Bài giảng Xây dựng hệ thống Firewall - Bài 4: Bảo mật Layer 2
Giới thiệu bảo mật ở lớp 2
Tấn công giả mạo MAC Address
Tấn công đánh tràn bảng MAC
Thay đổi cây STP
LAN storm Attack
Cấu hình Layer 2 Security
Câu hỏi ôn tập
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Xây dựng hệ thống Firewall - Bài 4: Bảo mật Layer 2", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: Bài giảng Xây dựng hệ thống Firewall - Bài 4: Bảo mật Layer 2
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL 1 Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER 2 Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS MÔN HỌC: XÂY DỰNG HỆ THỐN FIREWALL 2 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn BÀI 4: BẢO MẬT LAYER 2 Giới thiệu bảo mật ở lớp 2 Tấn công giả mạo MAC Address Tấn công đánh tràn bảng MAC Thay đổi cây STP LAN storm Attack Cấu hình Layer 2 Security Câu hỏi ôn tập Phương pháp bảo mật ở lớp 2 3 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn MỤC TIÊU BÀI HỌC Giới thiệu bảo mật ở lớp 2 Trình bày các phương pháp tấn công ở lớp 2. Cấu hình bảo mật cho các thiết bị lớp 2 4 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới Thiệu Bảo Mật Layer 2 Giới thiệu bảo mật layer 2 Chuyên gia bảo mật mạng không chỉ bảo vệ mạng ở layer 3, mà còn bảo vệ mạng ở layer 2. Những cuộc tấn cộng mạng ở layer 2 bao gồm : Tấn công VLAN, tấn công làm tràn bảng MAC, thay đổi SPT, giả mạo địa chỉ MAC. 5 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Tấn Công Giả Mạo Địa chỉ MAC Tấn công giả mạo địa chỉ MAC Switch sẽ lưu trữ địa chỉ MAC của những đối tượng kết nối với nó trong bảng MAC ADDRESS TABLE Tấn công giả mạo địa chỉ MAC là thay đổi nội dụng bảng MAC 6 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Tấn Công Giả Mạo Địa chỉ MAC Tấn công giả mạo địa chỉ MAC Thông tin dữ liệu gởi cho Server sẽ được gởi qua cho kẻ tấn công 7 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Tấn Công Đánh Tràn bảng MAC Tấn công làm tràn bảng MAC Switch gởi gói tin đi dựa vào thông tin địa chỉ MAC được map trong MAC-ADDRESS- TABLE Dung lượng MAC- ADDRESS-TABLE thì có hạn 8 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Tấn Công Đánh Tràn bảng MAC Tấn công làm tràn bảng MAC Nếu attacker thay đổi địa chỉ MAC liên tục, làm bảng MAC đầy. Thông tin gởi đến sẽ được flood ra tất cả các port 9 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Thay Đổi Cây STP Thay đổi cây SPT SPT là giao thức bảo vệ đường link ở lớp 2 Việc thay đổi cây SPT sẽ làm cho mô hình mạng bị xáo trộn, kẻ tấn công có thể xem được những thông tin không thể truy cập Cuộc tấn công này được sử dụng để chiếm đoạt các mục tiêu an ninh : Tính bí mật, tính toàn vẹn và tính sẳn sàng 10 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Thay Đổi Cây SPT Thay đổi cây STP 11 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn LAN Storm Attact Lan Storm Attact Switch sẽ đẩy gói tin ra các port khi nhận được 1 gói tin là broadcast. Nếu có nhiều gói tin broadcast được gởi đến, thì gói tin sẽ tràn lan trong hệ thống mạng được gọi là LAN storm. 12 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn LAN Storm Attact Lan Storm Attact CPU switch hoạt động 100%, tài nguyên mạng bị chiếm dụng đáng kể. Chúng ta không thể ngăn chặn các gói tin broadcast nhưng có thể điều khiển nó. 13 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Port Security Port Security Để đảm bảo cho mạng hoạt động ổn định, không bị tấn công giả mạo MAC. Port security cho phép người quản trị mạng thiết lập địa chỉ MAC của PC cho 1 port cố định trên Switch Phương pháp này có thể được thiết lập tỉnh hoặc động trên Swich. 14 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Port Security 15 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Port Security Port Security 16 switchport mode access switchport port-security switchport port-security maximum 2 switchport port-security violation shutdown switchport port-security mac-address sticky switchport port-security aging time 120 Switch(config-if)# S2 PC B TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Port Security 17 Port Security sw-class# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------- Fa0/12 2 0 0 Shutdown --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 sw-class# show port-security interface f0/12 Port Security : Enabled Port status : Secure-down Violation mode : Shutdown Maximum MAC Addresses : 2 Total MAC Addresses : 1 Configured MAC Addresses : 0 Aging time : 120 mins Aging type : Absolute SecureStatic address aging : Disabled Security Violation Count : 0 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Port Security 18 Port security sw-class# show port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 0000.ffff.aaaa SecureConfigured Fa0/12 - ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Layer 2 Security Port fast 19 Switch(config-if)# spanning-tree portfast (interface command) Switch(config)# spanning-tree portfast default (global command) TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Layer 2 Security Bảo vệ cây SPT Để bảo vệ cây SPT không nhận BPDU lạ từ bên ngoài, ta cấu hình tính năng root guard và BPDU guard. Root guard và BPDU guard giúp switch không nhận BPDU từ bên ngoài cho dù BPDU có Bridge nhỏ hơn Switch Root. Để đảm bảo cho cây SPT luôn hoạt động liên tục và ổn định, không bị gián đoạn khi chuyển từ trạng thái Blocking -> Forwarding ta cấu hình tính năng Uplink fast và Backbone fast 20 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Layer 2 Security BPDU Guard 21 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Layer 2 Security Root Guard 22 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Layer 2 Security Uplink Fast & Backbone Fast 23 Switch(config)# spanning-tree uplinkfast(Blocked port SW) Switch(config)# spanning-tree backbonefast(Forwarding SW) TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Layer 2 Security Storm Control Tính năng này đảm bảo Switch không flood gói tin tràn lan trong hệ thống mạng 24 Switch(config-if)# storm-control broadcast level 75.5 Switch(config-if)# storm-control multicast level pps 2k 1k Switch(config-if)# storm-control action shutdown TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Câu hỏi bài tập Trình bày các hình thức tấn công ở Layer 2 Trình bày các kỹ thuật bảo mật ở Layer2 Cấu hình bảo mật ở Layer 2 25 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn TÓM LƯỢC BÀI HỌC Các tính năng bảo mật ở Switch. Các hình thức bảo vệ cây SPT Hạn chế tấn công ở Layer 2 26 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn HỎI - ĐÁP 27
File đính kèm:
- bai_giang_xay_dung_he_thong_firewall_bai_4_bao_mat_layer_2.pdf