سنغطي اليوم موضوعين مهمين: تطفل DHCP وشبكات VLAN الأصلية "غير الافتراضية". قبل الشروع في الدرس ، أدعوك لزيارة قناتنا الأخرى على YouTube ، حيث يمكنك مشاهدة مقطع فيديو حول كيفية تحسين ذاكرتك. أوصي بالاشتراك في هذه القناة ، حيث ننشر الكثير من النصائح المفيدة لتحسين الذات.
هذا الدرس مخصص لدراسة الأقسام الفرعية 1.7 ب و 1.7 ج من موضوع ICND2. قبل الشروع في DHCP Snooping ، دعنا نتذكر بعض النقاط من الدروس السابقة. إذا لم أكن مخطئًا ، فقد تعلمنا عن DHCP في اليوم 6 واليوم 24. تمت مناقشة قضايا مهمة تتعلق بتعيين عناوين IP بواسطة خادم DHCP وتبادل الرسائل المناسبة.
عادةً ، عندما يدخل مستخدم نهائي إلى الشبكة ، فإنه يرسل طلب بث إلى الشبكة "تسمعه" جميع أجهزة الشبكة. إذا كان متصلاً مباشرة بخادم DHCP ، فسيتم إرسال الطلب مباشرة إلى الخادم. إذا كانت هناك أجهزة إرسال في الشبكة - أجهزة توجيه ومفاتيح - فإن الطلب إلى الخادم يمر عبرها. بعد تلقي الطلب ، يستجيب خادم DHCP للمستخدم ، ويرسل إليه طلبًا للحصول على عنوان IP ، وبعد ذلك يصدر الخادم هذا العنوان لجهاز المستخدم. هذه هي الطريقة التي تحدث بها عملية الحصول على عنوان IP في ظل الظروف العادية. وفقًا للمثال الموجود في الرسم التخطيطي ، سيتلقى المستخدم النهائي العنوان 192.168.10.10 وعنوان البوابة 192.168.10.1. بعد ذلك ، سيتمكن المستخدم من الوصول إلى الإنترنت من خلال هذه البوابة أو التواصل مع أجهزة الشبكة الأخرى.
لنفترض أنه بالإضافة إلى خادم DHCP حقيقي ، هناك خادم DHCP مخادع على الشبكة ، أي أن المهاجم يقوم ببساطة بتثبيت خادم DHCP على جهاز الكمبيوتر الخاص به. في هذه الحالة ، يرسل المستخدم ، بعد دخوله الشبكة ، رسالة بث بنفس الطريقة ، والتي سيقوم جهاز التوجيه والمحول بإعادة توجيهها إلى الخادم الحقيقي.
ومع ذلك ، فإن الخادم المارق "يستمع" أيضًا على الشبكة ، وبعد تلقي رسالة إذاعية ، سوف يستجيب للمستخدم بعرضه بدلاً من خادم DHCP الحقيقي. بعد استلامه ، سيقدم المستخدم موافقته ، ونتيجة لذلك سيتلقى عنوان IP من المهاجم 192.168.10.2 وعنوان البوابة 192.168.10.95.
يتم اختصار عملية الحصول على عنوان IP باسم DORA وتتكون من 4 مراحل: الاكتشاف والعرض والطلب والإقرار. كما ترى ، سيعطي المهاجم للجهاز عنوان IP قانونيًا موجودًا في النطاق المتاح لعناوين الشبكة ، ولكن بدلاً من عنوان البوابة الحقيقي 192.168.10.1 ، سوف "ينزلق" عنوانًا مزيفًا 192.168.10.95 ، ذلك هو عنوان جهاز الكمبيوتر الخاص بهم.
بعد ذلك ، ستمر كل حركة مرور المستخدم النهائية الموجهة إلى الإنترنت عبر كمبيوتر المهاجم. سيعيد المهاجم توجيهه مرة أخرى ، ولن يشعر المستخدم بأي اختلاف مع طريقة الاتصال هذه ، حيث سيظل قادرًا على الوصول إلى الإنترنت.
بنفس الطريقة ، ستصل حركة المرور العكسية من الإنترنت إلى المستخدم من خلال جهاز الكمبيوتر الخاص بالمهاجم. هذا ما يسمى عادة هجوم الرجل في الوسط (MiM). ستمر كل حركة مرور المستخدم عبر كمبيوتر المتسلل ، والذي سيكون قادرًا على قراءة كل ما يرسله أو يستقبله. هذا أحد أنواع الهجمات التي يمكن أن تحدث على شبكات DHCP.
النوع الثاني من الهجوم يسمى رفض الخدمة (DoS). ماذا يحدث؟ لم يعد كمبيوتر المتسلل يعمل كخادم DHCP ، بل أصبح الآن مجرد جهاز مهاجم. يرسل طلب اكتشاف إلى خادم DHCP الحقيقي ويتلقى رسالة عرض استجابةً لذلك ، ثم يرسل طلبًا إلى الخادم ويتلقى عنوان IP منه. يقوم كمبيوتر المهاجم بذلك كل بضعة أجزاء من الثانية ، في كل مرة يحصل على عنوان IP جديد.
