Bài 4 trình bày về bảo mật Layer 2. Nội dung chính của chương này gồm: Giới thiệu bảo mật ở lớp 2, tấn công giả mạo MAC Address, tấn công đánh tràn bảng MAC, thay đổi cây STP, LAN storm Attack, cấu hình Layer 2 Security. Mời các bạn cùng tham khảo.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin fit@ispace.edu.vn http://fit.ispace.edu.vn @Email: fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn MÔN HỌC: XÂY DỰNG HỆ THỐN FIREWALL Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS @Email: fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn BÀI 4: BẢO MẬT LAYER Phương pháp bảo mật lớp Giới thiệu bảo mật lớp Tấn công giả mạo MAC Address Tấn công đánh tràn bảng MAC Thay đổi STP LAN storm Attack Cấu hình Layer Security Câu hỏi ơn tập @Email: fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn MỤC TIÊU BÀI HỌC Giới thiệu bảo mật lớp Trình bày phương pháp cơng lớp Cấu hình bảo mật cho thiết bị lớp @Email: fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới Thiệu Bảo Mật Layer Giới thiệu bảo mật layer Chuyên gia bảo mật mạng khơng bảo vệ mạng layer 3, mà bảo vệ mạng layer Những cộng mạng layer bao gồm : Tấn công VLAN, công làm tràn bảng MAC, thay đổi SPT, giả mạo địa MAC @Email: fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Tấn Công Giả Mạo Địa MAC Tấn công giả mạo địa MAC Switch lưu trữ địa MAC đối tượng kết nối với bảng MAC ADDRESS TABLE Tấn công giả mạo địa MAC thay đổi nội dụng bảng MAC @Email: fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Tấn Công Giả Mạo Địa MAC Tấn công giả mạo địa MAC Thông tin liệu gởi cho Server gởi qua cho kẻ công @Email: fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Tấn Công Đánh Tràn bảng MAC Tấn cơng làm tràn bảng MAC Switch gởi gói tin dựa vào thông tin địa MAC map MAC-ADDRESSTABLE Dung lượng MACADDRESS-TABLE có hạn @Email: fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Tấn Công Đánh Tràn bảng MAC Tấn công làm tràn bảng MAC Nếu attacker thay đổi địa MAC liên tục, làm bảng MAC đầy Thông tin gởi đến flood tất port @Email: fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Thay Đổi Cây STP Thay đổi SPT SPT giao thức bảo vệ đường link lớp Việc thay đổi SPT làm cho mơ hình mạng bị xáo trộn, kẻ cơng xem thơng tin truy cập Cuộc công sử dụng để chiếm đoạt mục tiêu an ninh : Tính bí mật, tính tồn vẹn tính sẳn sàng @Email: fit@ispace.edu.vn 10 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn LAN Storm Attact Lan Storm Attact CPU switch hoạt động 100%, tài nguyên mạng bị chiếm dụng đáng kể Chúng ta khơng thể ngăn chặn gói tin broadcast điều khiển @Email: fit@ispace.edu.vn 13 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Port Security Port Security Để đảm bảo cho mạng hoạt động ổn định, không bị công giả mạo MAC Port security cho phép người quản trị mạng thiết lập địa MAC PC cho port cố định Switch Phương pháp thiết lập tỉnh động Swich @Email: fit@ispace.edu.vn 14 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Port Security @Email: fit@ispace.edu.vn 15 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Port Security Port Security Switch(config-if)# switchport switchport switchport switchport switchport switchport @Email: fit@ispace.edu.vn mode access port-security port-security port-security port-security port-security S2 PC B maximum violation shutdown mac-address sticky aging time 120 16 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Port Security Port Security sw-class# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) Fa0/12 0 Shutdown Total Addresses in System (excluding one mac per port) : Max Addresses limit in System (excluding one mac per port) : 1024 sw-class# show port-security Port Security : Port status : Violation mode : Maximum MAC Addresses : Total MAC Addresses : Configured MAC Addresses : Aging time : Aging type : SecureStatic address aging : Security Violation Count : @Email: fit@ispace.edu.vn interface f0/12 Enabled Secure-down Shutdown 120 mins Absolute Disabled 17 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Port Security Port security sw-class# show port-security address Secure Mac Address Table Vlan Mac Address Type Ports Remaining Age (mins) 0000.ffff.aaaa SecureConfigured Fa0/12 Total Addresses in System (excluding one mac per port) : Max Addresses limit in System (excluding one mac per port) : 1024 @Email: fit@ispace.edu.vn 18 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Cấu hình Layer Security Port fast Switch(config-if)# spanning-tree portfast (interface command) Switch(config)# spanning-tree portfast default (global command) @Email: fit@ispace.edu.vn 19 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Cấu hình Layer Security Bảo vệ SPT Để bảo vệ SPT khơng nhận BPDU lạ từ bên ngồi, ta cấu hình tính root guard BPDU guard Root guard BPDU guard giúp switch không nhận BPDU từ bên ngồi cho dù BPDU có Bridge nhỏ Switch Root Để đảm bảo cho SPT hoạt động liên tục ổn định, không bị gián đoạn chuyển từ trạng thái Blocking -> Forwarding ta cấu hình tính Uplink fast Backbone fast @Email: fit@ispace.edu.vn 20 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Cấu hình Layer Security BPDU Guard @Email: fit@ispace.edu.vn 21 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Cấu hình Layer Security Root Guard @Email: fit@ispace.edu.vn 22 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Cấu hình Layer Security Uplink Fast & Backbone Fast Switch(config)# spanning-tree uplinkfast(Blocked port SW) Switch(config)# spanning-tree backbonefast(Forwarding SW) @Email: fit@ispace.edu.vn 23 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Cấu hình Layer Security Storm Control Tính đảm bảo Switch khơng flood gói tin tràn lan hệ thống mạng Switch(config-if)# storm-control broadcast level 75.5 Switch(config-if)# storm-control multicast level pps 1k Switch(config-if)# storm-control action shutdown @Email: fit@ispace.edu.vn 2k 24 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Câu hỏi tập Trình bày hình thức cơng Layer Trình bày kỹ thuật bảo mật Layer2 Cấu hình bảo mật Layer @Email: fit@ispace.edu.vn 25 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn TĨM LƯỢC BÀI HỌC Các tính bảo mật Switch Các hình thức bảo vệ SPT Hạn chế công Layer @Email: fit@ispace.edu.vn 26 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn HỎI - ĐÁP @Email: fit@ispace.edu.vn 27 ... @Email: fit @ispace. edu.vn 14 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www .ispace. edu.vn Port Security @Email: fit @ispace. edu.vn 15 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www .ispace. edu.vn... @Email: fit @ispace. edu.vn 10 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www .ispace. edu.vn Thay Đổi Cây SPT Thay đổi STP @Email: fit @ispace. edu.vn 11 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:... DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS @Email: fit @ispace. edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www .ispace. edu.vn BÀI 4: BẢO MẬT LAYER