Tweet
[ccna 200-301] Ôn tập tính năng DAI
Dynamic ARP Inspection (DAI): “Người Vệ sĩ” chống giả mạo ARP Spoofing trong mạng LAN Cisco
Bạn đã bật DHCP Snooping để chặn DHCP giả mạo. Nhưng vẫn còn một kiểu tấn công Layer 2 cực kỳ phổ biến và nguy hiểm khác:
ARP Spoofing (ARP Poisoning). Lúc này, kẻ tấn công không cần làm DHCP server giả. Họ chỉ cần gửi vài gói ARP giả là đủ để chiếm traffic. Hậu quả có thể là:
ARP vốn được thiết kế rất “ngây thơ”. Máy A muốn tìm MAC của gateway, nó sẽ phát ra broadcast và hỏi:
Who has 10.1.1.1?
Tell 10.1.1.10
Gateway bình thường trả lời:
10.1.1.1 is at AA:AA:AA:AA:AA:AA
Nhưng attacker có thể giả mạo:
10.1.1.1 is at 66:66:66:66:66:66
Máy nạn nhân tin ngay. Vì ARP không có cơ chế xác thực authentication. Kết quả là Traffic đi tới attacker thay vì gateway thật. Đây là kiểu tấn công MITM cổ điển. Dynamic ARP Inspection là gì?
DAI là tính năng bảo mật Layer 2 trên Cisco switch dùng để:
kiểm tra tính hợp lệ của ARP packet trước khi cho phép đi qua switch. Switch không còn tin mọi gói ARP nữa. Thay vào đó switch kiểm tra:
"IP này có đúng đi với MAC này không?"
Nếu sai? Switch Drop gói ngay. DAI dựa vào đâu để kiểm tra?
DAI không tự biết IP-MAC mapping. Nó dùng:
DHCP Snooping Binding Table
Ví dụ bảng binding:
MAC: 08:00:27:5D:06:D6
IP: 10.1.1.10
VLAN: 10
Port: Fa0/1
Nếu máy ở Fa0/1 gửi ARP:
10.1.1.10 is at 08:00:27:5D:06:D6
=> hợp lệ
Nếu gửi:
10.1.1.10 is at 66:66:66:66:66:66
=> giả mạo → drop Mối quan hệ giữa DHCP Snooping và DAI
Đây là điểm rất quan trọng. DAI phụ thuộc vào DHCP Snooping.
Không có DHCP Snooping:
1. Bật DHCP Snooping trước
ip dhcp snooping
ip dhcp snooping vlan 10 2. Bật DAI trên VLAN
ip arp inspection vlan 10
DAI hoạt động theo VLAN.
Không bật VLAN thì không có tác dụng. 3. Trust các interface phù hợp
Ví dụ uplink:
interface GigabitEthernet0/1
ip dhcp snooping trust
ip arp inspection trust
Hoặc:
interface GigabitEthernet0/2
ip dhcp snooping trust
ip arp inspection trust Vì sao cần chỉ định trusted port?
DAI kiểm tra ARP trên untrusted port. Nhưng có những nơi không có DHCP binding. Ví dụ:
ip dhcp snooping
ip dhcp snooping vlan 10
ip arp inspection vlan 10
no ip dhcp snooping information option
interface GigabitEthernet0/1
ip dhcp snooping trust
ip arp inspection trust
interface GigabitEthernet0/2
ip dhcp snooping trust
ip arp inspection trust Điều gì xảy ra khi phát hiện ARP giả?
DAI drop packet.
Đồng thời sinh syslog.
Ví dụ:
%SW_DAI-4-DHCP_SNOOPING_DENY:
1 Invalid ARPs (Req) on Fa0/1, vlan 10
hoặc:
%SW_DAI-4-DHCP_SNOOPING_DENY:
1 Invalid ARPs (Res) on Fa0/1, vlan 10
Severity:
Level 4
Mnemonic:
DHCP_SNOOPING_DENY Giải mã log
Ví dụ:
%SW_DAI-4-DHCP_SNOOPING_DENY:
1 Invalid ARPs (Req) on Fa0/1, vlan 10
([0050.b607.657a/10.1.1.10/
2893.fe3a.e345/10.1.1.1/...])
