An ninh lớp 2 - Khắc phục điểm yếu?

Đặc điểm nào của lớp 2 (lớp Liên kết dữ liệu) là đáng chú ý nhất. Có lẽ là tính độc lập. Sự độc lập của lớp này cho phép nó có khả nǎng liên tác (interoperability) và khả nǎng kết nối (interconnectivity) rất mạnh. Tuy nhiên, xét về phương diện an ninh, điều này lại tạo ra những thâch thức không nhỏ do"bị" thoả hiệp ngay lập tức. Hệ thống an ninh của mạng chỉ mạnh khi lớp 2, tuyến phòng về yếu nhất này, cũng phải đủ mạnh.

Đặc điểm nào của lớp 2 (lớp Liên kết dữ liệu) là đáng chú ý nhất. Có lẽ là tính độc lập. Sự độc lập của lớp này cho phép nó có khả nǎng liên tác (interoperability) và khả nǎng kết nối (interconnectivity) rất mạnh. Tuy nhiên, xét về phương diện an ninh, điều này lại tạo ra những thâch thức không nhỏ do"bị" thoả hiệp ngay lập tức. Hệ thống an ninh của mạng chỉ mạnh khi lớp 2, tuyến phòng về yếu nhất này, cũng phải đủ mạnh.

Ai quan tâm đến lớp 2?

Thông thường, các hoạt động của mạng thường theo một lịch trình. Một bộ phận sẽ thực hiện các tác vụ về vận hành mạng - các nhân viên quản trị mạng (network administrator) và một bộ phận thực hiện các tác vụ về an ninh mạng - các nhân viên an ninh mạng (security administrator). Tuy nhiên, các hoạt động này thường kết thúc ở các lớp trên lớp 2.

Các nhân viên quản trị mạng thường sử dụng các mạng LAN ảo (Virtual LAN). Rất nhiều tuyến kết nối của VLAN đều vào/ra trên cùng một thiết bị chuyển mạch (LAN switch). Khi các nhân viên an ninh mạng yêu cầu có một phân đoạn mạng mới, các nhân viên quản trị mạng sẽ tạo ra một mạng VLAN và cung cấp cho bộ phận an ninh một vùng địa chỉ. Bên an ninh không biết là họ đang sử dụng VLAN và họ cũng không quan tâm bên vận hành mạng làm gì với switch. Bộ phận an ninh mạng thậm chí còn thường xuyên không quan tâm đến lớp 2 mà họ chỉ tập trung vào lớp 3 và các lớp cao hơn.

Sự khác biệt về quan điểm còn thể hiện ở chính các thiết bị trên mạng. Các Firewall thường được thiết lập với cấu hình bảo mật cao nhất khi chúng lần đầu được cài đặt. Theo mặc định, cho đến khi chúng được điều chỉnh thì chúng không cho phép trao đổi thông tin. Các thiết bị chuyển mạch và các thiết bị định tuyến lại hoàn toàn trái ngược. Chúng được thiết kế theo xu hướng "khuyến khích truyền thông". Khi thực hiện chức nǎng của mình - mở các kết nối - chúng có thể tạo ra các lỗ hổng bảo mật kế thừa vì thế các switch và router thường tích hợp sẵn các tính nǎng bảo mật bên trong. Tuy nhiên, những tính nǎng và khả nǎng này của chúng không được kích hoạt trừ khi các nhân viên quản trị mạng bật các tính nǎng đó lên. Thông thường thì các tính nǎng này không được sử dụng, hoặc được sử dụng không đúng cách.

Một cuộc khảo sát an ninh và tội phạm máy tính nǎm 2002 do Viện nghiên cứu an ninh máy tính và Cục điều tra liên bang Mỹ tiến hành cho thấy sự gia tǎng đáng kể các kiểu tấn công trên mạng (http://gocsi.com). Nǎm 1996, phần lớn các vụ tấn công đến từ các hệ thống bên trong. Phần còn lại đến từ khu vực dial-up và quét cổng Internet. Đến cuối nǎm 2002, số lượng và chủng loại các vụ tấn công đã thay đổi. Hơn 70% các vụ tấn công được thực hiện theo kiểu quét cổng từ bên ngoài và 30% xuất phát từ hệ thống bên trong. Tuy nhiên, số lượng các vụ tấn công từ bên trong vẫn còn rất lớn và thiệt hại mà kiểu tấn công này gây ra còn lớn hơn rất nhiều so với các vụ tấn công từ bên ngoài.

