Phòng chống tấn công thiết bị mạng (Bài 1)

[nktung]

​

Vấn đề:
Một trong những thiết bị quan trọng trong mạng LAN cần được bảo vệ đó là Switch. Thiết bị này có thể bị kẻ gian lợi dụng để tấn công theo những kịch bản sau:

1. Đấu nối trái phép 1 máy tính vào swich, từ đó có thể đánh cắp dữ liệu của công ty.
2. Làm tràn bảng MAC trên swich bằng cách gửi số lượng lớn địa chỉ MAC giả mạo vào swich. Lúc này switch sẽ hoạt động theo cơ chế quảng bá các frame nhận được ra tất cả các cổng và kẻ gian sẽ bắt và phân tích các gói tin trao đổi trên mạng.

Vậy phải làm thế nào để ngăn chặn? Câu trả lời là sử dụng tính năng Port Security trên Switch.
Tính năng này sẽ cho phép giới hạn số lượng địa chỉ MAC trên mỗi cổng của Switch; và các địa chỉ MAC này được xác định trước (tạo thành danh sách các địa chỉ MAC an toàn - Secure MAC address)
Nếu swich phát hiện 1 trong 2 khả năng sau, nó sẽ thực hiện hành động ngăn chặn việc sử dụng cổng:

• Khả năng 1: Trên một cổng swich có số lượng địa chỉ MAC > số lượng địa chỉ MAC tối đa và địa chỉ MAC mới không có trong danh sách.
• Khả năng 2: Một địa chỉ MAC có trong danh sách nhưng đồng thời có mặt trên nhiều cổng thuộc cùng một VLAN.

Trong ví dụ trên, 2 máy PC của nhân viên đang được nối với switch. Một kẻ tấn công có ý định kết nối máy Laptop vào switch trên để truy cập trái phép vào mạng nội bộ của công ty với ý đồ xấu. Cần thực hiện cấu hình switch để ngăn chặn kẻ tấn công.
Giải quyết vấn đề
Trước hết bạn cần tắt những cổng không sử dụng trên swich để đề phòng kẻ gian sử dụng những cổng này.
Hiện swich của các hãng như Cisco, TPLink... đều có tính năng Port Security. Bạn chỉ cần kích hoạt tính năng này, sau đó khai báo số lượng địa chỉ MAC tối đa, kèm danh sách các địa chỉ MAC an toàn.

 

Re: Phòng chống tấn công thiết bị mạng (Bài 1)

Đa số người dùng hiện nay vẫn cấu hình Acc/pass của Modem, Switch theo mặc định như admin/admin hay root/12345, cần đổi lại acc/pass, cấu hình lọc theo địa chỉ Mac để đảm bảo an toàn.

 

Re: Phòng chống tấn công thiết bị mạng (Bài 1)

Đa số người dùng hiện nay vẫn cấu hình Acc/pass của Modem, Switch theo mặc định như admin/admin hay root/12345, cần đổi lại acc/pass, cấu hình lọc theo địa chỉ Mac để đảm bảo an toàn.

Đúng vậy, cần phải config những thứ đứng đầu sóng ngọn gió trước. Việc lọc MAC chỉ tiện lợi khi mà số lượng user có giới hạn. Trong trường hợp nhieu, mỗi người 1 máy tính + 1 smartphone thì để tất cả cùng đồng thời truy cập vào và lấy MAC là điều khó khăn.
Để đảm bảo an toàn thì chuyển sang dùng kết nối được mã hóa, tránh được ca tấn công thụ động và chủ động.

 

Re: Phòng chống tấn công thiết bị mạng (Bài 1)

Có thắc mắc là: Ở hình minh họa bài viết trên thì làm sao một laptop có thể connect tới được SW qua đường Wireless??

 

Re: Phòng chống tấn công thiết bị mạng (Bài 1)

Laptop có thể cắm dây mạng vào sưwitch

 

Re: Phòng chống tấn công thiết bị mạng (Bài 1)

Kiến thức cơ bản nhưng rất hữu ích. An ninh cần đảm bảo từ những cái cụ thể nhất