việc gõ sai password vài lần có thể nằm trong những loại sau:

 Timeout period – user phải chờ một khoảng thời gian trước khi nhập vào lại một password Điều này sẽ làm chậm khả năng của kẻ xâm nhập Thời gian time out có thể được kích hoạt sau vài lần thử nhập password không thành công của user

 Deactivation of user – nếu một user quên password, tài khoản của user sẽ bị khóa lại cho đến khi người dùng liên hệ với system admin và kích hoạt lại tài khoản của user Dạng phản ứng này có thể thực thi sau một hay một vài lần đăng nhập thất bại

 False logon là một dạng phản ứng của hệ thống rất hữu dụng cho những mục tiêu có nguy cơ bị thâm nhập cao Trong trường hợp này, người xâm nhập sẽ được phép logon mặc dù nhập sai password Việc logon này chỉ cho truy cập vào những vùng rất hạn chế, và system admin sẽ được thông báo rằng có kẻ xâm nhập hệ thống Điều này đảm bảo rằng kẻ xâm nhập sẽ bị tìm ra và bị xử lí

 Login security

Chúng ta nói đến bảo mật mức logic cũng có thể đặt giới hạn dựa trên thời điểm user truy cập vào hệ thống Người dùng có thể bị cấm truy cập vào những thời gian cố định nào đó, chẳng hạn như ngoài giờ hành chính Điều này làm giảm khả năng bị xâm nhập Việc hạn chế xâm nhập có thể:

 Giới hạn số lần đăng nhập đồng thời của một tài khoản – bằng cách này, người sử dụng có thể được thông báo rằng một kẻ xâm nhập đang ở trong tài khoản của mình Bất lợi của phương pháp này là nó chỉ hữu dụng khi có hai hay nhiều người truy cập vào bằng cùng một tài khoản cùng một lúc

 Giới hạn người dùng chỉ có thể đăng nhập vào hệ thống tại những máy nhất định - cách này sẽ làm giảm khả năng làm việc độc lập của người dùng

 Giới hạn số lần đăng nhập vào hệ thống – nếu công ty có một mức độ bảo mật cao, nó sẽ hữu dụng khi giới hạn số lần được phép đăng nhập vào hệ thống trong giờ hành chính từ thứ Hai đến thứ Sáu, và không được phép truy cập vào ngày cuối tuần Nếu điều này được kết hợp với việc giới hạn số lần đăng nhập cùng một lúc, chúng ta có thể đảm bảo rằng không ai có thể đăng nhập vào tài khoản của người khác

Một thước đo bảo mật quan trọng là phải chắc chắn là người dùng phải đăng xuất ra khỏi mạng khi mà họ làm xong việc Để đảm bảo điều này, chúng ta có thể áp dụng:

 Tự động đăng xuất sau một khoảng thời gian định trước Những tài liệu đang mở có thể được tự động lưu lại

 Máy trạm có thể khóa tạm thời Để truy cập lại, phải nhập password Khoảng thời gian không sử dụng phải được thỏa thuận trước và điều chỉnh cho thích hợp Điều này khá là phiền toái khi phải gõ lại mật khẩu, khi mà chúng ta chỉ muốn dừng để tập trung suy nghĩ, nhưng cũng phải nhớ rằng thời gian chờ càng cao thì nguy cơ về bảo mật càng cao

 File security

Một loại bảo mật cuối cùng, là loại quan trọng và rất phổ biến trong mạng LAN, là bảo mật file Chia sẻ tài nguyên là một chức năng quan trọng trong mạng LAN Đối với file server, có khả năng người dùng lưu cả những file chia sẻ và những file cá nhân trên file server Để làm được điều này, chúng ta phải gán quyền vào file Cả file và thư mục phải có một hoặc nhiều owner (người sở hữu), cũng như quyền cho mỗi owner Loại quyền được đề cập trong đây có thể là đọc/ thực thi, viết vào file, tạo file trong thư mục, xóa file, và quản trị quyền Nếu một ai đó nhận một quyền, điều đó mặc định sẽ được gán vào thư mục con và file Quyền có thể được gán vào người dùng hoặc một tập hợp người dùng, chẳng hạn như group

