🚨 "Chỉ cắm thêm một Router Wi-Fi thôi mà... có gì nghiêm trọng đâu?"
Đó là suy nghĩ của rất nhiều người.
Một chiếc Router Wi-Fi mua ngoài cửa hàng.
Cắm dây mạng của công ty vào cổng LAN.
Mục đích chỉ đơn giản là muốn có thêm Wi-Fi cho vài thiết bị.
Nhưng chỉ khoảng 5 phút sau...
Điều đáng nói là...
Router Core vẫn hoạt động. Firewall không có cảnh báo. Đường truyền Internet hoàn toàn bình thường.
Thủ phạm lại chỉ là một thiết bị nhỏ nằm im lặng trên bàn làm việc.
Chuyện gì đã xảy ra?
Khi một máy tính khởi động, nó sẽ gửi yêu cầu DHCP để xin địa chỉ IP.
Đáng lẽ chỉ có DHCP Server của doanh nghiệp được phép trả lời.
Nhưng nếu trong hệ thống xuất hiện thêm một Router Wi-Fi hoặc một DHCP Server "lạ", thiết bị đó cũng có thể phản hồi yêu cầu cấp phát IP.
Và máy tính sẽ nhận địa chỉ IP từ thiết bị trả lời nhanh nhất.
Hậu quả là:
Đây chính là tình huống của Rogue DHCP Server - một trong những sự cố phổ biến tại nhiều doanh nghiệp.
Nhưng đó mới chỉ là bước khởi đầu...
Nếu một kẻ tấn công tiếp tục thực hiện ARP Spoofing, mức độ nguy hiểm sẽ còn lớn hơn rất nhiều.
Bằng cách giả mạo địa chỉ MAC của Gateway, hắn có thể khiến toàn bộ lưu lượng mạng của người dùng đi qua thiết bị của mình trước khi đến Router thật.
Điều đó đồng nghĩa với việc:
Điều đáng sợ là người dùng gần như không hề nhận ra điều gì bất thường.
Cisco Switch bảo vệ hệ thống như thế nào?
Để ngăn chặn các tình huống trên, Cisco tích hợp ba cơ chế bảo mật hoạt động phối hợp với nhau ngay trên Switch. 🛡️ DHCP Snooping – Chặn DHCP Server giả mạo
Switch sẽ được cấu hình để biết cổng nào là Trusted Port, tức cổng kết nối đến DHCP Server hợp lệ.
Nếu bất kỳ DHCP Offer hoặc DHCP ACK nào được gửi từ các cổng không được tin cậy, Switch sẽ loại bỏ ngay lập tức.
Điều đó có nghĩa là chiếc Router Wi-Fi cá nhân sẽ không còn khả năng cấp phát IP cho người dùng.
🛡️ Dynamic ARP Inspection (DAI) – Ngăn chặn ARP Spoofing
Sau khi DHCP Snooping xây dựng bảng ánh xạ giữa địa chỉ IP, MAC và cổng kết nối, DAI sẽ sử dụng chính thông tin này để kiểm tra từng gói ARP đi qua Switch.
Nếu một thiết bị cố tình giả mạo Gateway hoặc giả mạo địa chỉ của một máy tính khác trong hệ thống, Switch sẽ phát hiện và loại bỏ gói tin ngay lập tức.
Đây là cơ chế giúp hạn chế hiệu quả các cuộc tấn công Man-in-the-Middle trong mạng LAN.
🛡️ IP Source Guard – Thiết bị chỉ được phép sử dụng đúng địa chỉ IP của mình
Ngay cả khi người dùng cố tình cấu hình IP tĩnh để giả mạo một Server hoặc một máy tính khác, IP Source Guard vẫn sẽ kiểm tra và chặn lưu lượng không hợp lệ.
Nói cách khác, mỗi cổng trên Switch chỉ cho phép thiết bị sử dụng đúng địa chỉ IP đã được cấp phát.
Đây là lớp bảo vệ cuối cùng giúp ngăn chặn các hành vi giả mạo địa chỉ trong mạng nội bộ.
Điều thú vị là...
Ba tính năng này không hoạt động riêng lẻ mà tạo thành một chuỗi bảo vệ hoàn chỉnh.
✅ DHCP Snooping xác thực nguồn cấp phát địa chỉ IP.
