Thực tế các hệ thống liên quan tới bảo mật an ninh mạng hiện nay tại MobiFone hiện chưa được khai thác tối đa tính năng của hệ thống, qua nghiên cứu tìm hiểu như đối với các thiết bị mạng lõi (core switch), thiết bị định tuyến lõi (core router), switch access layer 3 có thể khai thác thêm về bảo mật bằng cách mở rộng bật tính năng (enable policy) trên thiết bị mạng Cissco như:
- Port security
- Dynamic ARP Inspection - IP Source Guard
- DHCP Snooping - Private VLAN - ACL, VLAN ACL
Port security
Sử dụng tính năng Port security với mục đích giới hạn đầu vào interface bằng cách hạn chế và xác định địa chỉ MAC của các máy trạm được phép truy cập vào. Như vậy khi 1 kết nối khác tới port Switch không đúng với MAC đã cấu hình ngay lập tức kết nối bị từ chối, cổng mạng sẽ không chuyển tiếp các gói tin với địa chỉ nguồn bên ngoài nhóm của nhóm địa chỉ MAC đã cấu hình sẵn.
Nếu hạn chế số lượng địa chỉ secure MAC tới một cổng và chỉ định một địa chỉ MAC các máy trạm thuộc port đó được đảm bảo đầy đủ băng thông. Nếu một port secure với số lượng tối đa các địa chỉ secure MAC được đạt tới khi MAC của các máy trạm còn lại cố gắng truy cập vào cổng mà khác với địa chỉ secure MAC đã xác định thì vi phạm bảo mật đã xảy ra.
Sau khi cấu hình số lượng tối đa của địa chỉ secure MAC trên một cổng ta có thể đưa ra địa chỉ MAC vào bảng địa chỉ theo những cách sau:
- Có thể cấu hình tất cả các địa chỉ secure MAC bằng cách sử dụng câu lệnh switch port port-security mac-address trên interface.
- Có thể cho phép tự động cấu hình địa chỉ secure MAC với địa chỉ MAC của thiết bị kết nối.
- Có thể cấu hình một lượng địa chỉ và cho phép ngừng tự động cấu hình.
- Nếu port bị tắt (shutdown) thì tất cả các địa chỉ được học trước đây sẽ bị xóa bỏ - Có thể cấu hình bằng tùy chọn sticky.
Tính năng này giúp Switch access có thể học được địa chỉ secure MAC tự động hoặc có thể cấu hình bằng tay và nó được lưu trữ trong bảng địa chỉ và được thêm vào cấu hình đang chạy, nếu những địa chỉ được lưu trong file cấu hình (config) thì interface không cần thiết phải tự động học chúng khi khởi động lại. Ngoài ra, chúng ta có thể cấu hình một interface để nó học địa chỉ MAC và thêm chúng vào cấu hình đang chạy bằng cách kích hoạt sticky learning, để kích hoạt sticky learning nhập dòng lệnh switchport port-sercurity mac-address sticky.
ARP Spoofing
ARP (Address Resolution Protocol) là một giao thức truyền thông được sử dụng rộng rãi để tìm ra các địa chỉ tầng liên kết dữ liệu từ các địa chỉ tầng mạng.
Lỗ hổng của ARP: Khi một gói tin (datagram) giao thức Internet (IP) được gửi từ một máy đến máy khác trong mạng cục bộ, địa chỉ IP đích được giải quyết thành địa chỉ MAC để truyền qua tầng liên kết dữ liệu. Khi biết được địa chỉ IP của máy đích và địa chỉ MAC của nó cần truy cập, một gói tin broadcast được gửi đi trên mạng cục bộ, gói tin này được gọi là ARP request, máy đích với IP trong ARP request sẽ trả lời với ARP reply nó chứa địa chỉ MAC cho IP đó. ARP là một giao thức phi trạng thái, máy chủ mạng sẽ tự động lưu trữ bất kỳ ARP reply nào mà chúng nhận được, bất kể máy khác có yêu cầu hay không và ngay cả các mục ARP chưa hết hạn sẽ bị ghi đè khi nhận được gói tin ARP reply mới. Không có phương pháp nào trong giao thức ARP mà giúp một máy có thể xác nhận máy mà từ đó gói tin bắt nguồn, hành vi này là lỗ hổng cho phép ARP spoofing xảy ra.
