5. Giới thiệu
6.2.3Đặc điểm của quá trình truyền thoại và truyền dữ liệu
6.2.3.1 Đặc điểm của quá trình truyền thoại
- Quá trình truyền thoại yêu cầu chất lượng dịch vụ rất nghiêm ngặt, đòi hỏi sự thông suốt trong cả tiến trình.
- Mặc dù gói tin thoại thường rất nhỏ (từ 60 đến 120 byte), nhưng chúng không được phép xảy ra tình trạng trễ hay mất gói tin. Hệ quả của việc trễ hay mất gói tin sẽ gây ảnh hưởng nghiêm trọng đến chất lượng cuộc gọi. Giao thức UDP thường được sử dụng để truyền các gói tin thoại. Khả năng truyền lại gói tin của giao thức TCP không có nhiều ý nghĩa khi mà việc truyền thoại xảy ra trong thời gian thực.
- Để đạt được một cuộc gọi chất lượng, độ trễ của gói tin phải dưới 150 ms, số lượng gói tin bị mất dưới 1%.
- Một cuộc gọi thường yêu cầu từ 17 – 106 kbps băng thông cố định, cộng với 150 bps cho mỗi cuộc gọi (dùng để quản lý lưu lượng thoại). Nhân các yêu tố trên với số lượng cuộc gọi có thể xảy tra ở giờ cao điểm, ta được số lượng băng thông yêu cầu cho việc truyền thoại.
6.2.3.2 Đặc điểm của quá trình truyền dữ liệu
Yêu cầu về chất lượng dịch vụ của việc truyền dữ liệu rất khác nhau.
Các ứng dụng khác nhau (ví dụ, ứng dụng nhân sự và ứng dụng rút tiền ATM) có những yêu cầu khác nhau về chất lượng dịch vụ. Ngay cả các phiên bản khác nhau của cùng một ứng dụng cũng có những yêu cầu khác nhau về chất lượng dịch vụ.
SVTH: TRẦN THỊ CA- 49THM Page 141 Quá trình truyền dữ liệu có những điểm khác so với quá trình truyền thoại, nó cho phép việc trễ hay mất gói tin. Gần như tất cả mọi ứng dụng đều chấp nhận độ trễ vừa phải và thậm chí là chấp nhận tỉ lệ mất gói tin cao.
Chính vì đặc điểm này, cơ chế truyền lại của giao thức TCP trở nên hết sức quan trọng, cho nên rất nhiều ứng dụng dữ liệu đã chọn TCP làm giao thức truyền tải dữ liệu.
Việc xác định kiểu của gói tin là hết sức quan trọng. Với TCP/IP, hầu hết các ứng dụng có thể xác định thông quá số cổng TCP hay UDP của ứng dụng.
Tuy nhiên, một số ứng dụng lại sử dụng dynamic port (cổng thay đổi động), điều này làm cho việc xác định kiểu gói tin khó khăn. May mắn thay, các ISO của Cisco hỗ trợ chế độ nhận dạng ứng dụng dựa trên nền mạng (NBAR), có thể nhận dạng các ứng dụng sử dụng dynamic port.
6.2.4 Lưu lượng của cuộc gọi VoIP
Các cuộc gọi VoIP có thể tranhg chấp băng thông với các ứng dụng dữ liệu khác. Nếu một máy tính và một điện thoại IP ở trên cùng một VLAN, chúng sẽ tận dụng hết băng thông có thể mà không quan tâm đến nhu cầu các thiết bị khác. Để tránh trường hợp này, ta sử dụng 2 VLAN, một cho VoIP, một cho máy tính. Sau đó, ta có thể áp dụng QoS để ưu tiên lưu lượng VoIP.
Một thành phần quan trọng trong mạng điện thoại IP đó là thiết kế băng thông dự phòng. Bạn có thể tính toán băng thông cần thiết bằng cách thêm băng thông dự phòng cho mỗi ứng dụng quan trọng, bao gồm thoại, video, dữ liệu.
SVTH: TRẦN THỊ CA- 49THM Page 142
6.2.5 Auxiliary VLANs (VLAN phụ)
Hình 6.17 VLAN phụ
Một số switch Catalyst hỗ trợ tính năng “VLAN phụ” hay còn gọi là “VLAN thoại”. VLAN phụ cho phép ta chồng một topology thoại lên một mạng dữ liệu. Ta có thể chia số điện thoại ra thành nhiều mạng logic, cho dù cơ sở hạ tầng để truyền thoại và dữ liệu là một.
VLAN phụ đặt các máy điện thoại vào VLAN riêng của chúng mà không cần sự can thiệp của người dùng. Người dùng chỉ việc gắn điện thoại IP với switch, và switch sẽ cung cấp cho điện thoại IP các thông tin VLAN cần thiết. Hơn thế nữa, khi điện thoại IP được chuyển đến địa điểm mới, các thông tin về VLAN của chúng vẫn được lưu giữ.
