Bài giảng Xây dựng hệ thống Firewall - Bài 4: Bảo mật Layer 2

Giới thiệu bảo mật ở lớp 2

Tấn công giả mạo MAC Address

Tấn công đánh tràn bảng MAC

Thay đổi cây STP

LAN storm Attack

Cấu hình Layer 2 Security

Câu hỏi ôn tập

pdf 27 trang yennguyen 2700
Download
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Xây dựng hệ thống Firewall - Bài 4: Bảo mật Layer 2", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Bài giảng Xây dựng hệ thống Firewall - Bài 4: Bảo mật Layer 2

Bài giảng Xây dựng hệ thống Firewall - Bài 4: Bảo mật Layer 2
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
MÔN HỌC: XÂY DỰNG HỆ THỐNG 
FIREWALL
1
Trường Cao đẳng Nghề CNTT iSPACE
Khoa Mạng Và An Ninh Thông Tin
fit@ispace.edu.vn
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. 
Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL 
Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS
MÔN HỌC: XÂY DỰNG HỆ THỐN FIREWALL
2
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
BÀI 4: BẢO MẬT LAYER 2
Giới thiệu bảo mật ở lớp 2
Tấn công giả mạo MAC Address
Tấn công đánh tràn bảng MAC
Thay đổi cây STP
LAN storm Attack
Cấu hình Layer 2 Security
Câu hỏi ôn tập
Phương pháp bảo mật ở lớp 2
3
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
MỤC TIÊU BÀI HỌC
Giới thiệu bảo mật ở lớp 2
Trình bày các phương pháp tấn công ở lớp 2.
Cấu hình bảo mật cho các thiết bị lớp 2
4
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới Thiệu Bảo Mật Layer 2
Giới thiệu bảo mật layer 2
Chuyên gia bảo mật mạng
không chỉ bảo vệ mạng ở
layer 3, mà còn bảo vệ mạng
ở layer 2.
Những cuộc tấn cộng mạng ở
layer 2 bao gồm : Tấn công
VLAN, tấn công làm tràn
bảng MAC, thay đổi SPT, giả
mạo địa chỉ MAC.
5
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Tấn Công Giả Mạo Địa chỉ MAC
Tấn công giả mạo địa chỉ
MAC
Switch sẽ lưu trữ địa chỉ
MAC của những đối tượng
kết nối với nó trong bảng
MAC ADDRESS TABLE
Tấn công giả mạo địa chỉ
MAC là thay đổi nội dụng
bảng MAC
6
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Tấn Công Giả Mạo Địa chỉ MAC
Tấn công giả mạo địa 
chỉ MAC
Thông tin dữ liệu gởi 
cho Server sẽ được gởi 
qua cho kẻ tấn công
7
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Tấn Công Đánh Tràn bảng MAC
Tấn công làm tràn 
bảng MAC
Switch gởi gói tin đi 
dựa vào thông tin địa 
chỉ MAC được map 
trong MAC-ADDRESS-
TABLE
Dung lượng MAC-
ADDRESS-TABLE thì 
có hạn
8
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Tấn Công Đánh Tràn bảng MAC
Tấn công làm tràn 
bảng MAC
Nếu attacker thay đổi 
địa chỉ MAC liên tục, 
làm bảng MAC đầy.
Thông tin gởi đến sẽ 
được flood ra tất cả 
các port
9
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Thay Đổi Cây STP
Thay đổi cây SPT
SPT là giao thức bảo vệ đường link ở lớp 2
Việc thay đổi cây SPT sẽ làm cho mô hình mạng bị xáo trộn, kẻ 
tấn công có thể xem được những thông tin không thể truy cập
Cuộc tấn công này được sử dụng để chiếm đoạt các mục tiêu an 
ninh : Tính bí mật, tính toàn vẹn và tính sẳn sàng
10
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Thay Đổi Cây SPT
Thay đổi cây STP
11
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
LAN Storm Attact
Lan Storm Attact
Switch sẽ đẩy gói tin ra các port khi nhận được 1 gói tin là
broadcast.
Nếu có nhiều gói tin broadcast được gởi đến, thì gói tin sẽ tràn
lan trong hệ thống mạng được gọi là LAN storm.
12
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
LAN Storm Attact
Lan Storm Attact
CPU switch hoạt động 100%, tài nguyên mạng bị chiếm dụng 
đáng kể.
Chúng ta không thể ngăn chặn các gói tin broadcast nhưng có 
thể điều khiển nó.
13
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Port Security
Port Security
Để đảm bảo cho mạng hoạt động ổn định, không bị tấn công giả 
mạo MAC.
Port security cho phép người quản trị mạng thiết lập địa chỉ MAC 
của PC cho 1 port cố định trên Switch
Phương pháp này có thể được thiết lập tỉnh hoặc động trên 
Swich.
14
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Port Security
15
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Port Security
Port Security
16
switchport mode access 
switchport port-security 
switchport port-security maximum 2
switchport port-security violation shutdown
switchport port-security mac-address sticky 
switchport port-security aging time 120
Switch(config-if)#
S2
PC B
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Port Security
17
Port Security
sw-class# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/12 2 0 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
sw-class# show port-security interface f0/12
Port Security : Enabled
Port status : Secure-down
Violation mode : Shutdown
Maximum MAC Addresses : 2
Total MAC Addresses : 1
Configured MAC Addresses : 0
Aging time : 120 mins
Aging type : Absolute
SecureStatic address aging : Disabled
Security Violation Count : 0 
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Port Security
18
Port security
sw-class# show port-security address
Secure Mac Address Table
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.ffff.aaaa SecureConfigured Fa0/12 -
-------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Layer 2 Security
Port fast
19
Switch(config-if)# spanning-tree portfast (interface command)
Switch(config)# spanning-tree portfast default (global command)
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Layer 2 Security
Bảo vệ cây SPT
Để bảo vệ cây SPT không nhận BPDU lạ từ bên ngoài, ta cấu 
hình tính năng root guard và BPDU guard.
Root guard và BPDU guard giúp switch không nhận BPDU từ 
bên ngoài cho dù BPDU có Bridge nhỏ hơn Switch Root.
Để đảm bảo cho cây SPT luôn hoạt động liên tục và ổn định, 
không bị gián đoạn khi chuyển từ trạng thái Blocking -> 
Forwarding ta cấu hình tính năng Uplink fast và Backbone fast
20
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Layer 2 Security
BPDU Guard
21
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Layer 2 Security
Root Guard
22
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Layer 2 Security
Uplink Fast & Backbone Fast
23
Switch(config)# spanning-tree uplinkfast(Blocked port SW)
Switch(config)# spanning-tree backbonefast(Forwarding SW)
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Layer 2 Security
Storm Control
Tính năng này đảm bảo Switch không flood gói tin tràn lan trong 
hệ thống mạng
24
Switch(config-if)# storm-control broadcast level 75.5
Switch(config-if)# storm-control multicast level pps 2k 
1k
Switch(config-if)# storm-control action shutdown
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Câu hỏi bài tập
Trình bày các hình thức tấn công ở Layer 2
Trình bày các kỹ thuật bảo mật ở Layer2
Cấu hình bảo mật ở Layer 2
25
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
TÓM LƯỢC BÀI HỌC
Các tính năng bảo mật ở Switch.
Các hình thức bảo vệ cây SPT
Hạn chế tấn công ở Layer 2
26
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
HỎI - ĐÁP
27

File đính kèm:

  • pdfbai_giang_xay_dung_he_thong_firewall_bai_4_bao_mat_layer_2.pdf