Trong mạng máy tính ARP spoofing, ARP cahe poisoning hay ARP poison routing là một kỹ thuật qua đó hacker tấn công giả thông điệp ARP trong mạng cục bộ, mục tiêu là kết hợp địa chỉ MAC của kẻ tấn công với địa chỉ IP của máy chủ khác, chẳng hạn như cổng mặc định default gateway làm cho bất kỳ lưu lượng truy cập nào dành cho địa chỉ IP đó được gửi đến kẻ tấn công.
ARP spoofing có thể cho phép hacker chặn các khung dữ liệu trên mạng, sửa đổi lưu lượng hoặc dừng tất cả lưu lượng. Thông thường cuộc tấn công này sẽ được sử dụng như là một sự mở đầu cho các cuộc tấn công khác. Cuộc tấn công này chỉ có thể dùng trong các mạng mà dùng Address Resolution Protocol và giới hạn trong các mạng cục bộ.
Một tấn công ARP spoofing thành công cho phép xâm nhập thực hiện một cuộc tấn công man-in-the-middle-attack.
DHCP Snooping, IP Source Guard
Kẻ tấn công có thể gửi thông tin giả mạo để đánh lừa switch hay những máy chủ nhằm chuyển tiếp luồng dữ liệu đến của người dùng đến gateway giả. Mục đích của hacker là trở thành người ở giữa khi máy tính hoặc máy chủ của người dùng gửi dữ liệu tới gateway để ra mạng bên ngoài máy tính của hacker sẽ trở thành gateway trong trường hợp này, hacker có thể phân tích nội dung của mỗi gói dữ liệu được gửi đến trước khi chuyển thực hiện chuyển tiếp thông thường
Với tính năng của Cisco Catalyst DHCP Snooping, IP Source guard và dynamic ARP cho phép ngăn chặn hình thức tấn công này.
Một server DHCP thông thường cung cấp những thông tin cơ bản cho một máy tính hoạt động trên mạng, ví dụ máy tính của người dùng nhận IP, gateway, DNS. Giả sử hacker xây dựng một DHCP giả trong cùng mạng máy tính với người dùng và khi máy tính gửi bản tin DHCP Request khi đó server DHCP giả có thể sẽ gửi thông tin trả lời và máy tính người dùng sẽ dùng DHCP giả làm gateway, khi đó toàn bộ luồng dữ liệu gửi ra mạng bên ngoài sẽ đi qua gateway giả khi đó hacker sẽ phân tích và nắm được thông tin nội dung của dữ liệu, dữ liệu sau đó được chuyển tiếp đi như bình thường. Đây là một dạng tấn công người ở giữa (man-in-the-middle), hacker thay đổi đường đi của gói dữ liệu mà người dùng không thể nhận biết.
Với DHCP Snoop sẽ giúp ngăn chặn loại tấn công này, khi DHCP được kích hoạt cổng trên Switch sẽ phân loại thành cổng tin cậy (trusted) và không tin cậy (unstrusted). Cổng tin cậy sẽ cho phép nhận DHCP Relay hay cổng được kết nối với server DHCP trong khi cổng không tin cậy chỉ cho phép nhận DHCP hay cổng kết
nối với máy tính người dùng, nếu server DHCP giả gắn vào cổng không tin cậy và gửi DHCP request hay cổng kết nối với máy tính người dùng. Nếu DHCP giả gắn vào cổng không tin cậy và gửi DHCP Relay thì gói Relay sẽ bị loại bỏ DHCP Snooping sẽ thực hiện phân tích gói DHCP và Reply xây dựng bảng CSDL về địa chỉ IP được cấp, địa chỉ MAC, thông tin cổng mà máy tính đó thuộc.