Lợi ích từ việc sử dụng VLAN phụ đó là người quản trị mạng có thể dễ dàng quản lý, dễ dàng xác định lỗi phát sinh trong mạng. Thêm nữa, người quản trị có thể tạo và thi hành QoS hay các chính sách bảo mật, tận dụng tối đa cơ sở hạ tầng mạng …
SVTH: TRẦN THỊ CA- 49THM Page 143
6.2.6 QoS (Chất lượng dịch vụ)
Hình 6.18 QoS trong mạng VoIP
Dù là một mạng con, mạng nhỏ cho đến mạng doanh nghiệp, nhà cung cấp mạng, tất cả các nhà mạng đều tận dụng khả năng QoS để tối ưu hiệu quả công việc. QoS sử dụng các đặc trưng và tính năng của ứng dụng để đáp ứng các yêu cầu về độ trễ, mất gói tin của chúng … các ứng dụng quan trọng sẽ được ưu tiên hơn.
IOS của Cisco đưa ra tính năng QoS với các lợi ích :
- Độ ưu tiên truy cấp tài nguyên : Người quản trị có thể quản lý việc truy cập tài nguyên, ví dụ như băng thông, thiết bị … Các gói tin của ứng dụng quan trọng sẽ được thiết đặt độ ưu tiên cao và chúng có thể chiếm hữu băng thông bởi vì QoS sẽ drop các gói tin có độ ưu tiên thấp .
- Quản lý tài nguyên một cách hiệu quả : Nếu các công cụ quản lý phát hiện ra ứng dụng đang theo dõi xảy ra hiện tượng trễ, mất gói tin, ta có thể sử dụng các công cụ của QoS để điều chỉnh lại cho phù hợp.
- Các dịch vụ phù hợp : các nhà cung cấp dịch vụ mạng (ISP) có thể đưa ra các gói dịch vụ phù hợp cho khách hàng. Ví dụ, một ISP có thể đưa ra một gói dịch vụ cho một website có lưu lượng truy cập 3000-4000 lượt/ngày , và một dịch vụ khác cho website chỉ có lưu lượng 200-300 lượt/ngày.
- Sự thỏa thuận chung giữa các ứng dụng quan trọng : các ứng dụng quan trọng nhận được độ ưu tiên truy cập tới tài nguyên mạng, trong khi vẫn xử lý
SVTH: TRẦN THỊ CA- 49THM Page 144 đầy đủ các ứng dụng không yêu cầu độ trễ. Các ứng dụng thoại và truyền thông đa phương tiện yêu cầu độ trễ thấp và độ ưu tiên truy cập tài nguyên. Các ứng dụng khác ko quan trọng cũng được truyền đi trên cùng đường truyền, ví dụ như Simple Mail Transfer Protocp (SMTP) trên TCP, vẫn được phục vụ thích hợp.
6.2.7 Tầm quan trọng của tính sẵn sàng cao trong VoIP.
Mạng điện thoại truyền thống cố gắng đảm bảo đến 99,999 % thời gian hoạt động cho người dùng. Rất nhiều mạng dữ liệu không thể đạt được tỉ lệ này. Để cung cấp cho người dùng các dịch vụ với chất lượng tương đương hay gần tương đương với mạng thoại truyền thống, độ tin cậy và tính sẵn sàng chính là chìa khóa để giải quyết vấn đề đó.
Độ tin cậy là thước đo cho tính đàn hồi của một mạng. Các biện pháp để đảm bảo độ tin cậy bao gồm lựa chọn phần cứng và phần mềm với thời gian trung bình giữa các lần lỗi thấp, hoặc lắp đặt các phần cứng và liên kết dự phòng. Tính sẵn có là một thước đo về khả năng truy cập mạng của người dùng. Khi người dùng muốn thực hiện cuộc gọi, thì người dùng đó phải luôn truy cập được mạng. Các biện pháp để đảm bảo tính sẵn sàng bao gồm các cài đặt quản lý mạng chủ động để dự đoán lỗi trước khi chúng xảy ra, và tiến hành các bước để sửa vấn đề trong thiết kế của mạng trong quá trình mạng phát triển.
Khi mạng dữ liệu xảy ra sự cố về điện, nó có thể không phục hồi lại được trong vòng vài phút và có thể là vài giờ. Sự chậm trễ này là không thể chấp nhận đối với người dùng thoại. Người dùng trong mạng sẽ cảm nhận được sự gián đoạn này. Do đó, người quản trị mạng phải cung cấp một thiết bị lưu điện (UPS) cho các thiết bị trong mạng. Trước đây, các thiết bị mạng lấy điện trực tiếp từ nguồn. Ngày nay, các thiết bị mạng phải luôn duy trì trạng thái thoạt động, cung cấp các dịch vụ cho các thiết bị đầu cuối, và ngay cả nguồn điện cho các thiết bị đầu cuối.