Xin đưa ra hai kiểu tấn công gây thiệt hại lớn nhất với mục tiêu là lớp 2 của hệ thống - lớp Liên kết dữ liệu.

Kiểu tấn công làm tràn MAC

Có một bảng lưu trữ các địa chỉ MAC của các cổng vật lý cùng với những tham số VLAN của chung trong mỗi switch. Bảng này có tên là bảng CAM (Content Addressable Memory). Bảng này tương đương với bảng định tuyến nhưng ở lớp 2. Bảng CAM lưu trữ dấu vết về vị trí các thiết bị trên mạng và cho biết lưu lượng nào sẽ đi qua cổng mà trước đó đã được thiết lập. Kiểu tấn công làm tràn MAC sẽ cố gắng làm cho các switch cư xử như các hub bằng cách làm tràn bẳng CAM. Không gian nhớ trong bảng CAM là hạn chế do đó nguy cơ tràn lưu lượng là rất cao.

Một cuộc tấn công kiểu này trông giống như lưu lượng từ hàng ngàn máy tính được chuyển đến một cổng, nhưng thực tế là nó chỉ đển từ một máy giả mạo địa chỉ MAC của hàng ngàn host giả mạo. Macof, một công cụ thông dụng để thực hiện các cuộc tấn công kiểu này, có thể tạo ra 155.000 tuyến kết nối giả (gọi là MAC entry) đến một cổng của switch mỗi phút. Switch nhìn thấy lưu lượng và nghĩ rằng các địa chỉ MAC từ các gói mà kẻ tấn công gửi đi là các cổng hợp lệ và nó sẽ thêm một chỉ dẫn kết nối (entry) vào bảng CAM. Mục tiêu làm tràn switch được thực hiện bằng cách điền đầy bảng CAM với các chỉ dẫn kết nối sai. Khi đã bị làm tràn, switch sẽ phát quảng bá lưu lượng trên VLAN mà không cần chỉ dẫn từ bảng CAM và vì thế cho phép kẻ tấn công nhìn thấy lưu ưlợng mà bình thường hắn không thể nhìn thấy. Làm tràn swtich rất dễ, thậm chỉ là với các switch có bảng CAM lớn và cấu hình mạnh.

Có rất nhiều cách để ngǎn chặn kiểu tấn công này. Phương pháp sơ đẳng là cấu hình an ninh cho các cổng trên switch. Việc này sẽ cho phép các nhân viên quản trị xác định số lượng PC được phép kết nối đến từng cổng của switch. Nếu số lượng PC vượt quá quy định, cổng đó sẽ bị tắt hoặc chặn các địa chỉ MAC vượt quá giới hạn đã xác định trước đó. Do phải duy trì việc dò theo dấu vết của các địa chỉ MAC lạ, hiệu nǎng của hệ thống sẽ bị ảnh hưởng. Vì thể, giải pháp thực tế nhất vẫn là tắt các cổng vượt quá giới hạn đó.

Biện pháp an ninh cho cổng còn đưa ra thêm một số tính nǎng khác ngoài những tính nǎng cần thiết để ngǎn chặn các vụ tấn công làm tràn switch.

Vấn đề an ninh mạng LAN ảo và các vụ tấn công kiểu VLAN hopping

Sự gia tǎng của các thông tin sai liên quan đến an ninh của các mạng LAN ảo, compounded by fear and uncertainty mà VLAN có thể bị thoả hiệp. Nghiên cứu của @stake, một tổ chức quốc tế gồm các chuyên gia an ninh ứng dụng và mạng đã tìm ra không có cách nào tiến hành các vụ tấn công trừ phi có sự cấu hình sai tồn tại trên switch. Trong những trường hợp này, sự cấu hình sai thường xuât phát do kiến trúc của swtich được thiết kế theo kiểu "khuyến khích kết nối" (open-communications) hơn là bắt nguồn từ lỗi của nhân viên quản trị mạng. Do đó, an ninh VLAN còn tồn tại rất nhiều phức tạp do cấu hình mặc định của switch làm cho nó có nguy cơ bị tấn công rất lớn trước các kiểu tấn công như VLAN hopping cơ bản và VLAN hopping kiểu đóng gói kép.