اعتمادًا على الإعدادات ، يحتوي خادم DHCP الحقيقي على مجموعة من مئات أو عدة مئات من عناوين IP الشاغرة. سيتلقى كمبيوتر المتسلل عناوين IP .1 و .2 و .3 وما إلى ذلك حتى يتم استنفاد تجمع العناوين تمامًا. بعد ذلك ، لن يتمكن خادم DHCP من توفير عناوين IP للعملاء الجدد على الشبكة. إذا دخل مستخدم جديد إلى الشبكة ، فلن يتمكن من الحصول على عنوان IP مجاني. هذا هو الهدف من هجوم DoS على خادم DHCP: لحرمانه من قدرته على إعطاء عناوين IP للمستخدمين الجدد.
لمواجهة مثل هذه الهجمات ، يتم استخدام مفهوم DHCP Snooping. هذه ميزة OSI layer XNUMX تعمل مثل ACL وتعمل فقط على المحولات. لفهم تطفل DHCP ، تحتاج إلى النظر في مفهومين: منافذ التبديل الموثوقة المنافذ الموثوقة وغير الموثوق بها غير الموثوق بها لأجهزة الشبكة الأخرى.
تتيح المنافذ الموثوقة عبور أي نوع من رسائل DHCP. المنافذ غير الموثوق بها هي المنافذ التي يتصل بها العملاء ، ويجعلها DHCP Snooping بحيث يتم إسقاط أي رسائل DHCP قادمة من هذه المنافذ.
إذا استدعينا عملية DORA ، فإن رسالة D تأتي من العميل إلى الخادم ، وتأتي رسالة O من الخادم إلى العميل. بعد ذلك ، يتم إرسال الرسالة R من العميل إلى الخادم ، ويرسل الخادم الرسالة A إلى العميل.
يتم قبول الرسائل D و R من المنافذ غير الآمنة ، ويتم تجاهل الرسائل مثل O و A. عند تمكين تطفل DHCP ، تعتبر جميع منافذ المحولات غير آمنة افتراضيًا. يمكن استخدام هذه الوظيفة للمحول ككل ولشبكات VLAN الفردية. على سبيل المثال ، إذا كان VLAN10 متصلاً بمنفذ ، فيمكنك تمكين هذه الميزة لـ VLAN10 فقط ، وبعد ذلك سيصبح المنفذ غير موثوق به.
بصفتك مسؤول النظام ، عند تمكين DHCP Snooping ، سيتعين عليك الدخول في إعدادات المحول وتكوين المنافذ بطريقة لا تعتبر إلا المنافذ التي تتصل بها الأجهزة مثل الخادم غير موثوق بها. يشير هذا إلى أي نوع من الخوادم ، وليس فقط DHCP.
على سبيل المثال ، إذا تم توصيل مفتاح آخر أو جهاز توجيه أو خادم DHCP حقيقي بالمنفذ ، فسيتم تكوين هذا المنفذ على أنه موثوق. يجب تكوين باقي منافذ المحولات التي تتصل بها أجهزة المستخدم النهائي أو نقاط الوصول اللاسلكية على أنها غير آمنة. لذلك ، فإن أي جهاز من نوع نقطة الوصول يتصل به المستخدمون يتصل بالمحول من خلال منفذ غير موثوق به.
إذا أرسل كمبيوتر المهاجم رسائل مثل O و A إلى المحول ، فسيتم حظرها ، أي لن تتمكن حركة المرور هذه من المرور عبر منفذ غير موثوق به. هذه هي الطريقة التي يمنع بها DHCP Snooping أنواع الهجمات التي تمت مناقشتها أعلاه.
بالإضافة إلى ذلك ، يقوم تطفل DHCP بإنشاء جداول ربط DHCP. بعد أن يتلقى العميل عنوان IP من الخادم ، سيتم إدخال هذا العنوان ، إلى جانب عنوان MAC الخاص بالجهاز الذي استلمه ، في جدول تطفل DHCP. ستعمل هاتان الخاصيتان على ربط المنفذ غير الآمن الذي يتصل به العميل.
يساعد هذا ، على سبيل المثال ، في منع هجوم DoS. إذا كان العميل الذي لديه عنوان MAC معين قد حصل بالفعل على عنوان IP ، فلماذا يتطلب عنوان IP جديدًا؟ في هذه الحالة ، سيتم منع أي محاولة لمثل هذا النشاط على الفور بعد التحقق من السجل في الجدول.
الشيء التالي الذي نحتاج إلى مناقشته هو Nondefault ، أو شبكات VLAN الأصلية "غير الافتراضية". لقد تطرقنا مرارًا وتكرارًا إلى موضوع شبكات VLAN ، وخصصنا 4 دروس فيديو لهذه الشبكات. إذا نسيت ما هو ، أنصحك بمراجعة هذه الدروس.
نحن نعلم أنه في محولات Cisco ، فإن شبكة VLAN الأصلية الافتراضية هي VLAN1. هناك هجمات تسمى VLAN Hopping. افترض أن الكمبيوتر في الرسم التخطيطي متصل بالمحول الأول بواسطة VLAN1 الأصلي الافتراضي ، وأن المحول الأخير متصل بالكمبيوتر بواسطة VLAN10. يتم تنظيم الجذع بين المفاتيح.
عادةً ، عندما تصل حركة المرور من الكمبيوتر الأول إلى المحول ، فإنها تعلم أن المنفذ الذي يتصل به هذا الكمبيوتر هو جزء من VLAN1. ثم تدخل حركة المرور هذه في الجذع بين المحولين ، بينما يفكر المحول الأول على هذا النحو: "جاءت حركة المرور هذه من شبكة محلية ظاهرية محلية ، لذلك لا أحتاج إلى وضع علامة عليها" ، ثم تقوم بإعادة توجيه حركة المرور غير المميزة بعلامات من خلال الجذع الذي يصل إلى التبديل الثاني.
المحول 2 ، بعد تلقيه حركة مرور بدون علامات ، يفكر على النحو التالي: "نظرًا لأن حركة المرور هذه غير مميزة ، فهذا يعني أنها تنتمي إلى VLAN1 ، لذلك لا يمكنني إرسالها عبر VLAN10." نتيجة لذلك ، لا يمكن لحركة المرور التي يرسلها الكمبيوتر الأول الوصول إلى الكمبيوتر الثاني.
في الواقع ، هذه هي الطريقة التي يجب أن يحدث بها ذلك - يجب ألا تدخل حركة مرور VLAN1 في شبكة VLAN10. الآن دعنا نتخيل أن هناك مهاجمًا خلف الكمبيوتر الأول ، يقوم بإنشاء إطار بعلامة VLAN10 ويرسله إلى المحول. إذا كنت تتذكر كيفية عمل شبكة VLAN ، فأنت تعلم أنه إذا وصلت حركة المرور التي تم وضع علامات عليها إلى المحول ، فلن تفعل شيئًا مع الإطار ، ولكنها تمررها ببساطة على طول الجذع. نتيجة لذلك ، سوف يستقبل المحول الثاني حركة المرور بعلامة تم إنشاؤها بواسطة المهاجم ، وليس بواسطة المحول الأول.
هذا يعني أنك تستبدل شبكة VLAN الأصلية بشيء آخر غير VLAN1.
نظرًا لأن المحول الثاني لا يعرف من أنشأ علامة VLAN10 ، فإنه يرسل ببساطة حركة المرور إلى الكمبيوتر الثاني. هذه هي الطريقة التي يحدث بها هجوم VLAN Hopping ، عندما يخترق المهاجم شبكة كان في الأصل يتعذر الوصول إليه.
لمنع مثل هذه الهجمات ، تحتاج إلى إنشاء شبكات محلية ظاهرية عشوائية ، أو شبكات محلية ظاهرية عشوائية ، مثل VLAN999 ، و VLAN666 ، و VLAN777 ، وما إلى ذلك ، والتي لا يمكن للمهاجم استخدامها على الإطلاق. في الوقت نفسه ، نذهب إلى منافذ جذع المحولات ونقوم بتكوينها للعمل ، على سبيل المثال ، مع Native VLAN666. في هذه الحالة ، نقوم بتغيير شبكة VLAN الأصلية لمنافذ قنوات الاتصال من VLAN1 إلى VLAN66 ، أي أننا نستخدم أي شبكة بخلاف VLAN1 باعتبارها شبكة محلية ظاهرية أصلية.
يجب تكوين المنافذ الموجودة على جانبي الجذع على نفس شبكة VLAN ، وإلا فسنحصل على خطأ عدم تطابق رقم VLAN.
بعد هذا الإعداد ، إذا قرر أحد المتطفلين تنفيذ هجوم VLAN Hopping ، فلن ينجح ، لأن VLAN1 الأصلي غير مخصص لأي من منافذ قنوات الاتصال الخاصة بالمفاتيح. هذه هي طريقة الحماية من الهجمات عن طريق إنشاء شبكات محلية ظاهرية غير افتراضية.
أشكركم على البقاء معنا. هل تحب مقالاتنا؟ هل تريد رؤية المزيد من المحتويات الشيقة؟ ادعمنا عن طريق تقديم طلب أو التوصية للأصدقاء ، خصم 30٪ لمستخدمي Habr على تناظرية فريدة من الخوادم المبتدئة ، والتي اخترعناها من أجلك: (متوفر مع RAID1 و RAID10 ، حتى 24 مركزًا وحتى 40 جيجا بايت DDR4).
ديل R730xd 2 مرات أرخص؟ هنا فقط في هولندا! Dell R420 - 2x E5-2430 2.2 جيجا هرتز 6C 128 جيجا بايت DDR3 2x960 جيجا بايت SSD 1 جيجا بايت في الثانية 100 تيرا بايت - من 99 دولارًا! أقرأ عن
المصدر: www.habr.com