Một file hoặc một thư mục có thể có một hoặc nhiều owner Các owner có thể có các quyền khác nhau Ví dụ như chúng ta có thể chia sẻ các thư mục chứa dự án Đối với thư mục này, tất cả các người tham gia dự án sẽ đều có thể đọc, nhưng chỉ có thể có một vài người tạo file hoặc thư mục mới cũng như thay đổi hay xóa những file đang tồn tại

2.3 Các nguy cơ về bảo mật trong mạng Core –internet

Một mạng bất kỳ thường bao gồm ít nhất các thành phần sau:  Máy trạm

 Máy chủ

 Các bộ định tuyến ( Router)  Các bộ chuyển mạch ( Switch)  Firewall

 Hệ thống truyền dẫn ( cable…)

Khi nói đến bảo mật dự phòng trong mạng không chỉ nói đến các chính sách triển khai về mức logic và vật lý, mà còn phải đảm bảo an toàn dữ liệu được truyền qua mạng, đảm bảo dịch vụ của khách hàng được thông suốt Kết nối một mạng đến một mạng ngoài internet sẽ phát sinh ra khả năng một kẻ hacker bên ngoài tấn công vào mạng trong để ăn cắp thông tin hoặc làm mất khả năng truy cập của một khách hàng nào đó Trong thiết kế mạng core là một mạng truyền tải dữ liệu cho tất cả các dịch vụ của nhà cung cấp dịch vụ, trên đó có rất nhiều kết nối với mỗi loại thì được khai báo khác nhau Và bao gồm cả kết nối đi quốc tế và các ISP khác trong nước

Các kết nối trong nước gọi là kết nối peering( ngang hàng về chính sách, điều kiện truy cập).

Chương 3 Các cách phòng chống tấn công trong mạng Core-internet triển khai tại các nhà cung cấp dịch vụ ( ISP) trong nước

3.1 Cấu hình chống tấn công ARP snoofing 3.1.1 Giao thức ARP

ARP (Address Resolution Protocol) là giao thức dùng để ánh xạ địa chỉ lớp 3 (IP) sang địa chỉ lớp 2 MAC Cấu trúc một bản tin ARP

Hình 3-1 Định dạng gói tin ARP

Vùng HARDWARE TYPE xác định kiểu của bộ giao thức phần cứng mà máy gửi đang cần biết, với giá trị 1 cho Ethernet Tương tự, vùng PROTOCOL TYPE xác định kiểu của giao thức địa chỉ cấp cao mà máy gửi cung cấp, có giá trị là 0x0800 dành cho địa chỉ IP Vùng OPERATION xác định một ARP request, ARP reply, RARP request Các vùng HARDWARE ADDRESS LENGTH và PROTOCOL ADDRESS LENGTH

cho phép ARP được sử dụng với các mạng bất kì vì chúng xác định độ dài của địa chỉ phần cứng và độ dài của địa chỉ cấp cao Các trường SENDER HARDWARE ADDRESS, SENDER IP ADDRESS cho biết địa chỉ phần cứng và địa chỉ IP của máy gửi gói tin này, các trường TARGET HARDWARE ADDRESS và TARGET IP ADDRESS sẽ chứa địa chỉ phần cứng và địa chỉ IP của máy đích

3.1.2 Quá trình chuyển bản tin trong giao thức ARP

Khi một gói tin được gửi từ lớp mạng xuống, module Address Resolution sẽ kiểm tra trong bảng ánh xạ của nó gọi là ARP cache để tìm xem có một cặp ánh xạ giữa địa chỉ logic đích với một địa chỉ vật lí nào đó hay không