Dynamic ARP Inspection
PC thường dùng ARP để phân giải một địa chỉ MAC không biết khi địa chỉ IP được biết. Khi địa chỉ MAC được cần để một gói có thể được gửi. PC gửi broadcast ARP request mà chứa địa chỉ IP của PC cần tìm địa chỉ MAC. Nếu có bất kỳ PC này dùng địa chỉ IP đó, nó sẽ trả lời địa chỉ MAC tương ứng. Tuy nhiên một ARP reply có thể được tạo ra mà không cần ARP request hay còn gọi là (gratuituos ARP), để cho những PC khác trong mạng có thể cập nhật bảng ARP khi có sự thay đổi xảy ra. Lợi dụng điều này kẻ tân cống thực hiện gởi gratuituos ARP với thông tin giả, nó sẽ thay thể địa chỉ MAC của nó với địa chỉ của IP gateway thay vì địa chỉ MAC của gateway. Điều này sẽ buộc máy nạn nhân thay đổi lại bảng ARP với thông tin sai, đây là dạng tấn công “ARP spoofing” được xem như man-in-the-middle, gói dữ liệu sẽ đến gateway giả trước khi được chuyến tiếp đến đích.
Tính năng DAI (Dynamic ARP Inspection) có thể ngăn chặn loại tấn công này. DAI làm việc tương tự với DHCP Snooping, tất cả các cổng sẽ phân loại thành tin cậy và không tin cậy. Switch sẽ thực hiện phân tích hợp lệ của ARP request và reply trên cổng không tin cậy nơi mà CSDL của DHCP Snooping đã xây dựng trước đó. Nếu nội dung của gói ARP request hay reply bao gồm MAC và IP mà khác so với giá trị trong CSDL được xây dựng trước đó gói sẽ bị loại bỏ. Cổng tin cậy sẽ không thực hiện kiểm tra gói ARP request và reply.
Hành động này ngăn chặn sự không hợp lệ hay gói ARP giả mạo được gửi.
Private VLAN
Trước khi tìm hiểu khái niệm PVLAN, chúng ta hãy xem lại khái niệm VLAN. Như đã biết VLAN là một miền quảng bá (broadcast) các VLAN không thể giao tiếp với nhau được mà cần có một thiết bị layer 3 để chuyển gói tin giữa các broadcast domain với nhau. PVLAN sẽ chia nhỏ domain này thành nhiều subdomain riêng biệt khi đó giống như VLAN trong VLAN.
Do các subdomain cũng là các domain riêng biệt nên cũng cần một thiết bị layer 3 để chuyển gói như router, router cũng có thể ngăn chặn hoặc cho phép giao tiếp giữa các sub-VLAN dùng access-list. VLAN và PVLAN có sự khác biệt sau:
Mỗi VLAN sẽ có subnet khác nhau, nên các host thuộc các VLAN khác nhau sẽ có subnet khác nhau.
Còn khi ta chia nhỏ VLAN thành các PVLAN thì các host thuộc các PVLAN khác nhau vẫn thuộc cùng một subnet.
Mục đích PVLAN
Mục đích chính của việc phát triển và sử dụng PVLAN là nâng cao tính bảo mật, an toàn cho hệ thống mạng. PVLAN cho phép tạo thêm một hàng rào bảo vệ các thiết bị bên trong một VLAN bằng cách quy định các luồng dữ liệu cho phép (permit) hay từ chối (deny) giữa các port trong 1 VLAN với nhau.
Việc chia các host ra các VLAN khác nhau sẽ dẫn đến yêu cầu dùng routers hoặc các multilayer switch giữa các subnets và các kiểu thiết bị này thường có thêm nhiều chức năng bảo mật.