Các cuộc tấn công VLAN hopping được thiết kế để cho phép kẻ tấn công đi vòng qua các thiết bị lớp 3 khi trao đổi thông tin từ một VLAN này sang một VLAN khác. Hành động tấn công được tiến hành nhờ tận dụng những lợi thế từ các cổng trung kế (trunk port) được cấu hình bất hợp lý. Theo mặc định, các cổng trung kế có thể truy nhập tới tất cả các VLAN. Chúng được sử dụng để định tuyến lưu lượng cho rất nhiều VLAN qua cùng một đường kết nối vật lý giữa các switch. Dữ liệu truyền qua các tuyến này có thể được đóng gói theo chuẩn IEEE 802.1Q hoặc ISL (Inter-Switch Link).

Giao thức DTP (Dynamic Trunking Protocol) tự động cấu hình trung kế ISL/802.1Q và được sử dụng để trao đổi thông tin giữa các switch. Nó đồng bộ chế độ của trung kế giữa hai đầu cuối của tuyến và hạn chế sự cần thiết của việc can thiệp các biên pháp quản lý tại mỗi switch. Nhân viên quản trị mạng có thể cấu hình trạng thái DTP trên mỗi cổng trung kế. Các trạng thái bao gồm: On, Off, Desirable, Auto và Non-Negotiate.
- On: trạng thái này được sử dụng khi switch khác không hiểu giao thức DTP;
- Off: trạng thái này được sử dụng khi cổng đã được cấu hình từ trước không với mục đích trở thành cổng trung kế.
- Desirable: trạng thái này được sử dụng khi cổng switch muốn trở thành cổng trung kế.
- Auto: Đây là trạng thái mặc định trên nhiều switch.
- Non-Negotiate: trạng thái này được sử dụng khi người quản trị mạng muốn một loại trung kế ISL hay .1Q cụ thể.

Đặc điểm chính cần nhớ về giao thức DTP là chế độ mặc định của các cổng trên phần lớp các switch là Auto.

Kiểu tấn công VLAN hopping cơ bản

Vụ tấn công xảy ra khi kẻ tấn công đánh lừa switch để switch nghĩ hắn là một switch đang muốn kết nối trung kế. Kỹ thuật này đòi hỏi một thiết lập "trunking-favorable", kiểu như thiết lập Auto , thì mới có thể tấn công thành công. Bây giờ, kẻ tấn công đã trở thành thành viên của rất nhiều VLAN được kết nối đến switch và có thể gửi và nhận lưu lượng trên các VLAN này.

Cách tốt nhất để ngǎn chặn kiểu tấn công VLAN hopping cơ bản là tắt kết nối trên tất cả các cổng ngoại trừ những cổng cần thiết.

Kiểu tấn công VLAN hopping đóng gói kép

Kiểu tấn công này lợi dụng cách mà phần cứng trong phần lớn các switch hoạt động. Hiện nay, phần lớn các switch chỉ thực hiện đóng gói IEEE 802.1Q một mức. Điều này cho phép kẻ tấn công, trong những tính huống cụ thể, có khả nǎng gắn các đuôi 802.1Q (gọi là .1Q tag) của hắn vào khung. Khung này sẽ vào VLAN với đuôi .1Q đầu ra không xác định. Một đặc điểm quan trọng của kiểu tấn công VLAN hopping đóng gói kép là nó có thể tiến hành thậm chỉ với các cổng trung kế đã được thiết lập ở chế độ Off.

Ngǎn chặn các cuộc tấn công kiểu này không dễ như việc ngǎn chặn các cuộc tấn công kiểu VLAN hopping cơ bản. Biện pháp tốt nhất để đảm bảo các VLAN thuần của các cổng trung kế được phân biệt rạch ròi với các VLAN thuần của các cổng của người dùng. Để biêt thêm biện pháp ngǎn chặn các cuộc tấn công kiểu này, xem tại kết nối http://www.blackhat.com/presentations/bh-usa-02/bh-usa-02-convery-switches.pdf.

Quản lý switch và điều khiển truy nhập

Gần đây, một số thiết kế mạng biên Internet chỉ sử dụng một switch duy nhất để điều khiển cả những phần đáng tin cậy và những phần không đáng tin cậy của mạng.