Nếu tìm được một ánh xạ như vậy, module sẽ trả về địa chỉ vật lí và địa chỉ này sẽ được dùng để chuyển đến đúng đích Nếu không có ánh xạ như vậy, nó sẽ gửi đi bản tin ARP có địa chỉ vật lí đích là địa chỉ broadcast và Opcode=1 (request) Bản tin này sẽ được gửi đến tất cả các thiết bị có trong mạng

Khi một host trên mạng nhận được bản tin yêu cầu ARP, nó sẽ xử lí như sau:

 Kiểm tra xem có cùng HARDWARE TYPE, PROTOCOL TYPE không Nếu có, nó sẽ kiểm tra xem SENDER IP ADDRESS có tồn tại trong bảng ARP cache của nó hay không Nếu có thì cập nhật lại địa chỉ MAC tương ứng  Kiểm tra xem địa chỉ logic của nó có trùng với địa chỉ logic đích mà gói tin

gửi đến hay không Nếu có, nó sẽ cập nhật vào bảng ARP cache của mình Nếu không, gói tin ARP request sẽ bị hủy

 Kiểm tra opcode: nếu opcode là request thì gửi lại bản tin ARP theo dạng unicast thông báo cho máy yêu cầu biết được địa chỉ MAC của mình

Thiết bị yêu cầu, sau khi nhận được bản tin ARP reply, sẽ cập nhật lại bảng ARP cache của mình và chuyển frame đến đích theo địa chỉ MAC nhận được Trong trường hợp

không có một bản tin reply nào đến có nghĩa là thiết bị mà nó muốn trao đổi không nằm cùng mạng LAN với nó, nếu trong mạng có cấu hình proxy ARP (thiết bị dùng để trả lời các ARP request) thì proxy ARP này sẽ có nhiệm vụ gửi bản tin ARP phúc đáp với địa chỉ MAC của nó như thể là phúc đáp của máy đích Khi đó gói tin lớp 2 sẽ được đóng gói với địa chỉ MAC là địa chỉ MAC của proxy ARP và mọi thông tin sẽ được gửi đến proxy ARP này Nếu không tồn tại proxy ARP trong mạng, gói tin sẽ bị huỷ và thông báo lỗi lên lớp trên

3.1.4 Các đặc điểm cơ bản của giao thức ARP

Mỗi ánh xạ IP-MAC trong ARP cache đều chỉ tồn tại trong một khoảng thời gian cố định (trừ các ánh xạ đã được đặt tĩnh) Việc đề ra khoảng thời gian này là cần thiết khi một host nào đó:

 Di dời khỏi mạng hoặc kết nối của host vào mạng bị hỏng

 Địa chỉ logic của host được gán lại cho một địa chỉ vật lí mới Khi đó bảng ARP cache của host có thể bị xoá trắng, tuy nhiên ánh xạ địa chỉ MAC-địa chỉ logic của nó vẫn còn tồn tại trong các bảng ARP cache của các máy khác Điều này có thể dẫn đến trường hợp gói tin vẫn truyền đi được nhưng không đến được đích

Khi một host nhận được một bản tin ARP reply, nó sẽ cập nhật lại thông tin vào ARP cache mặc dù nó không gửi đi ARP request Ví dụ về ánh xạ IP-MAC

Hình 3-2 Kiểm tra bảng ánh xạ ARP IP-MAC

Lợi dụng các đặc điểm của giao thức ARP mà chúng ta có các hình thức tấn công như

sau:

3.1.5 Các hình thức tấn công ARP

Một đặc điểm quan trọng ARP là giao thức stateless khi đó một host nhận được bản tin Rely vẫn cập nhập thông tin trong đó vào ARP cache mặc dù nó hoàn toàn không gửi đi ARP request, kể tấn công lợi dụng điểm yếu này để gửi đi bản tin giả mạo địa chỉ MAC nguồn tới máy nạn nhân Kết quả là mọi thông tin máy bị tấn công gửi đi tới một host có địa chỉ IP được chứng thực sẽ được chuyển qua máy của kẻ tấn công trước tiên

và nó phát sinh ra một loạt các kiểu tấn công như DoS, Man-in-the-midle(MITM), chiếm đường truyền hoặc phiên truyền

a Tấn công giả mạo ARP ( ARP spoofing):

