1

CHƯƠNG 6
CÁC THIẾT BỊ AN NINH LỚP 2
Chương này sẽ đề cập đến các nội dung sau đây:
 Ngăn chặn các tấn công lớp 2: Phần này sẽ giải thích cách thức mà các
Switch Cisco có thể được cấu hình để ngăn chặn các tấn công lớp 2 phổ biến.
 Cisco Identity-Based Networking Services: phần này sẽ giải thích cách IBNS
(Cisco Identity-Based Networking Services) sử dụng IEEE 802.1x và các kỹ
thuật EAP (các giao thức chứng thực có thể mở rộng) để cho phép việc truy
cập đến các tài nguyên mạng dựa trên quyền hạn của người sử dụng.
Các đặc tính của các thiết bị LAN lớp 2 tạo cho các thiết bị này là cái đích thu
hút các hacker. Các hacker có thể truy cập vào lớp 2 thì có thể truy cập vào các lớp
cao hơn. Chương này sẽ giải thích các lỗ hổng của lớp 2 và mô tả các phương pháp
hạn chế tối đa các điểm yếu này dựa vào các đặc tính sẵn có trong Switch Cisco.
Các Switch cisco cũng thực hiên một chức năng không thể thiếu trong công nghệ
IBNS (Cisco Identity-Based Networking Services). IBNS đưa ra cơ chế điều khiển
truy cập đối với người sử dụng đến tài nguyên mạng. Chương này sẽ nghiên cứu các
thành phần của IBNS bao gồm IEEE 802.1x và các kiểu EAP khác nhau (Các giao
thức chứng thực có thể mở rộng).
I. Ngăn chặn các tấn công lớp 2
Phần này sẽ giải thích hoạt động cơ bản của Switch lớp 2 và tại sao nó lại là
mục tiêu tấn công của các hacker. Sau đó sẽ tiếp cận đến các phương pháp nhằm
hạn chế các tấn công tại lớp 2 bao gồm: bảo vệ tấn công hopping trên VLAN, ngăn
chặn một hacker thiết lập STP (Spanning Tree Protocol), làm ngưng DHCP server
và giả mạo bảng ARP, ngăn chặn các tấn công làm tràn bảng CAM (Content
Addressable Memory) và vô hiệu hóa việc giả tạo địa chỉ MAC. Các chủ đề khác để
đảm bảo an ninh trên Switch như port security, Switch Port Analyzer (SPAN – hệ
thống phân tích switch port), danh sách điều khiển truy cập VLAN (VACL),
Remote SPAN (RSPAN)…
2

1. Xem lại hoạt động của Switch lớp 2
Môi trường chia sẻ sử dụng hubs đã từng phát triển rộng rãi nhưng ngày nay
nó đã được thay thế bởi các Ethernet switch. Một Ethernet switch sẽ học địa chỉ
MAC của các thiết bị được kết nối đến mỗi port của nó. Sau đó, khi một frame đến
switch, switch sẽ đẩy frame dựa vào địa chỉ MAC đích của frame. Tuy nhiên nếu
switch không có địa chỉ MAC đích của frame trong bảng CAM (hay còn gọi là bảng
địa chỉ MAC) hoặc địa chỉ MAC đích của frame là địa chỉ broadcast thì frame sẽ
được đẩy ra tất cả các port ngoại trừ port đã nhận frame đó.
Đa số các Ethernet switch đều có thể chia các port thành các VLAN, mỗi
VLAN là một miền broadcast. Các lưu lượng cần được định tuyến để đi từ VLAN
này đến VLAN khác.
Các Cisco switch hoạt động tại lớp 2 trong mô hình OSI ( lớp liên kết dữ
liệu) _hình 6.1. Nếu một hacker chiếm được được quyền điều khiển tại lớp 2 thì các
lớp cao hơn đều có thể bị điều khiển bởi hacker đó. Do đó mà các switch lớp 2 ví dụ
switch của Cisco luôn là cái đích để các hacker tấn công.

