TEAM LOGIC – Dự án nâng cao chất lượng tay nghề nhân DHCP SNOOPING Mục lục DHCP Snooping chế độ gì? I   DHCP Snooping tính chống giả mạo DHCP Server, DHCP Server cho phép admin có quyền cấp DHCP cho máy tính mạng Tính chống giả mạo IP hay chống giả mạo MAC Address (ARP Inspection) hoạt động dựa DHCP-Snooping II Phương thức hoạt động 2.1 DHCP Snooping hoạt động ? DHCP-Snooping công cụ thiếu muốn nâng cao tính bảo mật cho mạng LAN cách ngăn chặn người dùng sử dụng phần mềm giả mạo MAC, IP với mục đích xấu TEAM LOGIC – Dự án nâng cao chất lượng tay nghề nhân Mơ hình DHCP-Snooping Khi DHCP Snooping kích hoạt, port Switch phân loại thành Port tin cậy (trusted) không tin cậy (untrusted) Port trusted cho phép nhận DHCP Reply hay Port kết nối với Server DHCP Nếu DHCP Server giả mạo gắn vào Port untrusted gửi DHCP Reply gói tin Reply bị loại bỏ Các Port vi phạm tự động shutdown chuyển sang trạng thái err-disable DHCP snooping có sở liệu có chứa địa MAC client, địa IP cung cấp, thời gian cấp, thông tin Port… 2.2 Lý cần DHCP Snooping Ta cần DHCP Snooping để ngăn chặn cơng “main-in-the-middle” Giả sử có hacker giả mạo DHCP server trả lời cho gói tin DHCP Discover trước DHCP thực trả lời, từ đó, DHCP giả mạo gửi thơng tin cấu hình IP, có Gateway giả mạo Khi máy tính người dùng gửi liệu đến GW để mạng bên ngoài, máy tính hacker trở thành GW trường hợp Hacker phân tích nội dung gói liệu gửi đến trước thực chuyển tiếp thông thường TEAM LOGIC – Dự án nâng cao chất lượng tay nghề nhân Trong ví dụ đây, máy nạn nhân sau nhận thông tin địa IP từ DHCP Server giả mạo, truy cập website, ví dụ ngân hàng, facebook… bị chuyển hướng truy cập tới máy chủ kẻ cơng kiểm sốt Trên máy chủ kẻ cơng tạo website giả mạo có giao diện giống y hệt website thật, nhằm đánh lừa nạn nhân nhập tài khoản, mật khẩu, từ đánh cắp thơng tin III Kịch việc công thường diễn sau: Bước 1: Máy tính hacker vét cạn tồn Pool IP máy DHCP Server cách liên tục gửi yêu cầu xin cấp phát IP (DHCP Discover) tới DHCP Server Mỗi yêu cầu DHCP Discover chứa địa MAC giả mạo nhằm đánh lừa DHCP Server lời yêu cầu TEAM LOGIC – Dự án nâng cao chất lượng tay nghề nhân từ máy tính khác Vì Pool địa IP cấp phát DHCP Server hữu hạn nên sau cấp phát hết IP, DHCP Server phục vụ yêu cầu xin IP từ máy Client khác Bước 2: Hacker cài đặt phần mềm DHCP Server máy cấp phát thông số IP giả mạo, điều hướng truy cập nạn nhân đến máy chủ kiểm soát nhằm đánh lừa đánh cắp thông tin Như vậy, trường hợp này, phòng chống việc công sao? Một số hãng công nghệ đưa giải pháp phòng chống Cụ thể đưa DHCP Snooping vào Switch: - - Cấu hình Port Switch thành Port trust untrust Port trust port cho phép gửi tất tin DHCP Như ví dụ trên, Port nối với DHCP Server cấu hình trust Port untrust Port gửi tin xin cấp phát địa IP (DHCP Discover) Do vậy, PC Hacker có cài phần mềm DHCP Server, khơng thể gửi tin DHCP cấp phát địa IP giả mạo Như vậy, bước ví dụ ngăn chặn Để ngăn chặn bước ví dụ trên, trước hết, cần hiểu cách thức attack Hacker liên tục gửi yêu cầu xin cấp phát địa IP giả mạo đến DHCP Server, pool IP cạn kiệt Giải pháp ngăn chặn là:  Xây dựng bảng chứa thông tin liên quan giữa: Địa MAC máy trạm—Địa IP—Vlan—Số hiệu Port Bảng dùng để giám sát việc xin cấp phát IP máy trạm Tránh việc máy xin cấp nhiều địa  Quy định số lượng gói tin DHCP đến Port/đơn vị thời gian ... Lý cần DHCP Snooping Ta cần DHCP Snooping để ngăn chặn cơng “main-in-the-middle” Giả sử có hacker giả mạo DHCP server trả lời cho gói tin DHCP Discover trước DHCP thực trả lời, từ đó, DHCP giả... hình DHCP- Snooping Khi DHCP Snooping kích hoạt, port Switch phân loại thành Port tin cậy (trusted) không tin cậy (untrusted) Port trusted cho phép nhận DHCP Reply hay Port kết nối với Server DHCP. .. DHCP Nếu DHCP Server giả mạo gắn vào Port untrusted gửi DHCP Reply gói tin Reply bị loại bỏ Các Port vi phạm tự động shutdown chuyển sang trạng thái err-disable DHCP snooping có sở liệu có chứa