Có 2 hình thức dựa trên kiểu giả mạo ARP này:

Kẻ tấn công gửi đi bản tin ARP reply với địa chỉ MAC là địa chỉ Broadcast ở lớp 2 FF:FF:FF:FF:FF:FF kết quả là thông tin máy nạn nhân khi gửi unicast đến một host nào đó cũng bị coi như là gửi đến tất cả các host trong mạng

Kẻ tấn công gửi ra toàn mạng bản tin ARP reply giả mạo địa chỉ MAC của một server nào đó trong mạng bằng một địa chỉ MAC không tồn tại kết quả là khi các host yêu cầu một dịch vụ nào đó trên server thì sẽ không được đáp ứng gói tin yêu cầu có gửi đi nhưng sẽ bị hủy vì không có host nào nhận cả Đây là kiểu tấn công DoS ( denial of sevice ) từ chối dịch vụ

b Kiểu tấn công Man-in-the-middle (MITM)

Theo cách tấn công này, kẻ tấn công dùng bản tin ARP rely giả mạo gửi đến cả hai máy tính nạn nhân

Máy Tấn công IP address: 192.168.0.100

Máy A IP address: 192.168.0.101

Máy B IP address: 192.168.0.102

Hình 3-3 Mô hình mạng tấn công MITM

Máy tấn công sẽ gửi ARP có địa chỉ MAC nguồn của máy tấn công, địa chỉ IP nguồn của máy trạm B tới máy trạm A, Và gửi ARP khách có địa chỉ MAC nguồn của máy tấn công, địa chỉ IP nguồn của máy trạm A tới máy trạm B Kết quả là mọi thông tin truyền thông giữa máy trạm A và máy trạm B trên Ethernet đều đi qua may tấn công mà cả 2 máy trạm đều không biết gì cả Kẻ tấn công có thể thay đổi hoặc đánh cắp thông tin tùy theo ý định tấn công Tuy nhiên, để thực hiện thành công kiểu tấn công này, trên máy tấn công phải sử dụng phần mền chuyển gói tin thời gian thực: Gói tin đến A hoặc B phải được gửi đi ngay tức khắc và mọi gói tin đều phải giữ nguyên thông số TTL

3.1.6 Các cách phòng chống tấn công ARP

Việc phòng chống kiểu tấn công gửi bản tin ARP giả mạo nói riêng và các bản tin giả mạo khác nói chung có thể được tiếp cận theo nhiều hướng: hướng thứ nhất là làm

cách nào đó đảm bảo rằng người dùng được cấp quyền tham gia vào mạng là những người đáng tin cậy (có thể coi hướng tiếp cận này là kiểu chứng thực hướng người dùng) hoặc cấp quyền cho một số hạn chế người dùng tham gia vào mạng.Ví dụ như chứng thực kiểu port-based dựa vào chuẩn 802.1x, cấu hình static ARP Hướng tiếp cận thứ hai là cải tiến các giao thức lớp 2, thêm vào các giao thức đó các thông tin chứng thực Ví dụ như việc sử dụng giao thức S-ARP Hướng tiếp cận thứ ba là sử dụng phần mềm phát hiện gói tin giả mạo

a Chứng thực kiểu port-based (chuẩn 802.1x):

 Giới thiệu chung về chuẩn IEEE 802.1x:

Chuẩn 802.1x ra đời nhằm xây dựng một mô hình chứng thực kiểu client-server nhằm hạn chế người dùng tham gia vào mạng LAN thông qua các cổng vật lí có thể truy cập được

Mô hình triển khai của 802.1x:

Hình 3-4 xây dựng mô hình chứng thực kiểu client-server

Chức năng của từng khối trong mô hình trên:

 Client: đây có thể là máy trạm hoặc các thiết bị có nhu cầu được chứng thực để có đủ thẩm quyền tham gia vào mạng