Hình 6.1

3

2. Các phương pháp cơ bản để bảo vệ switch lớp 2
Chương này sẽ đưa ra một số phương pháp để bảo vệ switch lớp 2. Sau đây là một
số phương pháp cơ bản để bảo vệ lớp 2 – các phương pháp này sẽ được áp dụng đối
với các switch
* Telnet access: Người quản trị mạng có thể kết nối đến Cisco switch thông qua
telnet. Mặc dù vậy telnet không phải là một giao thức an toàn. Nếu một hacker chặn
được các packets telnet chúng có thể lấy được các thông tin cần thiết như password
để có thể truy cập vào switch. Secure Shell (SSH) đã được đưa ra như là một giao
thức kế tiếp của telnet bời vì nó là một giao thức tin cậy và có tính toàn vẹn dữ liệu.

Người quản trị mạng có thể sử dụng cổng console của switch để truy cập cấu hình
bởi vì cổng console có mức an ninh vật lý (password console).
* SNMP access: Simple Network Management Protocol (SNMP) thường được sử
dụng để thu thập thông tin về các thiết bị mạng. Các phiên bản cũ hơn của SNMP (
version 1 và version 2c) thì thiếu các kỹ thuật đảm bảo an toàn. Nếu sử dụng các
phiên bản cũ này thì nó chỉ cho phép đọc các thông tin thay vì đọc và ghi thông tin.
Bạn có thể sử dụng phiên bản cao hơn (version 3) bở vì ở phiên bản này nó thực
hiện các kỹ thuật đảm bảo an toàn.
* Reducing exposure: Người quản trị server có thể làm giảm các nguy cơ bị tấn
công bằng cách tắt các dịch vụ không cần thiết. Người quản trị switch có thể làm
giảm các nguy cơ này bằng cách tắt các dịch vụ không cần thiết và các cổng không
được sử dụng. Thông thường người quản trị có thể giới hạn số lượng địa chỉ MAC
mà một port của switch có thể học được.
* Logging: Cũng giống như các routers, log cố gắng truy cập đến switch. Thông
thường việc xem lại các log này có thể cảnh báo người quản trị switch trước các
mối đe dọa tiềm ẩn.
* Change control: Trong các mạng doanh nghiệp, nhiều người quản trị switch có
thể chia sẻ nhiệm vụ cấu hình switch. Tuy nhiên, chính sách điều khiển thay đổi
thực hiện kết hợp tốt nhất các hoạt động của người quản trị.
* VLAN configuration: Dưới đây là các khuyến cáo khi cấu hình các switch
VLANs:
+ Cấu hình các port mà không tạo thành một trunk đến một trunk là off
4

+ Không gửi dữ liệu người sử dụng trên Native VLAN
+ Sử dụng private VLAN để ngăn chặn một hacker chiếm quyền điểu khiển trên
một host của VLAN tiến tới chiếm quyền điểu khiển các host khác trên cùng VLAN
đó
3. Ngăn chặn VLAN hopping
Một cuộc tấn công VLAN hopping cho phép lưu lượng đi từ VLAN này sang

VLAN khác. Ví dụ một hacker có thể sử dụng một cuộc tấn công VLAN hopping
để nghe lén các lưu lượng trong đó PC của hacker được giả danh là có quyền thực
hiện việc này để cô lập hoặc gửi lưu lượng đến VLAN mà hacker không thể đến
được. Có 2 cách tiếp cận chính để thực hiện một cuộc tấn công VLAN hopping là
switch spoofing và double tagging.
* Switch Spoofing
Mặc định thì Ethernet trunk mang lưu lượng cho tất cả các VLAN. Vì thế, nếu một
hacker tấn công một switch và đi đến chế độ trunking thì hacker sau đó có thể nhìn
thấy lưu lượng trên tất cả các VLANs. Trong một vài trường hợp, kiểu tấn công này
có thể được sử dụng để thu thập username và password sử dụng cho các cuộc tấn
công kế tiếp.
Một số switch port mặc định là ở chế độ auto của kiểu trunking, điều này có nghĩa
là các port tự động trở thành trunk port nếu chúng nhận các frames DTP (Dynamic
Trunking Protocol). Một hacker cố gắng tạo cho mình một switch port ở chế độ
trunking bằng cách giả danh các frame DTP hoặc bằng cách kết nối một rogue
switch đến switch port của hacker. Để ngăn chặn switch spoofing bạn có thể
disable trunking trên tất cả các port mà không cần thiết phải thiết lập ở chế độ
trunking và disable DTP trên các ports mà nó không cần thực hiện trunk. Ví dụ

