Có bao giờ bạn đã từng thắc mắc rằng:
- Tại sao không thể truy cập mạng ngay cả khi có địa chỉ IP động?
- Vì sao cho dù máy chủ DHCP đã được ủy quyền thì vẫn không thể vào được?
- Làm sao để có thể vừa lên mạng lại vừa bảo vệ được dữ liệu trên máy tính?
Hôm nay, chúng tôi muốn giới thiệu tới bạn thuật ngữ DHCP Snooping. Đây là phương pháp đã và đang được rất nhiều tổ chức sử dụng nhằm truy cập internet một cách an toàn.
DHCP Snooping là gì?
Hiện nay các công ty, tổ chức thường sử dụng DHCP Server để xây dựng hệ thống mạng doanh nghiệp. Tuy nhiên vấn đề bảo mật vẫn được đặt lên hàng đầu, lúc đó thuật ngữ DHCP Snooping ra đời. Đây là một công nghệ xác thực 2 lớp tích hợp vào hệ điều hành của bộ chuyển mạng. Nó giúp làm giảm lưu lượng DHCP bằng các xác định kết nối không đáng tin cậy. Nói một cách đơn giản là giải pháp này ngăn chặn các máy chủ DHCP giả mạo cung cấp địa chỉ IP cho máy khách.
Tính năng nổi bật của DHCP Snooping bao gồm:
- Xác thực các thông báo DHCP từ nguồn không đáng tin cậy và lọc các thông báo không hợp lệ.
- Xây dựng và duy trì cơ sở dữ liệu chứa thông tin các máy chủ không đáng tin cậy.
- Sử dụng cơ sở dữ liệu đó để xác thực các yêu cầu tiếp theo từ máy chủ không đáng tin cậy.
DHCP Snooping hoạt động như thế nào?
Để hiểu được về cách bảo mật này bạn cần nắm vững cơ chế của DHCP. Khi đã được kích hoạt, một thiết bị không rõ địa chỉ IP sẽ tương tác với máy chủ thông qua 4 giai đoạn. Bao gồm: khám phá, yêu cầu, trả lời, xác nhận. Đầu tiên, một thiết bị gửi yêu cầu cho máy chủ DHCP. Sau đó, server gán IP khả dụng cho thiết bị để có thể truy cập. Trong đó, quá trình xác thực là quan trọng nhất.
DHCP Snooping phân switch thành 2 loại: đáng tin cậy và không đáng tin cậy. Với cổng đáng tin cậy có thông điệp máy chủ DHCP được chấp nhận và xác thực. Cổng không đáng tin cậy là cổng mà các thông báo đến máy chủ đều không được tin cậy. Công nghệ này sẽ chỉ lọc các thông báo từ cổng đáng tin cậy khi bắt đầu. Vậy nên việc xây dựng các cổng đáng tin là cực kỳ quan trọng.
Ở giai đoạn xác nhận, theo thông báo DHCP ACK một bảng liên kết sẽ được tạo. Trong đó chứa các thông tin về địa chỉ MAC máy chủ, IP đã thuê, thời gian thuê, loại liên kết,…. Nếu gói DHCP tiếp theo ở cổng không đáng tin cậy không khớp với thông tin, nó sẽ bị loại bỏ.
Các cuộc tấn công đã được DHCP Snooping ngăn chặn
Nhờ có yếu tố xác thực này mà rất nhiều cuộc tấn công đã được ngăn chặn trong quá khứ. Điều này giúp mạng của doanh nghiệp trở nên an toàn và đáng tin cậy hơn. Trong đó có 2 loại tấn công máy chủ DHCP đã được ngăn chặn thành công cực nổi tiếng như sau:
DHCP Spoofing Attack (Giả mạo DHCP để tấn công)
Đây là kiểu tấn công cố gắng giả mạo máy chủ DHCP. Nó sẽ phản hồi các yêu cầu về server và liệt kê cổng mặc định là chính nó. Từ đó tiến hành chặn các truy cập từ người dùng trước khi chuyển tới cổng chính. Hoặc chúng thực hiện DoS làm máy chủ bị ngập, tiến hành làm nghẹt tài nguyên từ địa chỉ IP. Đây là một cuộc tấn công trung gian nhắm tới cả máy chủ lẫn người dùng mạng. Loại tấn công giả mạo này khá phổ biến tuy nhiên DHCP Snooping đều có thể ngăn chặn chúng.
DHCP Starvation Attack (Tấn công làm sập máy chủ)
Còn một kiểu tấn công khác chuyên nhắn tới máy chủ DHCP và làm cạn kiệt tài nguyên chính là DHCP Starvation Attack. Nó sử dụng các địa chỉ MAC giả mạo gửi yêu cầu. Máy chủ lúc đó sẽ cố gắng phản hồi tất cả các yêu cầu mà không hề biết mình đang bị tấn công. Sau đó liên tục gán các địa chỉ IP có sẵn làm cạn kiệt nguồn tài nguyên hệ thống. Vậy nhưng với DHCP Snooping, kiểu tấn công này đều sẽ bị ngăn chặn ngay từ đầu.
Làm sao để kích hoạt tính năng DHCP Snooping?
Đây có lẽ là câu hỏi được rất nhiều người mới tiếp xúc với máy chủ DHCP quan tâm. Thực tế tính năng này chỉ áp dụng được cho người dùng mạng có dây. Nó chủ yếu được bật trên bất kỳ switch nào có chứa các cổng truy cập VLAN do máy chủ phục vụ. Và trở thành một tính năng bảo mật của lớp truy cập.
Trước khi triển khai tính năng này, người dùng cần thiết lập các cổng đáng tin cậy. Điều này hoàn toàn có thể thực hiện trong cả giao diện CLI và Web GUI. Sau đó DHCP Snooping sẽ bảo vệ trên VLAN của bạn.
Tổng kết về DHCP Snooping
Mặc dù máy chủ DHCP giúp đơn giản hóa việc truy cập mạng, tuy nhiên nó cũng tiềm tàng các mối lo lắng về bảo mật. Với tính năng DHCP Snooping, những cuộc tấn công mạng sẽ được loại bỏ. Thông qua việc ngăn chặn các địa chỉ không hợp lệ, nó giúp môi trường internet của doanh nghiệp trở nên an toàn hơn. Đặc biệt khi những cuộc tấn công giả mạo máy chủ hay IP ngày càng nhiều ở thời điểm hiện tại.
Nếu còn gặp bất cứ vướng mắc gì về DHCP Snooping, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.
P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.