 Authenticator(switch): có nhiệm vụ trung chuyển các thông tin chứng thực qua lại giữa client và server dùng để chứng thực

 Authenticationserver: dựa vào thông tin client gửi đến để ra quyết định xem client có đủ thẩm quyền để tham gia vào mạng hay không

Quá trình trao đổi bản tin giữa authenticator và authentication server được thực hiện thông qua giao thức chứng thực EAP (Extensible Authentication Protocol) dùng cho kết nối điểm điểm còn quá trình trao đổi bản tin giữa authenticator và client được thực hiện thông qua giao thức chứng thực EAPOL (EAP over LAN)

Những điểm cần chú ý : trước khi client được chứng thực, chỉ có một số giao thức cơ bản được dùng để trao đổi qua lại giữa nó và switch: giao thức STP, CDP Chỉ sau khi client được chứng thực, các frame dữ liệu khác mới được trao đổi một cách

 Các lệnh cấu hình:

Cấu hình trên switch về phía máy trạm:

 Switch(config)#aaa new-model :câu lệnh cho phép kích hoạt tính năng chứng thực trên switch

 Switch(config)#aaa authentication dot1x {default|list-name} method1 [method2…] :câu lệnh dùng để định ra một loạt các phương thức có thể dùng để chứng thực, các phương thức có thể là:

 group{group-name|radius|tacacs+ }: dùng một hoặc một nhóm các server dùng để chứng thực

 enable: cho phép dùng password để chứng thực người dùng

 line: password trong các trường hợp 802.1x được sử dụng cho switch line (console hoặc vty_virtual terminal)

 local: username và password được định nghĩa ngay trên switch  none: không cần chứng thực

 Switch(config)# dot1x system-auth-control: câu lệnh cho phép sử dụng chuẩn 802.1x trên switch

 Switch(config-if)# dot1x port-control unauthorized|auto}: đặt một cổng vào một trong ba chế độ, trong đó

{force-authorized|force- Force-authorized: cổng được gán có quyền (nhập sai bộ chứng thực vẫn được chấp nhận)

 Force-unauthorized: cổng không được gán quyền (nhập đúng bộ chứng thực vẫn không chấp nhận)

 Auto: cổng phải nhập đúng bộ chứng thực mới vào được

Cấu hình trên switch về phía server chứng thực (RADIUS server hoặc TACACS+ server):

Switch(config)#radius-server host {hostname |ip-address}[ key string ] Switch(config)#tacacs -server host {hostname |ip-address}[ key string ]

Trong đó key là khoá mật được chia sẻ chung giữa switch và server chứng thực

b Static ARP:

Để ngăn chặn việc một host cập nhật lại ánh xạ IP_MAC theo bản tin ARP giả mạo, ta có thể cấu hình ánh xạ IP_MAC tĩnh của các host trong mạng lên tất cả các host Tuy nhiên cách làm này chỉ phù hợp với mạng rất nhỏ bởi:

 Việc lưu toàn bộ ánh xạ IP_MAC của tất cả các host là không cần thiết vì một host thường không trao đổi với tất cả các host trên mạng

 Ngăn cản việc cấu hình DHCP server và làm tăng hoạt động của người quản trị bởi vì việc thay đổi địa chỉ của một host sẽ khiến người quản trị phải cấu hình lại bảng ánh xạ trên tất cả các host

 Đối với một số hệ điều hành như Windows, bảng ARP tĩnh này thực ra cũng chỉ tồn tại trong một phiên làm việc, khi người dùng khởi động lại máy, toàn bộ bảng ánh xạ tĩnh này sẽ bị xóa

Câu lệnh cấu hình ánh xạ tĩnh trên hệ điều hành Windows: arp-s [InetAddr ] [EtherAddr] [IfaceAddr]]

trong đó: InetAddr là địa chỉ IP,EtherAddr là địa chỉ MAC và IfaceAddr là địa chỉ của giao diện cần áp dụng.Ví dụ: arp -s 192.168.1.100 00-23-8B-5B-96-65

c S-ARP:

