Vandag sal ons twee belangrike onderwerpe dek: DHCP Snooping en "nie-verstek" Native VLAN's. Voordat jy na die les voortgaan, nooi ek jou uit om ons ander YouTube-kanaal te besoek, waar jy 'n video kan kyk oor hoe om jou geheue te verbeter. Ek beveel aan dat jy op hierdie kanaal inteken, want daar plaas ons baie nuttige wenke vir selfverbetering.
Hierdie les word gewy aan die bestudering van subafdelings 1.7b en 1.7c van die ICND2-onderwerp. Voordat ons voortgaan met DHCP Snooping, laat ons 'n paar punte uit die vorige lesse onthou. As ek my nie misgis nie, het ons op Dag 6 en Dag 24 van DHCP geleer. Daar is belangrike kwessies bespreek rakende die toewysing van IP-adresse deur die DHCP-bediener en die uitruil van toepaslike boodskappe.
Tipies, wanneer 'n eindgebruiker die netwerk betree, stuur dit 'n uitsaaiversoek na die netwerk wat alle netwerktoestelle "hoor". As dit direk aan 'n DHCP-bediener gekoppel is, gaan die versoek direk na die bediener. As daar transmissietoestelle in die netwerk is - routers en skakelaars - dan gaan die versoek aan die bediener daardeur. Nadat die versoek ontvang is, reageer die DHCP-bediener op die gebruiker, hy stuur vir hom 'n versoek vir 'n IP-adres, waarna die bediener so 'n adres aan die gebruiker se toestel uitreik. Dit is hoe die proses van die verkryging van 'n IP-adres onder normale omstandighede plaasvind. Volgens die voorbeeld in die diagram sal Eindgebruiker die adres 192.168.10.10 en die poortadres 192.168.10.1 ontvang. Daarna sal die gebruiker deur hierdie poort toegang tot die internet kan verkry of met ander netwerktoestelle kan kommunikeer.
Gestel dat daar benewens 'n regte DHCP-bediener 'n skelm DHCP-bediener op die netwerk is, dit wil sê, 'n aanvaller installeer eenvoudig 'n DHCP-bediener op sy rekenaar. In hierdie geval stuur die gebruiker, nadat hy die netwerk betree het, 'n uitsaaiboodskap op dieselfde manier, wat die router en skakelaar na die regte bediener sal stuur.
Die skelm bediener "luister" egter ook op die netwerk, en sal, nadat hy 'n uitsaaiboodskap ontvang het, op die gebruiker reageer met sy aanbod in plaas van die regte DHCP-bediener. Nadat dit ontvang is, sal die gebruiker sy toestemming gee, waardeur hy 'n IP-adres van die aanvaller 192.168.10.2 en 'n poortadres 192.168.10.95 sal ontvang.
Die proses om 'n IP-adres te bekom word as DORA afgekort en bestaan uit 4 stadiums: Ontdekking, Aanbod, Versoek en Erkenning. Soos u kan sien, sal die aanvaller die toestel 'n wettige IP-adres gee wat binne die beskikbare reeks netwerkadresse is, maar in plaas van die regte poortadres 192.168.10.1, sal hulle dit 'n vals adres 192.168.10.95 "slip". is, die adres van hul eie rekenaar.
Daarna sal alle eindgebruikersverkeer wat na die internet gerig word, deur die aanvaller se rekenaar gaan. Die aanvaller sal dit verder herlei, en die gebruiker sal geen verskil met hierdie metode van kommunikasie voel nie, aangesien hy steeds toegang tot die internet sal hê.
Op dieselfde manier sal omgekeerde verkeer vanaf die internet na die gebruiker kom deur die aanvaller se rekenaar. Dit is wat algemeen 'n Man in the Middle-aanval (MiM) genoem word. Alle gebruikersverkeer sal deur die kuberkraker se rekenaar gaan, wat alles sal kan lees wat dit stuur of ontvang. Dit is een tipe aanval wat op DHCP-netwerke kan plaasvind.
Die tweede tipe aanval word Denial of Service (DoS) genoem. Wat gebeur? Die hacker se rekenaar dien nie meer as 'n DHCP-bediener nie, dit is nou net 'n aanvallende toestel. Dit stuur 'n ontdekkingsversoek na die regte DHCP-bediener en ontvang 'n aanbodboodskap in reaksie, stuur dan 'n versoek na die bediener en ontvang 'n IP-adres daarvan. Die aanvaller se rekenaar doen dit elke paar millisekondes en kry elke keer 'n nuwe IP-adres.
