intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Bài giảng Xây dựng hệ thống Firewall: Bài 4 - Cao đẳng Nghề CNTT iSPACE

Chia sẻ: Kiếp Này Bình Yên | Ngày: | Loại File: PDF | Số trang:27

108
lượt xem
14
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài 4 trình bày về bảo mật Layer 2. Nội dung chính của chương này gồm: Giới thiệu bảo mật ở lớp 2, tấn công giả mạo MAC Address, tấn công đánh tràn bảng MAC, thay đổi cây STP, LAN storm Attack, cấu hình Layer 2 Security. Mời các bạn cùng tham khảo.

Chủ đề:
Lưu

Nội dung Text: Bài giảng Xây dựng hệ thống Firewall: Bài 4 - Cao đẳng Nghề CNTT iSPACE

  1. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin fit@ispace.edu.vn http://fit.ispace.edu.vn @Email: fit@ispace.edu.vn 1
  2. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn MÔN HỌC: XÂY DỰNG HỆ THỐN FIREWALL Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER 2 Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS @Email: fit@ispace.edu.vn 2
  3. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn BÀI 4: BẢO MẬT LAYER 2 Phương pháp bảo mật ở lớp 2 Giới thiệu bảo mật ở lớp 2 Tấn công giả mạo MAC Address Tấn công đánh tràn bảng MAC Thay đổi cây STP LAN storm Attack Cấu hình Layer 2 Security Câu hỏi ôn tập @Email: fit@ispace.edu.vn 3
  4. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn MỤC TIÊU BÀI HỌC Giới thiệu bảo mật ở lớp 2 Trình bày các phương pháp tấn công ở lớp 2. Cấu hình bảo mật cho các thiết bị lớp 2 @Email: fit@ispace.edu.vn 4
  5. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới Thiệu Bảo Mật Layer 2 Giới thiệu bảo mật layer 2 Chuyên gia bảo mật mạng không chỉ bảo vệ mạng ở layer 3, mà còn bảo vệ mạng ở layer 2. Những cuộc tấn cộng mạng ở layer 2 bao gồm : Tấn công VLAN, tấn công làm tràn bảng MAC, thay đổi SPT, giả mạo địa chỉ MAC. @Email: fit@ispace.edu.vn 5
  6. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Tấn Công Giả Mạo Địa chỉ MAC Tấn công giả mạo địa chỉ MAC Switch sẽ lưu trữ địa chỉ MAC của những đối tượng kết nối với nó trong bảng MAC ADDRESS TABLE Tấn công giả mạo địa chỉ MAC là thay đổi nội dụng bảng MAC @Email: fit@ispace.edu.vn 6
  7. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Tấn Công Giả Mạo Địa chỉ MAC Tấn công giả mạo địa chỉ MAC Thông tin dữ liệu gởi cho Server sẽ được gởi qua cho kẻ tấn công @Email: fit@ispace.edu.vn 7
  8. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Tấn Công Đánh Tràn bảng MAC Tấn công làm tràn bảng MAC Switch gởi gói tin đi dựa vào thông tin địa chỉ MAC được map trong MAC-ADDRESS- TABLE Dung lượng MAC- ADDRESS-TABLE thì có hạn @Email: fit@ispace.edu.vn 8
  9. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Tấn Công Đánh Tràn bảng MAC Tấn công làm tràn bảng MAC Nếu attacker thay đổi địa chỉ MAC liên tục, làm bảng MAC đầy. Thông tin gởi đến sẽ được flood ra tất cả các port @Email: fit@ispace.edu.vn 9
  10. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Thay Đổi Cây STP Thay đổi cây SPT SPT là giao thức bảo vệ đường link ở lớp 2 Việc thay đổi cây SPT sẽ làm cho mô hình mạng bị xáo trộn, kẻ tấn công có thể xem được những thông tin không thể truy cập Cuộc tấn công này được sử dụng để chiếm đoạt các mục tiêu an ninh : Tính bí mật, tính toàn vẹn và tính sẳn sàng @Email: fit@ispace.edu.vn 10
  11. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Thay Đổi Cây SPT Thay đổi cây STP @Email: fit@ispace.edu.vn 11
  12. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn LAN Storm Attact Lan Storm Attact Switch sẽ đẩy gói tin ra các port khi nhận được 1 gói tin là broadcast. Nếu có nhiều gói tin broadcast được gởi đến, thì gói tin sẽ tràn lan trong hệ thống mạng được gọi là LAN storm. @Email: fit@ispace.edu.vn 12
  13. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn LAN Storm Attact Lan Storm Attact CPU switch hoạt động 100%, tài nguyên mạng bị chiếm dụng đáng kể. Chúng ta không thể ngăn chặn các gói tin broadcast nhưng có thể điều khiển nó. @Email: fit@ispace.edu.vn 13
  14. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Port Security Port Security Để đảm bảo cho mạng hoạt động ổn định, không bị tấn công giả mạo MAC. Port security cho phép người quản trị mạng thiết lập địa chỉ MAC của PC cho 1 port cố định trên Switch Phương pháp này có thể được thiết lập tỉnh hoặc động trên Swich. @Email: fit@ispace.edu.vn 14
  15. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Port Security @Email: fit@ispace.edu.vn 15
  16. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Port Security Port Security S2 PC B Switch(config-if)# switchport mode access switchport port-security switchport port-security maximum 2 switchport port-security violation shutdown switchport port-security mac-address sticky switchport port-security aging time 120 @Email: fit@ispace.edu.vn 16
  17. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Port Security Port Security sw-class# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------- Fa0/12 2 0 0 Shutdown --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 sw-class# show port-security interface f0/12 Port Security : Enabled Port status : Secure-down Violation mode : Shutdown Maximum MAC Addresses : 2 Total MAC Addresses : 1 Configured MAC Addresses : 0 Aging time : 120 mins Aging type : Absolute SecureStatic address aging : Disabled Security Violation Count : 0 @Email: fit@ispace.edu.vn 17
  18. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Port Security Port security sw-class# show port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 0000.ffff.aaaa SecureConfigured Fa0/12 - ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 @Email: fit@ispace.edu.vn 18
  19. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Cấu hình Layer 2 Security Port fast Switch(config-if)# spanning-tree portfast (interface command) Switch(config)# spanning-tree portfast default (global command) @Email: fit@ispace.edu.vn 19
  20. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Cấu hình Layer 2 Security Bảo vệ cây SPT Để bảo vệ cây SPT không nhận BPDU lạ từ bên ngoài, ta cấu hình tính năng root guard và BPDU guard. Root guard và BPDU guard giúp switch không nhận BPDU từ bên ngoài cho dù BPDU có Bridge nhỏ hơn Switch Root. Để đảm bảo cho cây SPT luôn hoạt động liên tục và ổn định, không bị gián đoạn khi chuyển từ trạng thái Blocking -> Forwarding ta cấu hình tính năng Uplink fast và Backbone fast @Email: fit@ispace.edu.vn 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2