Tweet
[Ôn tập ccna 200-301] IP Source Guard: Lớp phòng thủ cuối cùng chống IP Spoofing trong mạng LAN Cisco
Nếu bạn theo dõi FB group của chúng ta các ngày qua, bạn đã có:
Vậy, IP Source Guard là gì?
IP Source Guard là tính năng bảo mật Layer 2 giúp switch kiểm tra: “Thiết bị ở cổng này có được phép dùng địa chỉ IP này không?” Nếu địa chỉ không đúng? Switch drop traffic ngay từ access port. "Nói đơn giản là cho rớt ngay từ vòng gửi xe". DHCP Snooping kiểm tra lúc cấp IP. DAI kiểm tra ARP. IP Source Guard kiểm tra traffic data thật sự.
Vấn đề IP Spoofing
Ví dụ mạng:
PC hợp lệ: 10.1.1.10
Gateway: 10.1.1.1
Server: 10.1.1.100
Attacker đổi IP:
10.1.1.100
hoặc:
10.1.1.1
Switch Layer 2 bình thường không quan tâm. Chỉ thấy frame đi qua.
Hậu quả:
Tính năng IPSource Guard lúc này sẽ dựa vào bảng DHCP Snooping Binding Table của DHCP Snooping.
Ví dụ:
MAC: 08:00:27:5D:06:D6
IP: 10.1.1.10
VLAN: 10
Port: Fa0/1
Switch sẽ hiểu các thông tin trên như sau:
"Fa0/1 chỉ được phép gửi traffic với source IP 10.1.1.10"
Nếu Fa0/1 gửi:
source IP = 10.1.1.10
→ cho qua
Nếu gửi:
source IP = 10.1.1.99
→ switch sẽ drop gói tin, vì nó cho là gói tin này giả mạo địa chỉ IP source.
IPSG phụ thuộc vào DHCP Snooping
Điểm rất quan trọng mà chúng ta nhận thấy là nếu không có DHCP Snooping binding thì IPSG không biết IP hợp lệ là gì. Kết quả là switch có thể deny all mọi traffic. Đây là lỗi rất hay gặp khi troubleshooting.
Lab cấu hình cơ bản
1. Bật DHCP Snooping
ip dhcp snooping
ip dhcp snooping vlan 10
no ip dhcp snooping information option
2. Trust uplink
interface GigabitEthernet0/1
ip dhcp snooping trust
interface GigabitEthernet0/2
ip dhcp snooping trust
3. Bật IP Source Guard trên access port
Ví dụ:
interface FastEthernet0/1
ip verify source
Đây là lệnh kích hoạt IPSG.
Cấu hình hoàn chỉnh
ip dhcp snooping
ip dhcp snooping vlan 10
no ip dhcp snooping information option
interface FastEthernet0/1
ip verify source
interface GigabitEthernet0/1
ip dhcp snooping trust
interface GigabitEthernet0/2
ip dhcp snooping trust Kiểm tra IPSG
Các bạn hãy dùng lệnh sau:
show ip verify source
Sau đây là ví dụ cụ thể:
Interface Filter-type Filter-mode IP-address Mac-address VLAN
Fa0/1 ip active 10.1.1.10 10
Điều này có nghĩa là:
Lệnh ip verify source được dùng chỉ kiểm tra:
source IP, nó không kiểm tra MAC.
Ví dụ:
Nếu attacker vẫn dùng:
10.1.1.10
nhưng MAC khác?
Switch vẫn có thể cho qua.
Đây là mức bảo vệ cơ bản.
Kiểm tra cả IP + MAC
Nếu chúng ta muốn kiểm tra chặt hơn:
ip verify source port-security
Lúc này switch kiểm tra:
Fa0/1 ip-mac active 10.1.1.10 08:00:27:5D:06:D6
Nghĩa là:
Chỉ đúng cặp:
10.1.1.10 + 08:00:27:5D:06:D6
mới được phép.
Vì sao cần Port Security?
Khi dùng lệnh ip verify source port-security, Switch cần biết MAC hợp lệ là MAC nào. Thông tin này đến từ tính năng Port Security của switch. Nếu Port Security không bật thì Switch không khóa địa chỉ MAC cụ thể. Kết quả sẽ là switch cho phép tất cả traffic đi qua (permit-all).
Ví dụ:
Fa0/2 ip-mac active 10.1.1.20 permit-all
Nghĩa là:
IP bị kiểm soát nhưng MAC nào cũng được. Hiệu quả bảo vệ giảm mạnh.
