CCNA [CHAP 01] Tìm hiểu và cấu hình bảo vệ ARP Inspection và DHCP Snooping

1724250168270.jpeg

Mục lục:

I. Giới thiệu

1. DHCP Snooping
2. Dynamic ARP Inspection (DAI)

II. Cấu hình

1. Cấu hình DHCP Snooping
2. Cấu hình ARP Inspection (DAI)
3. Tích hợp DHCP Snooping và ARP Inspection

III. Kết luận

Tài liệu tham khảo



I. Giới thiệu
1. DHCP Snooping

Định nghĩa và chức năng: DHCP Snooping là một biện pháp bảo mật mạng được triển khai trên các switch lớp 2 để ngăn chặn các máy chủ DHCP giả mạo và loại bỏ lưu lượng DHCP độc hại hoặc bị biến dạng. Nó giúp bảo vệ cơ sở hạ tầng DHCP bằng cách giám sát và kiểm soát lưu lượng DHCP giữa các máy khách và máy chủ.

Cách hoạt động của DHCP Snooping:

1724244412652.png

DHCP Snooping hoạt động bằng cách phân loại các cổng trên switch thành hai loại: cổng tin cậy và cổng không tin cậy. Các cổng tin cậy thường kết nối với các máy chủ DHCP hợp lệ, trong khi các cổng không tin cậy kết nối với các thiết bị đầu cuối như PC và laptop.
  • Cổng tin cậy: Cho phép các thông điệp DHCP như DHCPOFFER và DHCPACK từ các nguồn đáng tin cậy.
  • Cổng không tin cậy: Chỉ cho phép các thông điệp DHCP như DHCPDISCOVER và DHCPREQUEST từ các máy khách. Nếu các thông điệp DHCPOFFER và DHCPACK xuất phát từ cổng không tin cậy, chúng sẽ bị loại bỏ.
Switch sẽ tạo ra một cơ sở dữ liệu gọi là DHCP Snooping Binding Database, ghi lại địa chỉ MAC và IP của các thiết bị kết nối qua các cổng không tin cậy. Cơ sở dữ liệu này có thể được sử dụng bởi các tính năng bảo mật khác như Dynamic ARP Inspection để đảm bảo tính toàn vẹn của IP trên mạng.

2. Dynamic ARP Inspection (DAI)

Định nghĩa và chức năng: Dynamic ARP Inspection (DAI) là một tính năng bảo mật giúp bảo vệ mạng khỏi các cuộc tấn công ARP spoofing. DAI kiểm tra các gói ARP trên các cổng không tin cậy và so sánh thông tin trong gói ARP với cơ sở dữ liệu DHCP Snooping hoặc danh sách kiểm tra ARP (ARP access-list). Nếu thông tin không khớp, gói sẽ bị loại bỏ.

Cách hoạt động của DAI:

1724247283258.png

DAI hoạt động bằng cách xác thực các gói ARP dựa trên cơ sở dữ liệu DHCP Snooping hoặc các cấu hình tĩnh. Dưới đây là các bước cơ bản:
  • Phân loại cổng: Các cổng trên switch được phân loại thành cổng tin cậy và cổng không tin cậy. Các cổng tin cậy thường kết nối với các thiết bị như máy chủ DHCP, trong khi các cổng không tin cậy kết nối với các thiết bị đầu cuối như PC và laptop2.
  • Kiểm tra gói ARP: Khi một gói ARP được gửi qua cổng không tin cậy, switch sẽ kiểm tra thông tin trong gói ARP (địa chỉ MAC và IP) với cơ sở dữ liệu DHCP Snooping. Nếu thông tin không khớp, gói sẽ bị loại bỏ.
  • Ghi nhật ký và báo cáo: Các gói ARP bị loại bỏ sẽ được ghi lại và có thể được báo cáo cho quản trị viên mạng để phân tích và xử lý sự cố.
DAI giúp ngăn chặn các cuộc tấn công man-in-the-middle bằng cách đảm bảo rằng chỉ các gói ARP hợp lệ mới được phép truyền qua mạng.

II. cấu hình
1. Cấu hình DHCP Snooping

Bật DHCP Snooping:

Switch(config)# ip dhcp snooping
Click to expand...

Cấu hình VLAN cho DHCP Snooping:

Switch(config)# ip dhcp snooping vlan 10
Click to expand...

Đánh dấu cổng tin cậy:

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# exit
Click to expand...

Lưu trữ cơ sở dữ liệu DHCP Snooping:

Switch(config)# ip dhcp snooping database flash:dhcp_snooping.db
Click to expand...

Kiểm tra và xác minh cấu hình:

Switch# show ip dhcp snooping
Click to expand...

2. Cấu hình ARP Inspection (DAI)

Bật ARP Inspection:

Switch(config)# ip arp inspection vlan 10
Click to expand...

Đánh dấu cổng tin cậy:

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# ip arp inspection trust
Switch(config-if)# exit
Click to expand...