Thông tin bên trong:
[source MAC / source IP / destination MAC / destination IP]
Tức là:
0050.b607.657a
đang claim:
IP 10.1.1.10
Nhưng binding table nói khác.
=> switch chặn. Một Case thực tế
Một nhân viên IT than:
“Lúc login portal nội bộ, trình duyệt đôi khi redirect sai.”
Nghe giống một vấn đề của DNS issue. Nhưng thật ra, quá trình bắt gói packet capture cho thấy. Gateway ARP response bị giả mạo.
Attacker trả lời:
10.1.1.1 is at attacker-MAC
Một số client tin vào thông tin này. Traffic đi qua máy attacker.
Switch bật DAI:
Ngay lập tức log xuất hiện:
SW_DAI-4-DHCP_SNOOPING_DENY
Xác định đúng cổng:
Fa0/1
Rút cáp.
Hết sự cố. Troubleshooting checklist
Nếu DAI không hoạt động: DHCP Snooping đã bật chưa?
show ip dhcp snooping Có binding không?
show ip dhcp snooping binding
Nếu bảng rỗng:
DAI gần như mù. DAI đã bật trên VLAN chưa?
show ip arp inspection Trusted port đúng chưa?
Sai trust = self-DoS.
Ví dụ:
gateway uplink bị untrusted.
Switch sẽ drop ARP hợp lệ. Có static IP host không?
DAI thích DHCP environment.
Static IP device:
Trong enterprise access layer: Bật đồng bộ các tính năng cùng nhau:
DHCP Snooping chặn DHCP giả. DAI chặn ARP giả. Hai tính năng này đi cùng nhau như một cặp. Nếu DHCP Snooping là người kiểm tra danh tính khi vào tòa nhà… thì DAI là nhân viên an ninh kiểm tra xem người đó có đang giả danh ai khác bên trong hay không.
Dynamic ARP Inspection (DAI): “Người Vệ sĩ” chống giả mạo ARP Spoofing trong mạng LAN Cisco
Bạn đã bật DHCP Snooping để chặn DHCP giả mạo. Nhưng vẫn còn một kiểu tấn công Layer 2 cực kỳ phổ biến và nguy hiểm khác:
ARP Spoofing (ARP Poisoning). Lúc này, kẻ tấn công không cần làm DHCP server giả. Họ chỉ cần gửi vài gói ARP giả là đủ để chiếm traffic. Hậu quả có thể là:
- đánh cắp username/password
- Man-in-the-Middle attack
- redirect traffic
- session hijacking
- phá kết nối mạng
ARP vốn được thiết kế rất “ngây thơ”. Máy A muốn tìm MAC của gateway, nó sẽ phát ra broadcast và hỏi:
Who has 10.1.1.1?
Tell 10.1.1.10
Gateway bình thường trả lời:
10.1.1.1 is at AA:AA:AA:AA:AA:AA
Nhưng attacker có thể giả mạo:
10.1.1.1 is at 66:66:66:66:66:66
Máy nạn nhân tin ngay. Vì ARP không có cơ chế xác thực authentication. Kết quả là Traffic đi tới attacker thay vì gateway thật. Đây là kiểu tấn công MITM cổ điển. Dynamic ARP Inspection là gì?
DAI là tính năng bảo mật Layer 2 trên Cisco switch dùng để:
kiểm tra tính hợp lệ của ARP packet trước khi cho phép đi qua switch. Switch không còn tin mọi gói ARP nữa. Thay vào đó switch kiểm tra:
"IP này có đúng đi với MAC này không?"
Nếu sai? Switch Drop gói ngay. DAI dựa vào đâu để kiểm tra?
DAI không tự biết IP-MAC mapping. Nó dùng:
DHCP Snooping Binding Table
Ví dụ bảng binding:
MAC: 08:00:27:5D:06:D6
IP: 10.1.1.10
VLAN: 10
Port: Fa0/1
Nếu máy ở Fa0/1 gửi ARP:
10.1.1.10 is at 08:00:27:5D:06:D6
=> hợp lệ
Nếu gửi:
10.1.1.10 is at 66:66:66:66:66:66
=> giả mạo → drop Mối quan hệ giữa DHCP Snooping và DAI
Đây là điểm rất quan trọng. DAI phụ thuộc vào DHCP Snooping.