Lỗi phổ biến: deny-all
Ví dụ:
Fa0/2 ip-mac active deny-all permit-all
Điều này rất quan trọng.
Nghĩa là:
Switch block toàn bộ traffic inbound.
Tại sao?
Vì interface bật IPSG nhưng không có DHCP binding.
Ví dụ:
Thiết bị dùng static IP:
10.1.1.20
DHCP Snooping database:
show ip dhcp snooping binding
chỉ có:
10.1.1.10
cho Fa0/1.
Không có binding cho Fa0/2.
Switch kết luận:
"Tôi không biết IP hợp lệ ở Fa0/2 là gì"
=> deny all
Case thực tế
Một admin bật IPSource Guard cho toàn bộ access ports. Ngay sau đó:
Nguyên nhân: Toàn bộ thiết bị đó dùng static IP. Không có DHCP Snooping binding. Giải pháp cho tình huống này là:
DHCP Snooping bật chưa?
show ip dhcp snooping
Có binding không?
show ip dhcp snooping binding
IPSG bật chưa?
show ip verify source
Thiết bị dùng DHCP hay static?
Static + IPSG = lỗi rất thường gặp.
Có bật Port Security nếu dùng ip-mac?
Nếu không permit-all
Bộ ba bảo mật Layer 2
Cisco access security thường đi theo combo:
DHCP Snooping → chống rogue DHCP
Dynamic ARP Inspection → chống ARP poisoning
IP Source Guard → chống IP spoofing
Ba lớp này phối hợp rất mạnh và cần lẫn nhau để hoạt động.
TÓM TẮT
Nếu DHCP Snooping là người phát thẻ ra vào…DAI là bảo vệ kiểm tra danh tính… thì IP Source Guard là cổng kiểm soát cuối cùng, chỉ cho đúng người dùng đúng danh tính đi qua. Đây là một trong những kỹ thuật security nền tảng mà CCNP/CCIE và mạng enterprise thực tế đều nên nắm vững chắc (phải làm lab để thử nha).
Nếu bạn theo dõi FB group của chúng ta các ngày qua, bạn đã có:
- DHCP Snooping → chặn DHCP server giả
- Dynamic ARP Inspection (DAI) → chặn ARP spoofing
- đổi IP thành default gateway
- đổi IP thành server nội bộ
- đổi IP thành IP của user khác
- vượt qua policy dựa trên IP
Vậy, IP Source Guard là gì?
IP Source Guard là tính năng bảo mật Layer 2 giúp switch kiểm tra: “Thiết bị ở cổng này có được phép dùng địa chỉ IP này không?” Nếu địa chỉ không đúng? Switch drop traffic ngay từ access port. "Nói đơn giản là cho rớt ngay từ vòng gửi xe". DHCP Snooping kiểm tra lúc cấp IP. DAI kiểm tra ARP. IP Source Guard kiểm tra traffic data thật sự.
Vấn đề IP Spoofing
Ví dụ mạng:
PC hợp lệ: 10.1.1.10
Gateway: 10.1.1.1
Server: 10.1.1.100
Attacker đổi IP:
10.1.1.100
hoặc:
10.1.1.1
Switch Layer 2 bình thường không quan tâm. Chỉ thấy frame đi qua.
Hậu quả:
- bypass ACL
- giả mạo trusted host
- chiếm session
- gây conflict IP
- phá network
Tính năng IPSource Guard lúc này sẽ dựa vào bảng DHCP Snooping Binding Table của DHCP Snooping.
Ví dụ:
MAC: 08:00:27:5D:06:D6
IP: 10.1.1.10
VLAN: 10
Port: Fa0/1
Switch sẽ hiểu các thông tin trên như sau:
"Fa0/1 chỉ được phép gửi traffic với source IP 10.1.1.10"
Nếu Fa0/1 gửi:
source IP = 10.1.1.10
→ cho qua
Nếu gửi:
source IP = 10.1.1.99
→ switch sẽ drop gói tin, vì nó cho là gói tin này giả mạo địa chỉ IP source.
IPSG phụ thuộc vào DHCP Snooping
Điểm rất quan trọng mà chúng ta nhận thấy là nếu không có DHCP Snooping binding thì IPSG không biết IP hợp lệ là gì. Kết quả là switch có thể deny all mọi traffic. Đây là lỗi rất hay gặp khi troubleshooting.