Cấu hình danh sách kiểm tra ARP ( nếu sử dụng IP static không phải DHCP thì cần cấu hình danh sách kiểm tra ARP để DAI xác minh các gói ARP từ các IP này):

Switch(config)# arp access-list ARP_INSPECT
Switch(config-arp-nacl)# permit ip host 192.168.1.2 mac host 00C0.9FA5.EF1A
Switch(config-arp-nacl)# exit
Switch(config)# ip arp inspection filter ARP_INSPECT vlan 10
Click to expand...

Kiểm tra và xác minh cấu hình:

Switch# show ip arp inspection
Switch# show ip arp inspection vlan 10
Switch# show ip arp inspection statistics
Click to expand...

3. Tích hợp DHCP Snooping và ARP Inspection

Mối quan hệ giữa DHCP Snooping và ARP Inspection:

DHCP Snooping và ARP Inspection tương tác cùng nhau để cung cấp một lớp bảo mật toàn diện cho mạng. DHCP Snooping tạo bảng ràng buộc chứa thông tin về các địa chỉ IP và MAC hợp lệ, trong khi ARP Inspection sử dụng bảng này để xác minh các gói tin ARP. Khi được cấu hình đúng cách, hai cơ chế này bảo vệ mạng khỏi các cuộc tấn công giả mạo địa chỉ IP và MAC, giảm thiểu nguy cơ tấn công man-in-the-middle và bảo vệ dữ liệu nhạy cảm.

Cách sử dụng cơ sở dữ liệu DHCP Snooping cho ARP Inspection:
Khi cấu hình DHCP Snooping trên một VLAN, cơ sở dữ liệu (binding table) sẽ tự động được tạo và duy trì trên switch. Dynamic ARP Inspection (DAI) sau đó sẽ sử dụng trực tiếp cơ sở dữ liệu này để xác minh các gói ARP, mà không cần cấu hình thêm. Quy trình này là tự động, không cần liên kết thủ công giữa DHCP Snooping và ARP Inspection.

Tạo cơ sở dữ liệu DHCP Snooping trên file hệ thống: Nếu ta muốn lưu trữ cơ sở dữ liệu này một cách lâu dài (nghĩa là khi switch khởi động lại vẫn giữ nguyên cơ sở dữ liệu), ta có thể chỉ định một file trên hệ thống lưu trữ của switch để ghi lại cơ sở dữ liệu.
Switch(config)# ip dhcp snooping database flash:/dhcp-snooping-database
Click to expand...

Xem nội dung cơ sở dữ liệu DHCP Snooping:

Switch# show ip dhcp snooping binding
Click to expand...

Xem trạng thái ARP Inspection: Để kiểm tra trạng thái của DAI và các gói bị chặn hoặc cho phép:

Switch# show ip arp inspection
Click to expand...

III. Kết luận

Trong bài viết này, chúng ta đã tìm hiểu về cách cấu hình và tích hợp hai cơ chế bảo mật quan trọng trong mạng, đó là DHCP Snooping và ARP Inspection. Cả hai cùng hoạt động để bảo vệ mạng khỏi các cuộc tấn công giả mạo địa chỉ IP và MAC, đồng thời giảm thiểu nguy cơ bị tấn công man-in-the-middle. DHCP Snooping giám sát và xây dựng bảng ràng buộc chứa các thông tin về địa chỉ IP và MAC hợp lệ của các thiết bị trong mạng, trong khi ARP Inspection sử dụng bảng này để xác minh và chặn các gói ARP không hợp lệ. Khi được triển khai và cấu hình đúng cách, hai cơ chế này cung cấp một lớp bảo mật mạnh mẽ, giúp bảo vệ dữ liệu nhạy cảm và duy trì tính toàn vẹn của hệ thống mạng.

Tài liệu tham khảo

DHCP snooping
Understanding and Configuring Dynamic ARP Inspection
 
Click to expand...
You must log in or register to reply here.

Similar Threads

vominhat
CCNA [LAB 06] Tìm hiểu và cấu hình Router, Routing, VLAN, IPv4
Replies
0
Views
113
vominhat
vominhat
H
CCNA [LAB 07] Tìm hiểu giao thức ngăn chặn Layer2 Loop (STP, RSTP, MSTP)
Replies
0
Views
82
HaiDang
H
ducminh
CCNA [LAB 06 & 07 ] Tìm hiểu và cấu hình IPv4 Address, định tuyến tĩnh, VLAN Routing & hoạt động của Router
Replies
0
Views
136
ducminh
ducminh
mmHmm
CCNA [LAB 06] Tìm hiểu và cấu hình định tuyến tĩnh, VLAN Routing
Replies
0
Views
144
mmHmm
mmHmm
mmHmm
CCNA [LAB 05] Tìm hiểu và cấu hình IPv4 Address, hoạt động của Router
Replies
0
Views
85
mmHmm
mmHmm

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

Home Forums Contact us

User Menu

Login
Top Bottom
Back