⬇️
✅ Dynamic ARP Inspection (DAI) kiểm tra tính hợp lệ của các gói ARP dựa trên thông tin DHCP Snooping đã học được.
⬇️
✅ IP Source Guard đảm bảo thiết bị chỉ được sử dụng đúng địa chỉ IP hợp lệ trên đúng cổng kết nối.
Ba lớp bảo vệ này giúp giảm thiểu đáng kể các nguy cơ đến từ Rogue DHCP Server, ARP Spoofing và IP Spoofing ngay từ lớp Access Switch.
Đây cũng là một trong những bài Lab thực tế và thú vị nhất của chương trình CCNA.
Thay vì chỉ học lý thuyết, học viên sẽ trực tiếp mô phỏng toàn bộ quá trình tấn công và phòng vệ trên thiết bị Cisco.
Trong bài Lab, bạn sẽ:
✅ Xây dựng hệ thống DHCP Server hợp lệ.
✅ Mô phỏng một Router Wi-Fi hoạt động như Rogue DHCP Server.
✅ Quan sát quá trình máy tính nhận sai địa chỉ IP.
✅ Cấu hình DHCP Snooping để chặn DHCP giả mạo.
✅ Thực hiện ARP Spoofing và kiểm tra cách Dynamic ARP Inspection phát hiện, loại bỏ các gói tin không hợp lệ.
✅ Thử thay đổi địa chỉ IP trên máy tính và quan sát cách IP Source Guard ngăn chặn hành vi giả mạo.
Đây không chỉ là một bài Lab giúp chinh phục kỳ thi CCNA, mà còn là những kỹ thuật bảo mật đang được triển khai rộng rãi trong các hệ thống mạng doanh nghiệp hiện nay.
💬 Bạn đã từng gặp trường hợp cả văn phòng mất mạng chỉ vì ai đó cắm thêm một Router Wi-Fi cá nhân hoặc một DHCP Server "lạ" chưa?
Đó là suy nghĩ của rất nhiều người.
Một chiếc Router Wi-Fi mua ngoài cửa hàng.
Cắm dây mạng của công ty vào cổng LAN.
Mục đích chỉ đơn giản là muốn có thêm Wi-Fi cho vài thiết bị.
Nhưng chỉ khoảng 5 phút sau...
- Có máy vào được Internet, có máy thì không.
- Một số máy tính nhận địa chỉ IP rất lạ.
- Không truy cập được Server nội bộ.
- Máy in mạng bỗng dưng "biến mất".
- Helpdesk liên tục nhận điện thoại báo sự cố.
Điều đáng nói là...
Router Core vẫn hoạt động. Firewall không có cảnh báo. Đường truyền Internet hoàn toàn bình thường.
Thủ phạm lại chỉ là một thiết bị nhỏ nằm im lặng trên bàn làm việc.
Chuyện gì đã xảy ra?
Khi một máy tính khởi động, nó sẽ gửi yêu cầu DHCP để xin địa chỉ IP.
Đáng lẽ chỉ có DHCP Server của doanh nghiệp được phép trả lời.
Nhưng nếu trong hệ thống xuất hiện thêm một Router Wi-Fi hoặc một DHCP Server "lạ", thiết bị đó cũng có thể phản hồi yêu cầu cấp phát IP.
Và máy tính sẽ nhận địa chỉ IP từ thiết bị trả lời nhanh nhất.
Hậu quả là:
- Một số máy nhận IP đúng.
- Một số máy nhận IP sai.
- Gateway bị thay đổi.
- DNS bị thay đổi.
- Người dùng không truy cập được tài nguyên nội bộ.
Đây chính là tình huống của Rogue DHCP Server - một trong những sự cố phổ biến tại nhiều doanh nghiệp.
Nhưng đó mới chỉ là bước khởi đầu...
Nếu một kẻ tấn công tiếp tục thực hiện ARP Spoofing, mức độ nguy hiểm sẽ còn lớn hơn rất nhiều.
Bằng cách giả mạo địa chỉ MAC của Gateway, hắn có thể khiến toàn bộ lưu lượng mạng của người dùng đi qua thiết bị của mình trước khi đến Router thật.
Điều đó đồng nghĩa với việc:
- Theo dõi lưu lượng mạng.
- Đánh cắp thông tin đăng nhập.
- Can thiệp vào dữ liệu truyền tải.
- Thực hiện tấn công Man-in-the-Middle.