Afhangende van die instellings, het 'n regte DHCP-bediener 'n poel van honderde of 'n paar honderd vakante IP-adresse. Die kuberkraker se rekenaar sal IP-adresse .1, .2, .3 ensovoorts ontvang totdat die adrespoel heeltemal uitgeput is. Daarna sal die DHCP-bediener nie IP-adresse aan nuwe kliënte op die netwerk kan verskaf nie. As 'n nuwe gebruiker die netwerk betree, sal hy nie 'n gratis IP-adres kan kry nie. Dit is die punt van 'n DoS-aanval op 'n DHCP-bediener: om dit te ontneem van sy vermoë om IP-adresse aan nuwe gebruikers uit te gee.
Om sulke aanvalle teë te werk, word die konsep van DHCP Snooping gebruik. Dit is 'n OSI-laag XNUMX-kenmerk wat soos 'n ACL optree en net op skakelaars werk. Om DHCP Snooping te verstaan, moet jy twee konsepte oorweeg: betroubare skakelpoorte Betroubare en onvertroude poorte Onbetroubaar vir ander netwerktoestelle.
Betroubare poorte laat enige tipe DHCP-boodskappe deur. Onvertroude poorte is poorte waaraan kliënte gekoppel is, en DHCP Snooping maak dit so dat enige DHCP-boodskappe wat van hierdie poorte af kom, weggelaat sal word.
As ons die DORA-proses onthou, dan kom die D-boodskap van die kliënt na die bediener, en die O-boodskap kom van die bediener na die kliënt. Vervolgens word boodskap R van die kliënt na die bediener gestuur, en die bediener stuur boodskap A na die kliënt.
Boodskappe D en R vanaf onveilige poorte word aanvaar, en boodskappe soos O en A word weggegooi. Wanneer DHCP Snooping geaktiveer is, word alle skakelpoorte by verstek as onveilig beskou. Hierdie funksie kan beide vir die skakelaar as 'n geheel en vir individuele VLAN's gebruik word. Byvoorbeeld, as VLAN10 aan 'n poort gekoppel is, kan jy hierdie kenmerk slegs vir VLAN10 aktiveer, en dan sal sy poort onbetroubaar word.
Jy, as 'n stelseladministrateur, wanneer jy DHCP Snooping aktiveer, sal na die skakelaarinstellings moet gaan en die poorte so instel dat slegs poorte waaraan toestelle soos 'n bediener gekoppel is, as onbetroubaar beskou word. Dit verwys na enige tipe bediener, nie net DHCP nie.
Byvoorbeeld, as 'n ander skakelaar, roeteerder of regte DHCP-bediener aan die poort gekoppel is, dan is hierdie poort opgestel as vertrou. Die res van die skakelpoorte waaraan eindgebruikerstoestelle of draadlose toegangspunte gekoppel is, moet as onveilig gekonfigureer word. Daarom word enige toegangspunttipe toestel waarmee gebruikers koppel, aan die skakelaar gekoppel deur 'n onbetroubare poort.
As die aanvaller se rekenaar boodskappe soos O en A na die skakelaar stuur, sal hulle geblokkeer word, dit wil sê, sulke verkeer sal nie deur 'n onvertroude poort kan gaan nie. Dit is hoe DHCP Snooping die tipe aanvalle wat hierbo bespreek is, voorkom.
Daarbenewens skep DHCP-snuffel DHCP-bindingstabelle. Nadat die kliënt 'n IP-adres van die bediener ontvang het, sal hierdie adres, saam met die MAC-adres van die toestel wat dit ontvang het, in die DHCP Snooping-tabel ingevoer word. Hierdie twee kenmerke sal die onveilige poort waaraan die kliënt gekoppel is, bind.
Dit help byvoorbeeld om 'n DoS-aanval te voorkom. As 'n kliënt met 'n gegewe MAC-adres reeds 'n IP-adres verkry het, hoekom sou dit 'n nuwe IP-adres vereis? In hierdie geval sal enige poging tot sodanige aktiwiteit onmiddellik voorkom word nadat die inskrywing in die tabel nagegaan is.
Die volgende ding wat ons moet bespreek is Nondefault, of "nie-verstek" Native VLAN's. Ons het herhaaldelik die onderwerp van VLAN'e aangeraak en 4 videolesse aan hierdie netwerke gewy. As jy vergeet het wat dit is, raai ek jou aan om hierdie lesse te hersien.
Ons weet dat die standaard Native VLAN in Cisco-skakelaars VLAN1 is. Daar is aanvalle genaamd VLAN Hopping. Veronderstel dat die rekenaar in die diagram aan die eerste skakelaar gekoppel is deur die standaard oorspronklike VLAN1, en die laaste skakelaar is gekoppel aan die rekenaar deur VLAN10. Tussen die skakelaars is 'n stam georganiseer.
Gewoonlik, wanneer verkeer vanaf die eerste rekenaar by die skakelaar kom, weet dit dat die poort waaraan hierdie rekenaar gekoppel is deel van VLAN1 is. Dan gaan hierdie verkeer die stam tussen die twee skakelaars binne, terwyl die eerste skakelaar so dink: “hierdie verkeer het van die Native VLAN gekom, so ek hoef dit nie te merk nie,” en stuur ongemerkte verkeer aan deur die stam wat by die tweede skakelaar.
Skakelaar 2, wat ongemerkte verkeer ontvang het, dink so: "aangesien hierdie verkeer ongemerk is, beteken dit dat dit aan VLAN1 behoort, so ek kan dit nie oor VLAN10 stuur nie." Gevolglik kan verkeer wat deur die eerste rekenaar gestuur word nie die tweede rekenaar bereik nie.
Trouens, dit is hoe dit moet gebeur - VLAN1-verkeer behoort nie in die VLAN10-netwerk te kom nie. Kom ons stel ons nou voor dat daar 'n aanvaller agter die eerste rekenaar is, wat 'n raam met die VLAN10-merker skep en dit na die skakelaar stuur. As jy onthou hoe VLAN werk, dan weet jy dat as gemerkte verkeer die skakelaar bereik, dit niks met die raam doen nie, maar dit eenvoudig verder met die stam verbygaan. Gevolglik sal die tweede skakelaar verkeer ontvang met 'n merker wat deur die aanvaller geskep is, en nie deur die eerste skakelaar nie.
Dit beteken dat jy die Native VLAN met iets anders as VLAN1 vervang.
Aangesien die tweede skakelaar nie weet wie die VLAN10-merker geskep het nie, stuur dit bloot verkeer na die tweede rekenaar. Dit is hoe 'n VLAN Hopping-aanval plaasvind, wanneer 'n aanvaller 'n netwerk binnedring wat oorspronklik vir hom ontoeganklik was.
Om sulke aanvalle te voorkom, moet jy ewekansige VLAN's skep, of ewekansige VLAN's, soos VLAN999, VLAN666, VLAN777, ens., wat glad nie deur 'n aanvaller gebruik kan word nie. Terselfdertyd gaan ons na die stampoorte van die skakelaars en stel hulle in om te werk, byvoorbeeld, met Native VLAN666. In hierdie geval verander ons die Native VLAN vir stampoorte van VLAN1 na VLAN66, dit wil sê, ons gebruik enige ander netwerk as VLAN1 as die Native VLAN.
Die poorte aan beide kante van die stam moet op dieselfde VLAN gekonfigureer word, anders kry ons 'n VLAN-nommer wat nie ooreenstem nie.
Na so 'n instelling, as 'n kuberkraker besluit om 'n VLAN Hopping-aanval uit te voer, sal hy nie slaag nie, want inheemse VLAN1 is nie aan enige van die stampoorte van die skakelaars toegewys nie. Dit is die metode om teen aanvalle te beskerm deur nie-verstek inheemse VLAN's te skep.
Dankie dat jy by ons gebly het. Hou jy van ons artikels? Wil jy meer interessante inhoud sien? Ondersteun ons deur 'n bestelling te plaas of by vriende aan te beveel, 30% afslag vir Habr-gebruikers op 'n unieke analoog van intreevlakbedieners, wat deur ons vir jou uitgevind is: (beskikbaar met RAID1 en RAID10, tot 24 kerne en tot 40 GB DDR4).
Dell R730xd 2 keer goedkoper? Net hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees van
Bron: will.com