Với nhu cầu tăng tính bảo mật bằng cách tách các thiết bị bên trong một VLAN nhỏ sẽ xung đột với mục đích thiết kế sử dụng các địa chỉ IP sẵn có.
=> Tính năng private VLAN của Cisco giúp giải quyết vấn đề này.
Private VLAN cho phép một switch layer 2 tách biệt các host như thể các host này trên các VLAN khác nhau trong khi vẫn dùng duy nhất một IP subnet.
Private VLAN bao gồm primary VLAN và một hoặc nhiều secondary VLAN. Các port trong primary VLAN được gọi là promicuous có nghĩa là nó có thể gửi và nhận frame với bất kỳ port nào khác, kể cả với những port được gán vào secondary VLAN. Các thiết bị được truy cập chung, chẳng hạn như routers hay server thường được đặt vào trong primary VLAN.
Hình 3. 16 Mô hình VLAN chia nhỏ
(Nguồn: https://www.cisco.com/security) [9]
Như ví dụ trong hình trên thì trong 1 VLAN ta có thể tách ra 2 sub-vlan: Isolated VLAN và Community VLAN. Hai VLAN này không trao đổi dữ liệu được với nhau mà chỉ có thể liên lạc với gateway để đi ra/vào mạng khác. (Gateway được nối vào port Promiscuous để có thể liên lạc với tất cả các port trong VLAN).
Ví dụ máy Sever trong Isolated vlan bị nhiễm virus, trong trường hợp này Virus không thể phát tán sang các Server khác trong VLAN chính. Nếu không dùng PVLAN thì nguy cơ tất cả các Server trong VLAN này sẽ bị lây nhiễm là rất cao. Chú ý là trong PVLAN Isolated port có mức độ bảo mật cao nhất, ngay cả các port Isolated cũng không thể liên lạc được với nhau. Vì vậy chỉ có duy nhất 1 port trong Isolated VLAN, tuy nhiên có thể có nhiều Isolated VLAN trong 1 VLAN thường.
Hình 3. 17 Mô hình giao tiếp giữa Isolated Port và Promiscuous Port
(Nguồn: https://www.cisco.com/security) [5]
• Isolated port: Port này chỉ giao tiếp được với Promiscuous port.
• Community port: Port này chỉ giao tiếp với chính nó và Promiscuous port. • Promiscuous port: Port này có thể giao tiếp được với 2 loại port kia.
VLAN ACL
VLAN ACL (VACL) là một dịch vụ cho phép tạo và quản lý danh sách truy cấp dựa vào địa chỉ MAC, IP. Bạn có thể cấu hình VACL để kiểm tra các gói tin lưu thông trong nội bộ một VLAN, hoặc giữa các VLAN với nhau. VACL thì không quản lý truy cập theo hướng ra vào, VACL dùng Access Map để chứa danh sách tuần tự một hoặc nhiều mẫu tin về việc quản lí truy cập. Mỗi mẫu tin trong bản đồ truy cấp mô tả việc kiểm tra gói tin dựa vào IP hoặc MAC để áp cho một hành động nào đó đối với những gói tin. Các mẫu tin đều được đánh số thứ tự nên ta có thể cấu hình ưu tiên cho các mẫu tin phù hợp với một yêu cầu nào đó. Khi các gói tin đi qua thiết bị sẽ được kiểm tra thông qua VACL dựa vào bản đồ truy cấp đã được cấu
hình mà thiết bị sẽ quyết định có chuyển tiếp gói tin đi hay không. Những mẫu tin trong VLAN Access Map cung cấp các hành động đối với:
+ Forward: Hành động này sẽ cho phép gói tin được chuyển qua SW.
+ Redirect: Gói tin sẽ được chuyển hướng sang 1 hoặc nhiều giao diện được chỉ định.
+ Drop: Với một gói tin vi phạm thì hành động này cho phép hủy gói tin ngay lập tức và chúng ta có thể lưu trạng thái về việc hủy các gói tin này.