Điều đáng sợ là người dùng gần như không hề nhận ra điều gì bất thường.
Cisco Switch bảo vệ hệ thống như thế nào?
Để ngăn chặn các tình huống trên, Cisco tích hợp ba cơ chế bảo mật hoạt động phối hợp với nhau ngay trên Switch. 🛡️ DHCP Snooping – Chặn DHCP Server giả mạo
Switch sẽ được cấu hình để biết cổng nào là Trusted Port, tức cổng kết nối đến DHCP Server hợp lệ.
Nếu bất kỳ DHCP Offer hoặc DHCP ACK nào được gửi từ các cổng không được tin cậy, Switch sẽ loại bỏ ngay lập tức.
Điều đó có nghĩa là chiếc Router Wi-Fi cá nhân sẽ không còn khả năng cấp phát IP cho người dùng.
🛡️ Dynamic ARP Inspection (DAI) – Ngăn chặn ARP Spoofing
Sau khi DHCP Snooping xây dựng bảng ánh xạ giữa địa chỉ IP, MAC và cổng kết nối, DAI sẽ sử dụng chính thông tin này để kiểm tra từng gói ARP đi qua Switch.
Nếu một thiết bị cố tình giả mạo Gateway hoặc giả mạo địa chỉ của một máy tính khác trong hệ thống, Switch sẽ phát hiện và loại bỏ gói tin ngay lập tức.
Đây là cơ chế giúp hạn chế hiệu quả các cuộc tấn công Man-in-the-Middle trong mạng LAN.
🛡️ IP Source Guard – Thiết bị chỉ được phép sử dụng đúng địa chỉ IP của mình
Ngay cả khi người dùng cố tình cấu hình IP tĩnh để giả mạo một Server hoặc một máy tính khác, IP Source Guard vẫn sẽ kiểm tra và chặn lưu lượng không hợp lệ.
Nói cách khác, mỗi cổng trên Switch chỉ cho phép thiết bị sử dụng đúng địa chỉ IP đã được cấp phát.
Đây là lớp bảo vệ cuối cùng giúp ngăn chặn các hành vi giả mạo địa chỉ trong mạng nội bộ.
Điều thú vị là...
Ba tính năng này không hoạt động riêng lẻ mà tạo thành một chuỗi bảo vệ hoàn chỉnh.
✅ DHCP Snooping xác thực nguồn cấp phát địa chỉ IP.
⬇️
✅ Dynamic ARP Inspection (DAI) kiểm tra tính hợp lệ của các gói ARP dựa trên thông tin DHCP Snooping đã học được.
⬇️
✅ IP Source Guard đảm bảo thiết bị chỉ được sử dụng đúng địa chỉ IP hợp lệ trên đúng cổng kết nối.
Ba lớp bảo vệ này giúp giảm thiểu đáng kể các nguy cơ đến từ Rogue DHCP Server, ARP Spoofing và IP Spoofing ngay từ lớp Access Switch.
Đây cũng là một trong những bài Lab thực tế và thú vị nhất của chương trình CCNA.
Thay vì chỉ học lý thuyết, học viên sẽ trực tiếp mô phỏng toàn bộ quá trình tấn công và phòng vệ trên thiết bị Cisco.
Trong bài Lab, bạn sẽ:
✅ Xây dựng hệ thống DHCP Server hợp lệ.
✅ Mô phỏng một Router Wi-Fi hoạt động như Rogue DHCP Server.
✅ Quan sát quá trình máy tính nhận sai địa chỉ IP.
✅ Cấu hình DHCP Snooping để chặn DHCP giả mạo.
✅ Thực hiện ARP Spoofing và kiểm tra cách Dynamic ARP Inspection phát hiện, loại bỏ các gói tin không hợp lệ.
✅ Thử thay đổi địa chỉ IP trên máy tính và quan sát cách IP Source Guard ngăn chặn hành vi giả mạo.
Đây không chỉ là một bài Lab giúp chinh phục kỳ thi CCNA, mà còn là những kỹ thuật bảo mật đang được triển khai rộng rãi trong các hệ thống mạng doanh nghiệp hiện nay.
💬 Bạn đã từng gặp trường hợp cả văn phòng mất mạng chỉ vì ai đó cắm thêm một Router Wi-Fi cá nhân hoặc một DHCP Server "lạ" chưa?