Lab cấu hình cơ bản
1. Bật DHCP Snooping
ip dhcp snooping
ip dhcp snooping vlan 10
no ip dhcp snooping information option
2. Trust uplink
interface GigabitEthernet0/1
ip dhcp snooping trust
interface GigabitEthernet0/2
ip dhcp snooping trust
3. Bật IP Source Guard trên access port
Ví dụ:
interface FastEthernet0/1
ip verify source
Đây là lệnh kích hoạt IPSG.
Cấu hình hoàn chỉnh
ip dhcp snooping
ip dhcp snooping vlan 10
no ip dhcp snooping information option
interface FastEthernet0/1
ip verify source
interface GigabitEthernet0/1
ip dhcp snooping trust
interface GigabitEthernet0/2
ip dhcp snooping trust Kiểm tra IPSG
Các bạn hãy dùng lệnh sau:
show ip verify source
Sau đây là ví dụ cụ thể:
Interface Filter-type Filter-mode IP-address Mac-address VLAN
Fa0/1 ip active 10.1.1.10 10
Điều này có nghĩa là:
- IPSG đang active
- Fa0/1 chỉ cho phép source IP: 10.1.1.10
Lệnh ip verify source được dùng chỉ kiểm tra:
source IP, nó không kiểm tra MAC.
Ví dụ:
Nếu attacker vẫn dùng:
10.1.1.10
nhưng MAC khác?
Switch vẫn có thể cho qua.
Đây là mức bảo vệ cơ bản.
Kiểm tra cả IP + MAC
Nếu chúng ta muốn kiểm tra chặt hơn:
ip verify source port-security
Lúc này switch kiểm tra:
- source IP
- source MAC
Fa0/1 ip-mac active 10.1.1.10 08:00:27:5D:06:D6
Nghĩa là:
Chỉ đúng cặp:
10.1.1.10 + 08:00:27:5D:06:D6
mới được phép.
Vì sao cần Port Security?
Khi dùng lệnh ip verify source port-security, Switch cần biết MAC hợp lệ là MAC nào. Thông tin này đến từ tính năng Port Security của switch. Nếu Port Security không bật thì Switch không khóa địa chỉ MAC cụ thể. Kết quả sẽ là switch cho phép tất cả traffic đi qua (permit-all).
Ví dụ:
Fa0/2 ip-mac active 10.1.1.20 permit-all
Nghĩa là:
IP bị kiểm soát nhưng MAC nào cũng được. Hiệu quả bảo vệ giảm mạnh.
Lỗi phổ biến: deny-all
Ví dụ:
Fa0/2 ip-mac active deny-all permit-all
Điều này rất quan trọng.
Nghĩa là:
Switch block toàn bộ traffic inbound.
Tại sao?
Vì interface bật IPSG nhưng không có DHCP binding.
Ví dụ:
Thiết bị dùng static IP:
10.1.1.20
DHCP Snooping database:
show ip dhcp snooping binding
chỉ có:
10.1.1.10
cho Fa0/1.
Không có binding cho Fa0/2.
Switch kết luận:
"Tôi không biết IP hợp lệ ở Fa0/2 là gì"
=> deny all
Case thực tế
Một admin bật IPSource Guard cho toàn bộ access ports. Ngay sau đó:
- printer mất mạng
- camera IP mất kết nối
- server không ping được
Nguyên nhân: Toàn bộ thiết bị đó dùng static IP. Không có DHCP Snooping binding. Giải pháp cho tình huống này là:
- bỏ IPSG trên static devices
hoặc
- dùng static bindings phù hợp
hoặc
- thiết kế policy khác
DHCP Snooping bật chưa?
show ip dhcp snooping
Có binding không?
show ip dhcp snooping binding
IPSG bật chưa?
show ip verify source
Thiết bị dùng DHCP hay static?
Static + IPSG = lỗi rất thường gặp.
Có bật Port Security nếu dùng ip-mac?
Nếu không permit-all
Bộ ba bảo mật Layer 2
Cisco access security thường đi theo combo:
DHCP Snooping → chống rogue DHCP
Dynamic ARP Inspection → chống ARP poisoning
IP Source Guard → chống IP spoofing
Ba lớp này phối hợp rất mạnh và cần lẫn nhau để hoạt động.
TÓM TẮT
Nếu DHCP Snooping là người phát thẻ ra vào…DAI là bảo vệ kiểm tra danh tính… thì IP Source Guard là cổng kiểm soát cuối cùng, chỉ cho đúng người dùng đúng danh tính đi qua. Đây là một trong những kỹ thuật security nền tảng mà CCNP/CCIE và mạng enterprise thực tế đều nên nắm vững chắc (phải làm lab để thử nha).