Một Số Hình Thức Tấn Công Phổ Biến Trong Mạng LAN Và Giải Pháp ...

DHCP spoofing

DHCP spoofing là kỹ thuật tấn công theo phương thức giả mạo bảng tin DHCP response của DHCP server. Bằng cách theo dõi chu kỳ gửi/ nhận các bảng tin DHCP từ client và server, attacker phát ra các bảng tin DHCP response giả mạo trước khi bảng tin DHCP response thật từ DHCP server đến client. Nội dung bảng tin DHCP response cũng chứa thông tin địa chỉ IP như các bảng tin thông thường nhưng địa chỉ IP default gateway được thay thế thành IP của attacker. Khi đó nội dung trao đổi của client với các máy tính khác sẽ được chuyển tiếp qua máy tính của attacker theo dạng Man in the middle (Người đàn ông đứng giữa).

Triển khai giải pháp ngăn chặn DHCP spoofing trên switch access: Để ngăn chặn tấn công theo dạng DHCP spoofing, trên các switch access sẽ cấu hình các port kết nối theo dang trusted và untrusted. Khi đó chỉ có port kết nối với DHCP server được cấu hình là trusted, các port còn lại kết nối với máy tính người dùng được cấu hình untrusted thì không thể gửi các bảng tin DHCP response. Trường hợp một máy tính trong mạng cố tình giả mạo DHCP server, gửi bảng tin DHCP response sẽ bị shutdown port kết nối tương ứng trên switch.

Mô tả giải pháp ngăn chặn DHCP spoofing

VLAN hopping

Kỹ thuật tấn công theo kiểu VLAN hopping được thực hiện bằng cách thay đổi VLAN ID trên gói tin gửi đi. Để thực hiện tấn công theo kiểu VLAN hoping có 2 cách là sử dụng DTP và double tagging VLAN.

Sử dụng DTP (Dynamic Trunking Protocol)

Mô tả tấn công dạng VLAN hopping sử dụng DTP

Kỹ thuật tấn công này được diễn giải theo mô hình trên như sau: Máy tính attacker sau khi kết nối với unauthorized switch, thực hiện gửi các bản tin DTP để tạo kết nối trunking với company switch. Khi đó trên kết nối trunking có bao nhiêu VLAN thì máy tính attacker sẽ nhận dữ liệu trao đổi từ bấy nhiêu VLAN qua kết nối trunking.

DTP là giao thức sử dụng để tự động hình thành kết nối trunking giữa hai thiết bị, do đó để chủ động ngăn chặn tấn công theo dạng này, khuyến nghị trên các switch disable tính năng DTP. Việc tạo các kết nối trunking giữa hai switch lớp 2 nên thực hiện theo phương pháp manual.

Sử dụng VLAN double tagging

Mô tả tấn công dạng VLAN hopping sử dụng VLAN double tagging

Đối với kỹ thuật này, 2 tag 802.1q được chèn vào trên gói tin gửi đi. Tag đầu tiên (gán nhãn VLAN ID 10) dùng cho kết nối trunking giữa Switch A và Switch B. Tag thứ hai (gán nhãn VLAN ID 20) được chèn có chủ đích để gửi dữ liệu đến máy nạn nhân (thuộc VLAN 20). Để có thể thực hiện kỹ thuật này, máy tính attacker phải thuộc 01 VLAN được permit trên kết nối trunking giữa switch A và switch B.

Để ngăn chặn hình thức tấn công này, giải pháp áp dụng cho các switch access là cấu hình vlan access-list trên thiết bị hoặc private vlan.

ARP spoofing

ARP là giao thức được sử dụng trong môi trường lớp 2 cho mục đích mapping giữa địa chỉ MAC và địa chỉ IP v4. Tuy nhiên, bản thân giao thức ARP chưa có cơ chế bảo mật đủ mạnh, do đó dễ dàng bị thỏa hiệp trong trường hợp tấn công theo dạng ARP spoofing.

Quá trình thực hiện kỹ thuật ARP spoofing diễn ra như sau: Máy tính attacker khi kết nối vào mạng LAN đơn vị sẽ thực hiện scan để tìm các IP cùng dãi. Sau khi xác định được IP máy tính cần tấn công, attacker sẽ gửi 01 ARP response giả mạo đến Switch, với thông tin vẫn là địa chỉ IP của máy nạn nhân nhưng địa chỉ MAC là của máy tính attacker. Switch sau khi nhận được ARP response từ attacker sẽ cập nhật IP và MAC mới vào bảng CAM. Khi đó, thay vì gửi dữ liệu đến máy tính nạn nhân, thì Switch gửi dữ liệu đến attacker.

Mô tả tấn công theo dạng ARP spoofing

Để ngăn chặn hình thức tấn công này, khuyến nghị cấu hình tính năng dynamic ARP inspection (DAI) trên Switch access lớp 2.

MAC flooding attack

Về cơ bản, mục đích của kỹ thuật tấn công này là làm tràn bộ nhớ thiết bị Switch thông qua overload bảng CAM (CAM table). Attacker khi kết nối đến Switch, thực hiện flood bảng tin ARP (gửi các bảng tin với IP và MAC thay đổi liên tục để Switch cập nhật thông tin vào bảng CAM). Khi không gian lưu trữ các địa chỉ MAC bị vượt quá, switch sẽ rơi vào trạng thái failopen. Lúc đó các gói tin khi gửi đến từ 1 cổng kết nối trên switch sẽ bị gửi đến tất cả các cổng còn lại, thay vì chuyển tiếp gói tin đến đúng port dựa theo cơ sở dữ liệu MAC address – IP trong CAM table như ban đầu (switch lúc này hoạt động như 1 hub). Vì vậy các gói tin trao đổi trên cùng 1 switch, máy tính attacker đều nhận được.

Bằng cách sử dụng các công cụ packet sniffer, attacker dễ dàng phân tích được dữ liệu trao đổi giữa các máy tính đang kết nối trên cùng switch với nó.

Mô tả tấn công theo dạng MAC flooding

Để ngặn chặn hình thức tấn công này, khuyến nghị cấu hình tính năng port security trên switch để giới hạn số lượng địa chỉ MAC cho phép trên 1 cổng kết nối. Trường hợp attacker gửi các bản tin với nhiều địa chỉ MAC khác nhau, port kết nối sẽ bị disable.

Hiện nay các hình thức tấn công mạng LAN rất đa dạng và tinh vi. Bài viết chỉ mới trình bày lại các loại hình tấn công cơ bản để những người mới bắt đầu bước lĩnh vực an toàn thông tin có sự đầu tư nghiên cứu, khi vận hành hệ thống Network cần có sự cân nhắc, triển khai các giải pháp phù hợp nhằm đảm bảo an toàn thông tin nhưng cũng đáp ứng yêu cầu về performance cho hệ thống.