Trong thiết kế này, nhiều VLAN được sử dụng để phân tách những lưu lượng tin cậy và không đáng tin cậy. Theo nghiên cứu của @stake, nếu được cấu hình đúng, VLAN có thể được sử dụng để phân tách lưu lượng theo cách này. Nhưng thật không may, sử dụng nhiều mức an ninh trên một switch sẽ làm gia tǎng mức độ phức tạp trong việc cấu hình và thường làm cho các nhân viên quản trị mạng phạm sai lầm. Hơn nữa, nếu switch đã bị thoả hiệp, kẻ tấn công hoàn toàn có thể đi vòng qua firewall, thiết lập một kết nối trực tiếp giữa Internet và mạng nội bộ.

Điều quan trọng cần nhớ đó là các biện pháp an ninh cho mạng của bạn phải bao gồm cả switch và firewall. Và do trong phần lớn các mạng, bộ phận an ninh không chịu trách nhiệm điều khiển switch, đây có thể là một vấn đề thực sự. Một thiết kế khác sử dụng nhiều switch không cần nhiều VLAN (hình b). Trong trường hợp này, nếu một switch bị thoả hiệp, hệ thống an ninh của toàn bộ mạng vẫn không bị vô hiệu hoá.

Một số tính nǎng bảo mật cần có ở các thiế bị lớp 2

- Port security: cho phép nhân viên quản trị mạng xác định số lượng PC được phép kết nối đến từng cổng switch.
- Private LANs: cung cấp biện pháp an ninh và khả nǎng phân vùng các cổng trên switch mà các cổng này là thành viên của cùng một VLAN. Tính nǎng này đảm bảo rằng người sử dụng có thể giao tiếp chỉ với gateway mặc định của họ mà không phải với gateway của người khác. Private VLAN thường được sử dụng hiệu quả trong các môi trường DMZ (Delimitized Zone).
- STP root guard/BPDU guard: loại bỏ các cuộc tấn công theo kiểu spanning-tree bằng cách tắt tất cả các cổng có thể gây ra sự thay đổi cấu trúc mạng lớp 2.
- SSH support: cung cấp một kết nối từ xa an toàn đến các thiết bị lớp 2 và lớp 3. Đối với các kết nối từ xa, SSH cung cấp mức độ bảo mật cao hơn Telnet do cung cấp phương pháp mã hoá mạnh hơn khi thiết bị được nhận thực. Tính nǎng này có cả SSH server và SSH client tích hợp.
- VMPS (VLAN Membership Policy Server): cho phép các địa chỉ MAC nhất định tương ứng với các VLAN nhất định. Tính nǎng nàycho phép người sử dụng di động trong mạng campus luôn có khả kết nối với cùng một biện pháp an ninh mạng.
- Nhận thực IEEE 802.1X: bảo vệ mạng bằng cách nhận thực người sử dụng theo một cơ sở dữ liệu trung tâm trước khi bất cứ một hình thức kết nối nào được phép thực hiện. Ngược lại, phần lớn người sử dụng bên trong các mạng cục bộ thường có thể truy nhập chỉ bằng cách sử dụng một kết nối Ethernet mà không cần phải nhận thực gì.
- Wire-rate ACLs: cho phép các danh sách điều khiển truy nhập được thực hiện mà không làm giảm hiệu nǎng hệ thống.

Thay cho lời kết

Ngoài các kiểu tấn công làm tràn MAC và VLAN hopping, còn có một số kiểu tấn công khác như spanning-tree, giả mạo giao thức phân giải địa chỉ (ARP spoofing), tấn công DHCP, đều có thể xảy ra tại lớp 2. Ngoài những hướng dẫn các biện pháp ngǎn chặn có thể tìm thấy tại http://www.blackhat.com, bạn cũng nên thực hiện một số điều sau:

- Hạn chế các hoạt động truy nhập để quản lý switch sao cho những khu vực không tin cậy trong mạng không thể lợi dụng các giao diện và các giao thức quản lý như SNMP (Simple Network Management Protocol).
- Ngǎn chặn các kiểu tấn công từ chối dịch vụ và các kiểu lợi dụng tấn công khác bằng cách khoá các giao thức spanning-tree và các giao thức động khác.
Sử dụng phần cứng ACL tại những vị trí có thể để chặn các lưu lượng không mong muốn.
- Sử dụng các VLAN ID dành riêng cho tất cả các cổng trung kế.
- Tắt tất cả các cổng không sử dụng trong VLAN
- Sử dụng các biện pháp an ninh cho cổng để hạn chế số lượng các địa chỉ MAC được phép góp phần bảo vệ hệ thống trước các cuộc tấn công làm tràn switch.

Thứ Sáu, 28/11/2003 09:24
4,33 👨 2.748
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp