سنتناول اليوم موضوعين مهمين: DHCP Snooping وشبكات VLAN الأصلية غير الافتراضية. قبل أن ننتقل إلى الدرس، أدعوك لزيارة قناتنا الأخرى على اليوتيوب، حيث يمكنك مشاهدة فيديو حول كيفية تحسين ذاكرتك. أنصحك بالاشتراك في هذه القناة، حيث ننشر فيها الكثير من النصائح المفيدة لتطوير الذات.
يغطي هذا الدرس مواضيع ICND1.7 1.7b و 2c. قبل أن نبدأ في استخدام DHCP Snooping، دعونا نراجع بعض النقاط من الدروس السابقة. إذا لم أكن مخطئًا، فقد تعلمنا عن DHCP في اليوم السادس واليوم الرابع والعشرين. تمت مناقشة القضايا المهمة المتعلقة بتعيين عناوين IP بواسطة خادم DHCP وتبادل الرسائل المقابلة هناك.
عادةً، عندما يقوم المستخدم النهائي بتسجيل الدخول إلى شبكة، فإنه يرسل طلب بث إلى الشبكة "يتم سماعه" من قبل جميع أجهزة الشبكة. إذا كان متصلاً مباشرة بخادم DHCP، ينتقل الطلب مباشرة إلى الخادم. إذا كانت هناك أجهزة إرسال في الشبكة - أجهزة التوجيه والمفاتيح - فإن الطلب إلى الخادم يمر من خلالها. بعد تلقي الطلب، يستجيب خادم DHCP للمستخدم، الذي يرسل له طلبًا لتلقي عنوان IP، وبعد ذلك يصدر الخادم هذا العنوان لجهاز المستخدم. وهكذا تتم عملية الحصول على عنوان IP في الظروف العادية. وفقًا للمثال الموجود في الرسم التخطيطي، سيتلقى المستخدم النهائي العنوان 192.168.10.10 وعنوان البوابة 192.168.10.1. بعد ذلك، سيكون المستخدم قادرًا على الوصول إلى الإنترنت من خلال هذه البوابة أو التواصل مع أجهزة الشبكة الأخرى.
لنفترض أنه بالإضافة إلى خادم DHCP الحقيقي، يوجد خادم DHCP غير موثوق به على الشبكة، أي أن المهاجم يقوم ببساطة بتثبيت خادم DHCP على جهاز الكمبيوتر الخاص به. في هذه الحالة، يقوم المستخدم، بعد دخوله إلى الشبكة، بإرسال رسالة بث أيضًا، والتي سيقوم جهاز التوجيه والتبديل بإرسالها إلى الخادم الحقيقي.
ومع ذلك، فإن الخادم الاحتيالي "يستمع" أيضًا إلى الشبكة، وعند تلقي رسالة البث، سيرد على المستخدم بعرضه الخاص بدلاً من خادم DHCP الحقيقي. بعد استلامه، سيعطي المستخدم موافقته، ونتيجة لذلك سيتلقى عنوان IP من المهاجم 192.168.10.2 وعنوان البوابة 192.168.10.95.
تتم عملية الحصول على عنوان IP اختصارًا بـ DORA وتتكون من 4 مراحل: الاكتشاف والعرض والطلب والإقرار. كما نرى، سيعطي المهاجم للجهاز عنوان IP قانوني يقع ضمن النطاق المتاح لعناوين الشبكة، ولكن بدلاً من عنوان البوابة الحقيقي 192.168.10.1، سوف "يمرره" إلى عنوان مزيف 192.168.10.95، أي عنوان جهاز الكمبيوتر الخاص به.
بعد ذلك، سوف تمر جميع حركة مرور المستخدم النهائي الموجهة إلى الإنترنت عبر جهاز الكمبيوتر الخاص بالمهاجم. وسوف يقوم المهاجم بإعادة توجيهه مرة أخرى، ولن يشعر المستخدم بأي فرق مع طريقة الاتصال هذه، حيث سيظل قادرًا على الوصول إلى الإنترنت.
وبنفس الطريقة، سيتم إرسال حركة المرور العائدة من الإنترنت إلى المستخدم من خلال جهاز الكمبيوتر الخاص بالمهاجم. وهذا ما يشار إليه عادة باسم هجوم الرجل في الوسط (MiM). ستمر جميع بيانات المستخدم عبر كمبيوتر المخترق، والذي سيكون قادرًا على قراءة كل ما يرسله المستخدم أو يستقبله. هذا هو أحد أنواع الهجمات التي يمكن أن تحدث على شبكات DHCP.
النوع الثاني من الهجوم يسمى رفض الخدمة (DoS). ماذا يحدث بعد ذلك؟ لم يعد جهاز الكمبيوتر الخاص بالمخترق يعمل كخادم DHCP، بل أصبح الآن مجرد جهاز هجوم. يقوم بإرسال طلب اكتشاف إلى خادم DHCP الحقيقي ويتلقى رسالة عرض ردًا على ذلك، ثم يرسل طلبًا إلى الخادم ويتلقى عنوان IP منه. يقوم كمبيوتر المهاجم بهذه العملية كل بضعة مللي ثانية، ويتلقى عنوان IP جديدًا في كل مرة.
اعتمادًا على الإعدادات، يحتوي خادم DHCP الحقيقي على مجموعة من مئات أو عدة مئات من عناوين IP الشاغرة. سيستقبل جهاز الكمبيوتر الخاص بالمخترق عناوين IP .1، .2، .3، وما إلى ذلك حتى يتم استنفاد مجموعة العناوين بالكامل. بعد ذلك، لن يتمكن خادم DHCP من توفير عناوين IP لعملاء الشبكة الجدد. إذا دخل مستخدم جديد إلى الشبكة، فلن يتمكن من الحصول على عنوان IP مجاني. هذه هي النقطة الأساسية في هجوم DoS على خادم DHCP: منعه من إصدار عناوين IP للمستخدمين الجدد.
ولمواجهة مثل هذه الهجمات، يتم استخدام مفهوم DHCP Snooping. هذه وظيفة طبقة OSI 2 تعمل مثل قائمة التحكم في الوصول (ACL) وتعمل فقط على المفاتيح. لفهم DHCP Snooping، نحتاج إلى النظر في مفهومين: المنافذ الموثوقة على المفتاح والمنافذ غير الموثوقة لأجهزة الشبكة الأخرى.
تسمح المنافذ الموثوقة لأي نوع من رسائل DHCP بالمرور. المنافذ غير الموثوق بها هي المنافذ التي يتصل بها عملاء، ويؤدي DHCP Snooping إلى إسقاط أي رسائل DHCP قادمة من هذه المنافذ.
إذا تذكرنا عملية DORA، فإن الرسالة D تأتي من العميل إلى الخادم، والرسالة O تأتي من الخادم إلى العميل. بعد ذلك، يتم إرسال الرسالة R من العميل إلى الخادم، ويقوم الخادم بإرسال الرسالة A إلى العميل.
يتم قبول الرسائل D وR من المنافذ غير الآمنة، بينما يتم تجاهل الرسائل O وA. عندما يتم تمكين DHCP Snooping، يتم اعتبار جميع المنافذ الموجودة على المفتاح غير آمنة بشكل افتراضي. يمكن استخدام هذه الميزة لكل من المفتاح ككل وشبكات VLAN الفردية. على سبيل المثال، إذا تم توصيل VLAN10 بمنفذ، فيمكنك تمكين هذه الميزة لـ VLAN10 فقط، وبعد ذلك سيصبح منفذه غير موثوق به.
باعتبارك مسؤولاً عن النظام، عندما تقوم بتمكين DHCP Snooping، سيتعين عليك الانتقال إلى إعدادات التبديل وتكوين المنافذ بحيث يتم اعتبار المنافذ التي تتصل بها أجهزة مثل الخادم فقط غير موثوقة. وهذا يعني أي نوع من الخوادم، وليس فقط DHCP.
على سبيل المثال، إذا تم توصيل مفتاح أو جهاز توجيه آخر أو خادم DHCP حقيقي بالمنفذ، فسيتم تكوين هذا المنفذ كموثوق به. يجب تكوين المنافذ المتبقية على المفتاح التي تحتوي على أجهزة المستخدم النهائي أو نقاط الوصول اللاسلكية على أنها غير آمنة. لذلك، فإن أي جهاز مثل نقطة الوصول التي يتصل بها المستخدمون يكون متصلاً بالمفتاح عبر منفذ غير موثوق به.
إذا أرسل كمبيوتر المهاجم رسائل من النوع O وA إلى المفتاح، فسيتم حظرها، مما يعني أن مثل هذه الحركة لن تكون قادرة على المرور عبر المنفذ غير الموثوق به. هذه هي الطريقة التي يمنع بها DHCP Snooping أنواع الهجمات التي تمت مناقشتها أعلاه.
بالإضافة إلى ذلك، يقوم DHCP Snooping بإنشاء جداول ربط DHCP. بعد أن يتلقى العميل عنوان IP من الخادم، سيتم إدخال هذا العنوان، إلى جانب عنوان MAC للجهاز الذي تلقاه، في جدول DHCP Snooping. سيتم ربط هاتين الخاصيتين بالمنفذ غير الآمن الذي يتصل به العميل.
يساعد هذا، على سبيل المثال، على منع هجمات الحرمان من الخدمة. إذا كان العميل الذي لديه عنوان MAC معين قد تلقى بالفعل عنوان IP، فلماذا يجب عليه طلب عنوان IP جديد؟ في هذه الحالة، سيتم منع أي محاولة لمثل هذا النشاط فورًا بعد التحقق من السجل الموجود في الجدول.
الشيء التالي الذي نحتاج إلى مناقشته هو شبكات VLAN الأصلية غير الافتراضية أو "غير الافتراضية". لقد تطرقنا إلى موضوع شبكات VLAN عدة مرات، وخصصنا 4 مقاطع فيديو تعليمية لهذه الشبكات. إذا نسيت ما هو هذا، أنصحك بمراجعة هذه الدروس.
نحن نعلم أنه في مفاتيح Cisco فإن شبكة VLAN الأصلية الافتراضية هي VLAN1. هناك هجمات تسمى VLAN Hopping. لنفترض أن الكمبيوتر الموجود في الرسم التخطيطي متصل بالمفتاح الأول عبر شبكة VLAN1 الأصلية الافتراضية، وأن المفتاح الأخير متصل بالكمبيوتر عبر شبكة VLAN10. يتم تنظيم جذع بين المفاتيح.
بشكل عام، عندما تأتي حركة المرور من الكمبيوتر الأول إلى المحول، يعرف المحول أن المنفذ الذي يتصل به الكمبيوتر هو جزء من VLAN1. تنتقل هذه الحركة المرورية بعد ذلك إلى الجذع بين المفتاحين، ويفكر المفتاح الأول، "جاءت هذه الحركة المرورية من شبكة VLAN الأصلية، لذلك لا أحتاج إلى وضع علامة عليها"، ويعيد توجيه الحركة المرورية غير المميزة عبر الجذع، والتي تذهب إلى المفتاح الثاني.
يفكر المفتاح 2، عند استقبال حركة مرور غير مميزة، على النحو التالي: "نظرًا لأن هذه الحركة المرورية غير مميزة، فهي تنتمي إلى VLAN1، وبالتالي لا يمكنني إرسالها عبر VLAN10." ونتيجة لذلك، لا يمكن لحركة المرور المرسلة من الكمبيوتر الأول الوصول إلى الكمبيوتر الثاني.
في الواقع، هذا هو ما ينبغي أن يكون عليه الأمر - لا ينبغي السماح لحركة مرور VLAN1 بالدخول إلى VLAN10. الآن دعونا نتخيل أن هناك مهاجمًا خلف الكمبيوتر الأول يقوم بإنشاء إطار باستخدام علامة VLAN10 ويرسله إلى المفتاح. إذا كنت تتذكر كيفية عمل شبكة VLAN، فأنت تعلم أنه إذا وصلت حركة المرور المميزة إلى مفتاح، فلن يفعل أي شيء بالإطار، بل يمررها فقط على طول الجذع. نتيجة لذلك، سوف يستقبل المفتاح الثاني حركة المرور التي تحمل علامة تم إنشاؤها بواسطة المهاجم، وليس المفتاح الأول.
وهذا يعني أنك تقوم باستبدال شبكة VLAN الأصلية بشيء آخر غير VLAN1.
نظرًا لأن المفتاح الثاني لا يعرف من قام بإنشاء علامة VLAN10، فإنه ببساطة يرسل حركة المرور إلى الكمبيوتر الثاني. هكذا تحدث هجمات VLAN Hopping، حيث يتمكن المهاجم من الوصول إلى شبكة لم يكن في مقدوره الوصول إليها في البداية.
ولمنع مثل هذه الهجمات، يتعين عليك إنشاء شبكات VLAN عشوائية، مثل VLAN999، وVLAN666، وVLAN777، وما إلى ذلك، والتي لا يمكن للمهاجم استخدامها على الإطلاق. في الوقت نفسه، ننتقل إلى منافذ الجذع الخاصة بالمفاتيح ونقوم بتكوينها للعمل، على سبيل المثال، مع Native VLAN666. في هذه الحالة، نقوم بتغيير شبكة VLAN الأصلية للمنافذ الرئيسية من VLAN1 إلى VLAN66، أي أننا نستخدم أي شبكة أخرى غير VLAN1 كشبكة VLAN الأصلية.
يجب تكوين المنافذ على جانبي الجذع على نفس شبكة VLAN، وإلا فسنحصل على خطأ عدم تطابق رقم VLAN.
بعد هذا الإعداد، إذا قرر أحد المتسللين تنفيذ هجوم VLAN Hopping، فلن ينجح لأنه لم يتم تعيين VLAN1 الأصلي لأي من منافذ جذع التبديل. هذه هي طريقة الحماية ضد الهجمات عن طريق إنشاء شبكات VLAN أصلية غير افتراضية.
أشكركم على البقاء معنا. هل تحب مقالاتنا؟ هل تريد رؤية المزيد من المحتويات الشيقة؟ ادعمنا عن طريق تقديم طلب أو التوصية للأصدقاء ، خصم 30٪ لمستخدمي Habr على تناظرية فريدة من الخوادم المبتدئة ، والتي اخترعناها من أجلك: (متوفر مع RAID1 و RAID10 ، حتى 24 مركزًا وحتى 40 جيجا بايت DDR4).
ديل R730xd 2 مرات أرخص؟ هنا فقط في هولندا! Dell R420 - 2x E5-2430 2.2 جيجا هرتز 6C 128 جيجا بايت DDR3 2x960 جيجا بايت SSD 1 جيجا بايت في الثانية 100 تيرا بايت - من 99 دولارًا! أقرأ عن
المصدر: www.habr.com