SVTH: TRẦN THỊ CA- 49THM Page 145 Khi nói đến độ tin cậy của mạng, là bao gồm sự dự phòng trong thiết kế. Trong mạng thoại truyền thống, switch có rất nhiều kết nối dự phòng đến các switch khác. Dù kết nối hay switch xảy ra sự cố, công ty điện thoại vẫn có thể dễ dàng định tuyến cuộc gọi. Đó là lí do mạng thoại truyền thống có tỉ lệ sẵn sàng rất cao.
Tính sẵn sàng cao bao gồm nhiều lĩnh vực của mạng. Để thiết kế một mạng có tính dự phòng đầy đủ, thì các thành phần sau phải luôn được dự phòng :
Máy chủ và quản lý cuộc gọi.
Các thiết bị lớp phân phối, như router hay các Multilayer Switch.
Các thiết bị lớp nhân, như Multilayer Switch.
Các kết nối liên mạng, như kết nối WAN và PSTN gateway.
Nguồn điện và các thiết bị lưu điện.
6.2.8 QoS và lưu lượng thoại trong mạng Campus
Hình 6.19 QoS và lưu lượng trong mạng campus
Một vấn đề thường xảy ra trong mạng đó là việc khác biệt về tốc độ của các switch hay kết nối, sự không đồng bộ giữa các thiết bị, tất cả đều là nguyên nhân gây ra tắc nghẽn và độ trễ. Nếu tính năng quản lý tắc nghẽn ko được sử dụng, một số gói tin sẽ bị drop, tiếp đó quá trình truyền lại gói tin
SVTH: TRẦN THỊ CA- 49THM Page 146 diễn ra và càng gia tăng gánh nặng lên mạng. QoS có thể làm giảm thiểu độ trễ gây ra bởi tắc nghẽn trong các thiết bị campus.
QoS phân loại và đánh dấu dữ liệu tại một thiết bị. Các thiết khác có thể dành ưu tiên hay cho gói tin vào hàng đợi dựa vào dấu hiệu trên mỗi gói tin.
6.2.9 Các lệnh cấu hình mạng hỗ trợ điện thoại IP.
Cấu hình tạo “VLAN thoại” Switchport voice vlan vlan_id
Cấu hình trust và cos Mls qos trust cos
Mls qos trust device cisco-phone Mls qos extend trust
Switchport priority extend cos cos_value
Kiểm tra cấu hình Show interface fa 0/4 switchport Show mls qos interface fa 0/4
Ví dụ :
SVTH: TRẦN THỊ CA- 49THM Page 147
Chương 7 Triển khai bảo mật trong mạng doanh nghiệp
7.1 MAC Layer Attacks: MAC flooding ( Tấn công làm ngập bảng CAM) 7.1.1 Phương thức tấn công 7.1.1 Phương thức tấn công
Kiểu tấn công làm tràn bảng CAM dựa vào điểm yếu của thiết bị chuyển mạch : bảng CAM chỉ chứa được một số hữu hạn các ánh xạ (ví dụ như switch Catalysh 6000 có thể chứa được tối đa 128000 ánh xạ) và các ánh xạ này không phải tồn tại mãi mãi trong bảng CAM. Sau một khoảng thời gian nào đó, thường là 300 s; nếu địa chỉ này không được dùng trong việc trao đổi thông tin thì nó sẽ bị gỡ bỏ khỏi bảng.
Khi bảng CAM được điền đầy, tất cả thông tin đến sẽ được gửi đến tất cả các cổng của nó trừ cổng nó nhận được. Lúc này chức năng của switch không khác gì chức năng của một hub.
Ví dụ:
Hình 7.1 Mô hình tấn công làm ngập bảng CAM
Trong ví dụ trên, host C của kẻ tấn công gửi đi liên tục hàng loạt các bản tin có địa chỉ MAC nguồn là địa chỉ giả mạo (host X và host Y). Switch sẽ cập nhật địa chỉ của các host giả mạo này vào bảng CAM. Kết quả là khi host A gửi tin đến cho host B, địa chỉ của B không tồn tại trong bảng nên gói tin được switch gửi ra các cổng của nó và bản tin A chỉ gửi riêng cho B cũng sẽ được chuyển đến C.