Một trong những lí do khiến cho việc giả mạo ARP reply dễ dàng có thể được thực hiện là không có một sự chứng thực nào cho các bản tin phúc đáp này Do đó cần thiết phải xây dựng một giao thức tích hợp cả việc chứng thực vào giao thức ARP gốc

Giao thức S-ARP được xây dựng dựa trên nền tảng của ARP nên nó có mọi đặc điểm kĩ thuật của ARP và có bổ sung thêm một header vào sau gói tin ARP gốc Bằng cách này, các bản tin S-ARP có thể được xử lí bởi các host không chạy S-ARP Các host có chạy S-ARP sẽ không chấp nhận xử lí bất kì gói tin ARP nào không được chứng thực chỉ trừ những gói tin xuất phát từ các host có trong một danh sách định trước của nó (điều đó cũng có nghĩa là các host này cũng đã được chứng thực rồi) Tuy các host chạy ARP truyền thống vẫn có thể xử lí gói tin S-ARP

nhưng một mạng LAN bao gồm các host chạy ARP lẫn S-ARP được khuyên dùng là không nên triển khai bởi vì các host chạy ARP truyền thống vẫn có thể bị tấn công

d Dynamic ARP Inspection (DAI)

Để ngăn ARP spoofing, trên switch của Cisco phải đảm bảo rằng chỉ những ARP request và ARP response hợp lệ được chuyển đi DAI (dynamic ARP inspection) ngăn dạng tấn công này bằng cách chặn và phê chuẩn tất cả các ARP request và ARP response Mỗi tin ARP reply sẽ được kiểm tra địa chỉ MAC kết hợp với địa chỉ IP trước khi chuyển nó đến máy tính để cập nhật ARP cache Những ARP hồi đáp đến từ thiết bị không hợp lệ sẽ bị hủy gói

DAI sẽ quyết định gói ARP hợp lệ dựa trên bộ kết hợp địa chỉ MAC đi cùng địa chỉ IP hợp lệ trên database được xây dựng dựa trên DHCP snooping Ngoài ra chúng ta cũng có thể cấu hình một bộ kết hợp địa chỉ IP và địa chỉ MAC hợp lệ bằng tay Để đảm bảo rằng chỉ những ARP request và response được chuyển đi, DAI sẽ làm những hành động sau:

 Forward những gói ARP nhận được trên những interface trusted mà không cần bất cứ kiểm tra gì

 Chặn tất cả những gói ARP trên port untrusted

 Kiểm tra các gói được chặn xem có bộ kết hợp MAC-IP hợp lệ không trước khi forward những gói đó để cho PC cập nhật ARP cache

 Drop, log hoặc cả drop và log những gói ARP có bộ kết hợp MAC-IP không hợp lệ

Cấu hình tất cả những switch port như untrust và tất cả những switch port nối tới những switch khác là trust Trong trường hợp cụ thể, tất cả các gói ARP đi vào

mạng sẽ đi lên distribution switch hoặc core switch, vượt qua những kiểm tra bảo mật và không yêu cầu đặc tính hợp lệ

DAI có thể dùng để giới hạn tần suất gói ARP và sau đó đưa interface đó về trạng thái errdisable nếu quá tần suất qui định

Switch(config)#ip arp inspection validate {[src-mac] [dst-mac] [ip]}

Chúng ta sẽ cấu hình tất cả các port của access switch là unstrust và những port uplink là trust

3.1.7 Thực nghiệm lấy thông tin password của thiết bị khi đăng nhập trong LAN

Trong một mạng LAN có 2 máy tính kết nối đến một routerwifi công việc của chúng ta là dò tìm mật khẩu của routerwifi Mô hình như sau:

Modem : gateway 192.168.1.1

Máy A\B 192.168.0.101

Hình 3-5 mô hình mạng tấn công trong LAN

Để quản lý được modem : có gateway là :192.168.1.1 chúng ta dùng cách cấu hình trên giao diện web( theo đề xuất của nhà cung cấp dịch vụ như hình sau: