Cisco ስልጠና 200-125 CCNA v3.0. ቀን 41 DHCP Snooping እና ነባሪ ያልሆነ ቤተኛ VLAN

ዛሬ ሁለት ጠቃሚ ርዕሶችን እንሸፍናለን፡ DHCP Snooping እና "ነባሪ ያልሆኑ" ቤተኛ VLANs። ወደ ትምህርቱ ከመቀጠልዎ በፊት የማስታወስ ችሎታዎን እንዴት ማሻሻል እንደሚችሉ ቪዲዮ ማየት የሚችሉበትን ሌላውን የዩቲዩብ ቻናላችንን እንድትጎበኙ እጋብዛችኋለሁ። እራስን ለማሻሻል ብዙ ጠቃሚ ምክሮችን ስለምናስቀምጥ ይህን ቻናል እንድትመዘገቡ እመክራለሁ።

ይህ ትምህርት በICND1.7 ርዕስ ንዑስ ክፍል 1.7b እና 2c ጥናት ላይ ያተኮረ ነው። በDHCP Snooping ከመቀጠልዎ በፊት፣ ካለፉት ትምህርቶች የተወሰኑ ነጥቦችን እናስታውስ። ካልተሳሳትኩ፣ ስለ DHCP በቀን 6 እና 24 ተምረናል። በዲኤችሲፒ አገልጋይ የአይፒ አድራሻዎችን መመደብ እና ተገቢ መልዕክቶችን መለዋወጥን በሚመለከቱ ጠቃሚ ጉዳዮች ላይ ውይይት ተደርጓል።

በተለምዶ የዋና ተጠቃሚ ወደ አውታረ መረቡ ሲገባ ሁሉም የአውታረ መረብ መሳሪያዎች "የሚሰሙት" የሚል የስርጭት ጥያቄ ወደ አውታረ መረቡ ይልካል። በቀጥታ ከ DHCP አገልጋይ ጋር የተገናኘ ከሆነ, ጥያቄው በቀጥታ ወደ አገልጋዩ ይሄዳል. በአውታረ መረቡ ውስጥ የማስተላለፊያ መሳሪያዎች ካሉ - ራውተሮች እና ማብሪያዎች - ከዚያም የአገልጋዩ ጥያቄ በእነሱ ውስጥ ያልፋል. ጥያቄውን ከተቀበለ በኋላ የ DHCP አገልጋይ ለተጠቃሚው ምላሽ ይሰጣል ፣ የአይፒ አድራሻ ጥያቄ ይልካል ፣ ከዚያ በኋላ አገልጋዩ ለተጠቃሚው መሣሪያ እንደዚህ ያለ አድራሻ ይሰጣል ። የአይፒ አድራሻን የማግኘት ሂደት በተለመደው ሁኔታዎች ውስጥ የሚከሰተው በዚህ መንገድ ነው. በሥዕላዊ መግለጫው ላይ ባለው ምሳሌ መሠረት የዋና ተጠቃሚው አድራሻ 192.168.10.10 እና የመግቢያ አድራሻ 192.168.10.1 ይቀበላል። ከዚያ በኋላ ተጠቃሚው በዚህ መግቢያ በር በይነመረብን ማግኘት ወይም ከሌሎች የአውታረ መረብ መሳሪያዎች ጋር መገናኘት ይችላል።

ከእውነተኛ የDHCP አገልጋይ በተጨማሪ በኔትወርኩ ላይ አጭበርባሪ DHCP አገልጋይ አለ እንበል፣ ያም አጥቂ በቀላሉ የDHCP አገልጋይ በኮምፒዩተሯ ላይ ይጭናል። በዚህ አጋጣሚ ተጠቃሚው ወደ አውታረ መረቡ ከገባ በኋላ የስርጭት መልእክት በተመሳሳይ መንገድ ይልካል ፣ ራውተር እና ማብሪያ / ማጥፊያው ወደ እውነተኛው አገልጋይ ያስተላልፋል።

ነገር ግን፣ አጭበርባሪው አገልጋይ እንዲሁ በአውታረ መረቡ ላይ “ያዳምጣል” እና የስርጭት መልእክት ከተቀበለ በኋላ ከእውነተኛው የDHCP አገልጋይ ይልቅ ለተጠቃሚው ባለው አቅርቦት ምላሽ ይሰጣል። ከተቀበለ በኋላ ተጠቃሚው ፈቃዱን ይሰጣል በዚህም ምክንያት ከአጥቂው አይፒ አድራሻ 192.168.10.2 እና የመግቢያ አድራሻ 192.168.10.95 ይቀበላል።

የአይፒ አድራሻ የማግኘት ሂደት DORA በሚል ምህፃረ ቃል የተገለፀ ሲሆን 4 ደረጃዎችን ያቀፈ ነው፡ ግኝት፣ አቅርቦት፣ ጥያቄ እና እውቅና። እንደሚመለከቱት አጥቂው ለመሣሪያው ህጋዊ የሆነ የአይ.ፒ. አድራሻ ይሰጠዋል ይህም በተገኘው የኔትወርክ አድራሻዎች ክልል ውስጥ ነው, ነገር ግን ከእውነተኛው የመግቢያ አድራሻ 192.168.10.1 ይልቅ, የውሸት አድራሻ 192.168.10.95 "ያንሸራትቱታል" የራሳቸው ኮምፒውተር አድራሻ ነው።

ከዚያ በኋላ ወደ በይነመረብ የሚመራ ሁሉም የመጨረሻ ተጠቃሚ ትራፊክ በአጥቂው ኮምፒዩተር ውስጥ ያልፋል። አጥቂው የበለጠ አቅጣጫውን ያዞራል እና ተጠቃሚው አሁንም በይነመረብን ማግኘት ስለሚችል በዚህ የግንኙነት ዘዴ ምንም ልዩነት አይሰማውም።

በተመሳሳይ መልኩ ከኢንተርኔት የተገላቢጦሽ ትራፊክ በአጥቂው ኮምፒውተር ወደ ተጠቃሚው ይመጣል። ይህ በተለምዶ በመካከለኛው ሰው (ሚኤም) ጥቃት ተብሎ የሚጠራው ነው። ሁሉም የተጠቃሚዎች ትራፊክ በጠላፊው ኮምፒዩተር ውስጥ ያልፋሉ፣ ይህም የላከውን ወይም የሚቀበለውን ሁሉ ማንበብ ይችላል። ይህ በዲኤችሲፒ ኔትወርኮች ላይ ሊደርስ የሚችል አንድ ዓይነት ጥቃት ነው።

ሁለተኛው የጥቃቱ ዓይነት የአገልግሎት መከልከል (DoS) ይባላል። ምን እየተፈጠረ ነው? የጠላፊው ኮምፒውተር ከአሁን በኋላ እንደ DHCP አገልጋይ አይሰራም፣ አሁን የሚያጠቃ መሳሪያ ነው። የግኝት ጥያቄን ለእውነተኛው የDHCP አገልጋይ ይልካል እና በምላሹ የቅናሽ መልእክት ይቀበላል፣ከዚያም ለአገልጋዩ ጥያቄ ይልካል እና የአይፒ አድራሻውን ይቀበላል። የአጥቂው ኮምፒውተር ይህንን በየጥቂት ሚሊሰከንዶች ያደርጋል፣ በእያንዳንዱ ጊዜ አዲስ አይፒ አድራሻ ያገኛል።

በቅንብሮች ላይ በመመስረት፣ እውነተኛ የDHCP አገልጋይ በመቶዎች የሚቆጠሩ ወይም ብዙ መቶ ባዶ የአይፒ አድራሻዎች ገንዳ አለው። የአድራሻ ገንዳው ሙሉ በሙሉ እስኪያልቅ ድረስ የጠላፊው ኮምፒዩተር አይፒ አድራሻዎችን .1፣ .2፣ .3 እና የመሳሰሉትን ይቀበላል። ከዚያ በኋላ የDHCP አገልጋይ በአውታረ መረቡ ላይ ለአዳዲስ ደንበኞች የአይፒ አድራሻዎችን መስጠት አይችልም። አዲስ ተጠቃሚ ወደ አውታረ መረቡ ከገባ ነፃ የአይፒ አድራሻ ማግኘት አይችልም። በዲኤችሲፒ አገልጋይ ላይ የዶኤስ ጥቃት ነጥቡ ይህ ነው፡ የአይ ፒ አድራሻዎችን ለአዲስ ተጠቃሚዎች የመስጠት ችሎታውን ለማሳጣት።

እንደነዚህ ያሉትን ጥቃቶች ለመከላከል የDHCP Snooping ጽንሰ-ሐሳብ ጥቅም ላይ ይውላል. ይህ እንደ ACL የሚሰራ እና በመቀየሪያዎች ላይ ብቻ የሚሰራ የ OSI ንብርብር XNUMX ባህሪ ነው። DHCP Snoopingን ለመረዳት ሁለት ፅንሰ-ሀሳቦችን ግምት ውስጥ ማስገባት አለብዎት-የታመኑ መቀየሪያ ወደቦች የታመኑ እና የማይታመኑ ወደቦች ለሌሎች የአውታረ መረብ መሳሪያዎች የማይታመኑ።

የታመኑ ወደቦች በማንኛውም አይነት የDHCP መልእክቶች በኩል ይላካሉ። የማይታመኑ ወደቦች ደንበኞች የተገናኙባቸው ወደቦች ናቸው፣ እና DHCP Snooping የሚያደርገው ከእነዚህ ወደቦች የሚመጡ የDHCP መልዕክቶች እንዲወገዱ ነው።

የ DORA ሂደቱን ካስታወስን, የዲ መልእክት ከደንበኛው ወደ አገልጋዩ ይመጣል, እና የ O መልእክት ከአገልጋዩ ወደ ደንበኛው ይመጣል. በመቀጠል መልእክት R ከደንበኛው ወደ አገልጋዩ ይላካል, እና አገልጋዩ ለደንበኛው መልእክት A ይልካል.

አስተማማኝ ካልሆኑ ወደቦች የሚመጡ መልዕክቶች D እና R ይቀበላሉ፣ እና እንደ O እና A ያሉ መልዕክቶች ይጣላሉ። DHCP Snooping ሲነቃ ሁሉም የመቀየሪያ ወደቦች በነባሪ ደህንነታቸው የተጠበቀ እንዳልሆኑ ይቆጠራሉ። ይህ ተግባር ለሁለቱም መቀየሪያ በአጠቃላይ እና ለግል VLANs ሊያገለግል ይችላል። ለምሳሌ፣ VLAN10 ከወደብ ጋር ከተገናኘ፣ ይህንን ባህሪ ለVLAN10 ብቻ ማንቃት ይችላሉ፣ እና ከዚያ ወደቡ የማይታመን ይሆናል።

እርስዎ፣ እንደ ሲስተም አስተዳዳሪ፣ DHCP Snooping ን ስታነቁ፣ ወደ ማብሪያ ማጥፊያ ቅንጅቶች ውስጥ ገብተህ እንደ አገልጋይ ያሉ መሳሪያዎች የተገናኙባቸው ወደቦች ብቻ ታማኝ እንዳልሆኑ በሚቆጠር መንገድ ወደቦችን ማዋቀር ይኖርብሃል። ይህ DHCP ብቻ ሳይሆን ማንኛውንም አይነት አገልጋይ ይመለከታል።
ለምሳሌ፣ ሌላ ማብሪያ፣ ራውተር ወይም እውነተኛ የ DHCP አገልጋይ ከወደቡ ጋር ከተገናኘ፣ ይህ ወደብ እንደ ታማኝነት ተዋቅሯል። የተቀሩት የመቀየሪያ ወደቦች የመጨረሻ ተጠቃሚ መሳሪያዎች ወይም የገመድ አልባ የመዳረሻ ነጥቦች የተገናኙበት ደህንነቱ ያልተጠበቀ ሆኖ መዋቀር አለበት። ስለዚህ ተጠቃሚዎች የሚያገናኙት ማንኛውም የመዳረሻ ነጥብ አይነት መሳሪያ ከማብሪያያው ጋር በማይታመን ወደብ በኩል ይገናኛል።

የአጥቂው ኮምፒዩተር እንደ O እና A ያሉ መልዕክቶችን ወደ ማብሪያ / ማጥፊያው ከላከ ይዘጋሉ ማለትም እንደዚህ አይነት ትራፊክ በማይታመን ወደብ ማለፍ አይችሉም። DHCP Snooping ከላይ የተገለጹትን የጥቃት ዓይነቶች የሚከላከለው በዚህ መንገድ ነው።

በተጨማሪም፣ DHCP snooping የDHCP ማሰሪያ ሠንጠረዦችን ይፈጥራል። ደንበኛው የአይፒ አድራሻውን ከአገልጋዩ ከተቀበለ በኋላ ፣ ይህ አድራሻ ፣ ከተቀበለው መሣሪያ MAC አድራሻ ጋር ፣ በ DHCP Snooping ሠንጠረዥ ውስጥ ይገባል ። እነዚህ ሁለት ባህሪያት ደንበኛው የተገናኘበትን ደህንነቱ ያልተጠበቀ ወደብ ያስራሉ.

ይህ ለምሳሌ የ DoS ጥቃትን ለመከላከል ይረዳል። የማክ አድራሻ ያለው ደንበኛ አስቀድሞ የአይ ፒ አድራሻ ካገኘ ለምን አዲስ አይፒ አድራሻ ያስፈልገዋል? በዚህ ሁኔታ, በእንደዚህ አይነት እንቅስቃሴ ላይ የሚደረግ ማንኛውም ሙከራ በሠንጠረዡ ውስጥ ያለውን ግቤት ካጣራ በኋላ ወዲያውኑ ይከላከላል.
መወያየት ያለብን ቀጣዩ ነገር Nondefault ወይም “ነባሪ ያልሆኑ” ቤተኛ VLANs ነው። ለእነዚህ ኔትወርኮች 4 የቪዲዮ ትምህርቶችን በመስጠት የVLANs ርእስ ላይ ደጋግመን ነክተናል። ምን እንደሆነ ከረሱት, እነዚህን ትምህርቶች እንዲከልሱ እመክራችኋለሁ.

በሲስኮ መቀየሪያዎች ውስጥ ነባሪ ቤተኛ VLAN VLAN1 መሆኑን እናውቃለን። VLAN Hopping የሚባሉት ጥቃቶች አሉ። በሥዕላዊ መግለጫው ላይ ያለው ኮምፒዩተር በነባሪው ቤተኛ VLAN1 ከመጀመሪያው ማብሪያ / ማጥፊያ ጋር ተገናኝቷል እና የመጨረሻው ማብሪያ / ማጥፊያ ከኮምፒዩተር ጋር በ VLAN10 ተገናኝቷል እንበል። በመቀየሪያዎቹ መካከል ግንድ ይደራጃል።

ብዙውን ጊዜ ከመጀመሪያው ኮምፒዩተር የሚመጣው ትራፊክ ወደ ማብሪያው ሲመጣ ይህ ኮምፒዩተር የተገናኘበት ወደብ የ VLAN1 አካል መሆኑን ያውቃል። ከዚያም ይህ ትራፊክ በሁለቱ ማብሪያዎች መካከል ባለው ግንድ ውስጥ ሲገባ የመጀመሪያው ማብሪያ / ማጥፊያ እንዲህ ሲያስብ፡- “ይህ ትራፊክ የመጣው ከቤተኛው VLAN ነው፣ ስለዚህ መለያ ማድረግ አያስፈልገኝም” እና መለያ ያልተደረገበት ትራፊክ በደረሰው ግንድ በኩል ያስተላልፋል። ሁለተኛ መቀየሪያ.

2 ቀይር፣ መለያ ያልተሰጠው ትራፊክ ተቀብሎ፣ እንደዚህ ያስባል፡- "ይህ ትራፊክ መለያ ስላልተሰጠው የVLAN1 ነው ማለት ነው፣ ስለዚህ በVLAN10 መላክ አልችልም።" በውጤቱም, በመጀመሪያው ኮምፒዩተር የተላከ ትራፊክ ወደ ሁለተኛው ኮምፒዩተር መድረስ አይችልም.

በእውነቱ, ይህ መሆን ያለበት እንደዚህ ነው - VLAN1 ትራፊክ ወደ VLAN10 አውታረመረብ ውስጥ መግባት የለበትም. አሁን ከመጀመሪያው ኮምፒዩተር ጀርባ አጥቂ እንዳለ እናስብ፣ እሱም VLAN10 መለያ ያለው ፍሬም ፈጥሮ ወደ ማብሪያ / ማጥፊያው ይልካል። VLAN እንዴት እንደሚሰራ ካስታወሱ ፣ መለያ የተደረገበት ትራፊክ ወደ ማብሪያ / ማጥፊያው ከደረሰ ፣ በክፈፉ ላይ ምንም ነገር እንደማይሰራ ፣ ግን በቀላሉ ከግንዱ ጋር የበለጠ እንደሚያልፍ ያውቃሉ። በውጤቱም, ሁለተኛው ማብሪያ / ማጥፊያ በአጥቂው የተፈጠረ መለያ ያለው ትራፊክ ይቀበላል, እና በመጀመሪያው ማብሪያ / ማጥፊያ አይደለም.

ይህ ማለት ቤተኛ VLANን ከVLAN1 ሌላ በሆነ ነገር እየተኩት ነው።

ሁለተኛው ማብሪያ / ማጥፊያ VLAN10 መለያ ማን እንደፈጠረው ስለማያውቅ በቀላሉ ትራፊክ ወደ ሁለተኛው ኮምፒዩተር ይልካል። አንድ አጥቂ በመጀመሪያ ለእሱ የማይደረስበት አውታረ መረብ ውስጥ ሲገባ የVLAN Hopping ጥቃት የሚፈጠረው በዚህ መንገድ ነው።

እንደዚህ አይነት ጥቃቶችን ለመከላከል Random VLANs ወይም እንደ VLAN999፣VLAN666፣VLAN777፣ወዘተ ያሉ በአጥቂ ሊጠቀሙበት የማይችሉትን የዘፈቀደ VLAN መፍጠር ያስፈልግዎታል። በተመሳሳይ ጊዜ ወደ የመቀየሪያዎቹ ግንድ ወደቦች እንሄዳለን እና እንዲሰሩ እናዋቅራቸዋለን ፣ ለምሳሌ ፣ በቤተኛ VLAN666። በዚህ አጋጣሚ ቤተኛ VLANን ለግንድ ወደቦች ከ VLAN1 ወደ VLAN66 እንለውጣለን ማለትም ከVLAN1 ሌላ ማንኛውንም ኔትወርክ እንደ ቤተኛ VLAN እንጠቀማለን።

ከግንዱ በሁለቱም በኩል ያሉት ወደቦች ወደ ተመሳሳይ VLAN መዋቀር አለባቸው፣ አለበለዚያ የVLAN ቁጥር አለመመጣጠን ስህተት ይደርስብናል።

ከእንደዚህ አይነት መቼት በኋላ ጠላፊው የVLAN Hopping ጥቃትን ለመፈጸም ከወሰነ አይሳካለትም ምክንያቱም ቤተኛ VLAN1 ለማንኛውም የመቀየሪያው ግንድ ወደቦች አልተመደበም። ይህ ነባሪ ያልሆኑ ቤተኛ VLANዎችን በመፍጠር ከጥቃት የመከላከል ዘዴ ነው።

ከእኛ ጋር ስለቆዩ እናመሰግናለን። ጽሑፎቻችንን ይወዳሉ? የበለጠ አስደሳች ይዘት ማየት ይፈልጋሉ? ትእዛዝ በማዘዝ ወይም ለጓደኞች በመምከር ይደግፉን፣ በእኛ ለእርስዎ በፈለሰፈው ልዩ የመግቢያ ደረጃ አገልጋዮች አናሎግ ለሀብር ተጠቃሚዎች 30% ቅናሽ። ስለ VPS (KVM) ሙሉ እውነት E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps ከ$20 ወይንስ እንዴት አገልጋይ መጋራት ይቻላል? (በRAID1 እና RAID10፣ እስከ 24 ኮሮች እና እስከ 40GB DDR4 ድረስ ይገኛል።

ዴል R730xd 2 ጊዜ ርካሽ? እዚህ ብቻ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV ከ$199 በኔዘርላንድስ! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ከ$99! ስለ አንብብ የመሠረተ ልማት ኮርፖሬሽን እንዴት እንደሚገነባ ክፍል ጋር Dell R730xd E5-2650 v4 አገልጋዮች ዋጋ 9000 አንድ ሳንቲም ዩሮ?

ምንጭ: hab.com