5

* Double Tagging
Trên một IEEE 802.1Q trunk một VLAN được thiết kế như một Native VLAN.
Native VLAN không thêm bất kỳ tag nào đến các frame để truyền từ VLAN này
sang VLAN khác.
Nếu một PC của hacker thuộc vào một Native VLAN thì hacker có thể dựa vào các
đặc tính của Native VLAN này để gửi các lưu lượng mà có 2 802.1Q tags.
Để ngăn cản các tấn công VLAN hopping sử dụng double tagging, không sử dụng
Native VLAN để gửi dữ liệu người sử dụng. Bạn có thể thực hiện điều này bằng
cách tạo một VLAN trong tổ chức mà nó không có một port nào cả. Các VLAN

không được sử dụng này chỉ có nhiệm vụ của một Native VLAN. Hình 6. thể hiện
cấu hình Native VLAN trên Cisco Catalyst 3550 thàng một VLAN không được sử
dụng.

4. Bảo vệ trước một cuộc tấn công STP
Các liên kết dư thừa có thể được đưa vào các topo sử dụng switch lớp 2 để tăng tính
ổn định cho mạng. Tuy nhiên các liên kết dư thừa này lại tiềm ẩn một nguy cơ bị
lặp vòng tại lớp 2 gây nên các cơn bão broadcast. Giao thức Spanning Tree (STP)
có thể cho phép bạn về mặt vật lý vẫn có được các liên kết dư thừa, còn về mặt
logic là dạng topo loop – free. Như vậy có thể ngăn cản được các cơn bão
broadcast.
STP tạo được một topo dạng loop – free bằng cách chọn một switch như là root
bridge. Mỗi một switch khác trong mạng được thiết kế một root port. Root port là
một port trên switch mà nó gần với root bridge hơn về giá trị cost.


6

5. Ngăn chặn DHCP Server Spoofing.
Trong các mạng ngày nay, các client duy trì thông tin địa chỉ IP của mình
một cách tự động sử dụng giao thức cấu hình host động (DHCP). Để duy trì thông
tin địa chỉ IP một cách tự động, một client (ví dụ PC) gửi ra ngoài một yêu cầu
DHCP. Một DHCP server sẽ nhận các yêu cầu này và gửi một DHCP response đến
client (bao gồm các thông tin như địa chỉ IP, subnet mask và gateway mặc định).
Tuy nhiên nếu một hacker kết nối đến một rogue DHCP server đến mạng, một
rogue DHCP server có thể đáp ứng các yêu cầu từ client. Thậm chí cả 2 rogue
DHCP server và actual DHCP server đáp ứng các yêu cầu của client. Client sẽ sử
dụng response của rogue DHCP server nếu nó đến client trước khi response đó đến
từ DHCP server. Điều này được thể hiện trong hình vẽ 6.5



Hình 6.5

DHCP response từ một DHCP server của hacker có thể gán địa chỉ IP của hacker là
địa default gateway của client hoặc DNS server. Điều này có thể làm cho client gửi
lưu lượng đến máy của hacker. Hacker sau đó sẽ bắt các lưu lượng này và có thể
đẩy nó đến một gateway thích hợp.
Đặc tính DHCP snooping trên Cisco switch có thể được sử dụng để chống lại các
cuộc tấn công server spoofing. Với phương pháp này thì các port Cisco Catalyst
switch.