Không có DHCP Snooping:
- không có binding table
- DAI không có dữ liệu để xác minh
1. Bật DHCP Snooping trước
ip dhcp snooping
ip dhcp snooping vlan 10 2. Bật DAI trên VLAN
ip arp inspection vlan 10
DAI hoạt động theo VLAN.
Không bật VLAN thì không có tác dụng. 3. Trust các interface phù hợp
Ví dụ uplink:
interface GigabitEthernet0/1
ip dhcp snooping trust
ip arp inspection trust
Hoặc:
interface GigabitEthernet0/2
ip dhcp snooping trust
ip arp inspection trust Vì sao cần chỉ định trusted port?
DAI kiểm tra ARP trên untrusted port. Nhưng có những nơi không có DHCP binding. Ví dụ:
- uplink tới router
- uplink tới switch khác
- firewall
- static IP server
ip dhcp snooping
ip dhcp snooping vlan 10
ip arp inspection vlan 10
no ip dhcp snooping information option
interface GigabitEthernet0/1
ip dhcp snooping trust
ip arp inspection trust
interface GigabitEthernet0/2
ip dhcp snooping trust
ip arp inspection trust Điều gì xảy ra khi phát hiện ARP giả?
DAI drop packet.
Đồng thời sinh syslog.
Ví dụ:
%SW_DAI-4-DHCP_SNOOPING_DENY:
1 Invalid ARPs (Req) on Fa0/1, vlan 10
hoặc:
%SW_DAI-4-DHCP_SNOOPING_DENY:
1 Invalid ARPs (Res) on Fa0/1, vlan 10
Severity:
Level 4
Mnemonic:
DHCP_SNOOPING_DENY Giải mã log
Ví dụ:
%SW_DAI-4-DHCP_SNOOPING_DENY:
1 Invalid ARPs (Req) on Fa0/1, vlan 10
([0050.b607.657a/10.1.1.10/
2893.fe3a.e345/10.1.1.1/...])
Thông tin bên trong:
[source MAC / source IP / destination MAC / destination IP]
Tức là:
0050.b607.657a
đang claim:
IP 10.1.1.10
Nhưng binding table nói khác.
=> switch chặn. Một Case thực tế
Một nhân viên IT than:
“Lúc login portal nội bộ, trình duyệt đôi khi redirect sai.”
Nghe giống một vấn đề của DNS issue. Nhưng thật ra, quá trình bắt gói packet capture cho thấy. Gateway ARP response bị giả mạo.
Attacker trả lời:
10.1.1.1 is at attacker-MAC
Một số client tin vào thông tin này. Traffic đi qua máy attacker.
Switch bật DAI:
Ngay lập tức log xuất hiện:
SW_DAI-4-DHCP_SNOOPING_DENY
Xác định đúng cổng:
Fa0/1
Rút cáp.
Hết sự cố. Troubleshooting checklist
Nếu DAI không hoạt động: DHCP Snooping đã bật chưa?
show ip dhcp snooping Có binding không?
show ip dhcp snooping binding
Nếu bảng rỗng:
DAI gần như mù. DAI đã bật trên VLAN chưa?
show ip arp inspection Trusted port đúng chưa?
Sai trust = self-DoS.
Ví dụ:
gateway uplink bị untrusted.
Switch sẽ drop ARP hợp lệ. Có static IP host không?
DAI thích DHCP environment.
Static IP device:
- server
- printer
- camera
- firewall
Trong enterprise access layer: Bật đồng bộ các tính năng cùng nhau:
- DHCP Snooping
- Dynamic ARP Inspection
- IP Source Guard
DHCP Snooping chặn DHCP giả. DAI chặn ARP giả. Hai tính năng này đi cùng nhau như một cặp. Nếu DHCP Snooping là người kiểm tra danh tính khi vào tòa nhà… thì DAI là nhân viên an ninh kiểm tra xem người đó có đang giả danh ai khác bên trong hay không.