SVTH: TRẦN THỊ CA- 49THM Page 148
7.1.2 Cách phòng chống.
Nguyên lí chung của các phương pháp phòng chống là không để các gói tin có địa chỉ MAC lạ đi qua switch. Phương pháp phòng chống hiệu quả nhất là cấu hình port security trên switch. Đây là một đặc trưng cấu hình cho phép điều khiển việc truy cập vào cổng switch thông qua địa chỉ MAC của thiết bị gắn vào.
Khi switch nhận được một gói tin chuyển đến, nó sẽ kiểm tra địa chỉ MAC nguồn của gói tin với danh sách các địa chỉ đã được cấu hình trước đó. Nếu hai địa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị mà switch sẽ xử lí gói tin đến với các mức độ khác nhau.
Các lệnh cấu hình port-security Câu lệnh Tác dụng Switch(config-if)# switchport mode access Thiết lập cổng về chế độ access Switch(config-if)# switchport port-security
Cho phép cổng được hoạt động trong chế độ port- security.
Switch(config-if)# switchport
port-security maximum value
Cho phép cấu hình số địa chỉ MAC tối đa mà cổng có thể học tự động và cho phép các thiết bị này truyền dữ liệu qua. Mặc định thì cổng chỉ cho phép một địa chỉ MAC (một thiết bị) được gán vào và số địa chỉ có thể nằm trong khoảng từ 1 đến 1024.
Switch(config-if)# switchport port-security mac-address
mac_address
Bên cạnh cách cấu hình cho phép switch học tự động địa chỉ MAC; có thể gán tĩnh một số địa chỉ MAC có thể truy cập vào một port. Nếu số lượng địa chỉ gán tĩnh mà nhỏ hơn số địa chỉ MAC switch có thể học tự động thì số địa chỉ MAC còn lại sẽ được học tự động.
Switch(config-if)# switchport port-security violation {protect |
SVTH: TRẦN THỊ CA- 49THM Page 149
restrict | shutdown} hành khi một gói tin đến không phù hợp với yêu cầu
của port-security (khi có nhiều hơn số địa chỉ MAC tối đa được học hoặc khi gói tin đến có địa chỉ MAC khác so với các địa chỉ MAC đã được cấu hình tĩnh). Các biện pháp xử lí có thể là :
- shutdown: cổng sẽ bị ngừng hoạt động, không nhận và chuyển gói tin.
- restrict: cổng chỉ cho phép các gói tin có địa chỉ MAC hợp lệ đi qua, các gói tin vi phạm sẽ bị huỷ. Đồng thời số lượng các bản tin vi phạm sẽ được thống kê và báo cho người quản trị biết.
- protect: cũng giống như trong trường hợp restrict, tuy nhiên việc vi phạm sẽ không được ghi lại.
Phương pháp này tuy có yêu cầu công việc của người quản trị tăng lên đôi chút tuy nhiên nó là phương pháp rất hiệu quả để khoá các gói tin không rõ nguồn gốc có ý định tấn công vào switch.
7.2 VLAN attack: VLAN Hooping.
Kiểu tấn công này thường xuất phát do có cấu hình sai tồn tại trên switch. Các cuộc tấn công VLAN hopping dựa vào trunking do cấu hình bất hợp lý các trunk port sẽ cho phép kẻ tấn công đi qua các thiết bị lớp 3 khi trao đổi thông tin từ một VLAN này sang một VLAN khác. Mặc định, các trunk port có thể truy nhập tới tất cả các VLAN, dữ liệu truyền qua đường trunk có thể được đóng gói theo chuẩn IEEE 802.1Q hoặc ISL (Cisco) được dùng để trao đổi thông tin giữa các switch.
SVTH: TRẦN THỊ CA- 49THM Page 150 Giao thức DTP (Dynamic Trunking Protocol) tự động cấu hình kiểu trunking ISL/802.1Q. Ta có thể cấu hình trạng thái DTP trên mỗi trunk port. Các trạng thái bao gồm: On, Off, Desirable, Auto và Non-Negotiate.
- On: trạng thái này được sử dụng khi switch khác không hiểu giao thức DTP.
- Off: trạng thái này được sử dụng khi port đã được cấu hình từ trước không với mục đích trở thành trunk port.
- Desirable: trạng thái này được sử dụng khi muốn trở thành trunk port. - Auto: Đây là trạng thái mặc định trên nhiều switch.
- Non-Negotiate: trạng thái này được sử dụng khi ta chỉ định cụ thể kiểu port là ISL hay 802.1Q .
7.2.1 Kiểu tấn công VLAN hopping cơ bản 7.2.1.1 Phương thức tấn công 7.2.1.1 Phương thức tấn công
Kẻ tấn công sử dụng một máy tính có cài phần mềm giả lập biến máy tính này thành một Switch và bật tính năng Trunking trên Switch giả này. Nếu port kết nối với máy tính này trên Switch thật có bặt tính năng Auto