Layer 2 – Nơi “kẻ gian” không cần đến Internet để tấn công!
Bạn nghĩ bảo mật mạng chỉ cần lo đến Firewall và Anti-virus? Sai rồi. Tầng 2 (Layer 2) – nơi hoạt động của switch, MAC, ARP, DHCP… – chính là mảnh đất màu mỡ cho rất nhiều kỹ thuật tấn công như:
MAC spoofing
ARP poisoning
DHCP rogue server
BPDU attack để chiếm quyền root bridge
Rất may, Cisco (và nhiều nhà sản xuất switch khác) cung cấp bộ công cụ bảo mật chuyên sâu cho Layer 2, giúp “khóa cửa ngay từ cổng”.
Mà thật ra, không cần đến hacker tấn công. Khi bạn đấu nối các switch mới vào hạ tầng có sẵn, bạn cần am hiểu và nắm chắc các tính năng này để không làm mạng bị sập.
Cisco Layer 2 Security Toolkit – 9 công cụ bạn cần biết:
BPDU Guard: Ngắt kết nối cổng nếu phát hiện BPDU trái phép – ngăn chiếm quyền root STP. Tính năng này còn dùng giữa ranh giới switch của ISP với Switch CE (PE-CE).
Root Guard Chặn thiết bị không mong muốn trở thành root bridge. Dùng khi đấu nối hệ thống. Không cho switch lạ trở thành ROOT.
Port Security Giới hạn số lượng địa chỉ MAC học được trên cổng switch. Dùng trong IP Telephony.
DHCP Snooping Ngăn DHCP giả mạo cung cấp IP sai trái. Rất cần nha. Để cấm các thiết bị lạ cấp IP cho các thiết bị trong hạ tầng mạng của chúng ta.
Dynamic ARP Inspection (DAI) Phòng chống ARP Spoofing – xác minh IP/MAC
IP Source Guard Ngăn giả mạo IP – bảo vệ Layer 3 ngay từ switch
802.1X Xác thực người dùng trước khi cho vào mạng
Storm Control Giới hạn lưu lượng broadcast/multicast tránh tê liệt mạng
Access Control List (ACL)Kiểm soát lưu lượng theo chính sách
Lưu ý đặc biệt: Các công nghệ trọng tâm thường dùng trong triển khai bảo mật Layer 2 bao gồm:
BPDU Guard, Root Guard, Port Security, DHCP Snooping, CDP, LLDP.
Đừng để Tầng 2 là "vùng trống trải" trong sơ đồ bảo mật của bạn.
Bảo mật từ switch mới là bảo mật thật sự từ gốc.
