Bu gün biz iki mühüm mövzuya baxacağıq: DHCP Snooping və “qeyri-standart” Native VLAN-lar. Dərsə keçməzdən əvvəl sizi yaddaşınızı necə yaxşılaşdıracağınıza dair videoya baxa biləcəyiniz digər YouTube kanalımıza baş çəkməyə dəvət edirəm. Bu kanala abunə olmağı tövsiyə edirəm, çünki biz orada özünü təkmilləşdirmək üçün çoxlu faydalı məsləhətlər dərc edirik.
Bu dərs ICND1.7 mövzusunun 1.7b və 2c yarımbölmələrinin öyrənilməsinə həsr edilmişdir. DHCP Snooping-ə başlamazdan əvvəl, əvvəlki dərslərdən bəzi məqamları xatırlayaq. Səhv etmirəmsə, DHCP haqqında 6-cı və 24-cü gündə öyrəndik. Orada DHCP serveri tərəfindən IP ünvanlarının təyin edilməsi və müvafiq mesajların mübadiləsi ilə bağlı mühüm məsələlər müzakirə olunub.
Tipik olaraq, Son İstifadəçi şəbəkəyə daxil olduqda, şəbəkəyə bütün şəbəkə cihazları tərəfindən “eşitilən” yayım sorğusu göndərir. Əgər o, birbaşa DHCP serverinə qoşulubsa, sorğu birbaşa serverə gedir. Şəbəkədə ötürmə cihazları - marşrutlaşdırıcılar və açarlar varsa, serverə sorğu onlardan keçir. Sorğunu aldıqdan sonra DHCP server istifadəçiyə cavab verir, o, ona bir IP ünvanı almaq üçün sorğu göndərir, bundan sonra server istifadəçinin cihazına belə bir ünvan verir. Normal şəraitdə IP ünvanının əldə edilməsi prosesi belə baş verir. Diaqramdakı nümunəyə əsasən, Son İstifadəçi 192.168.10.10 ünvanını və 192.168.10.1 şlüz ünvanını alacaq. Bundan sonra istifadəçi bu şlüz vasitəsilə İnternetə daxil ola və ya digər şəbəkə cihazları ilə əlaqə saxlaya biləcək.
Fərz edək ki, real DHCP serverindən əlavə, şəbəkədə saxta DHCP server var, yəni təcavüzkar sadəcə olaraq öz kompüterinə DHCP server quraşdırır. Bu halda, istifadəçi şəbəkəyə daxil olaraq, marşrutlaşdırıcı və keçidin real serverə yönləndirəcəyi bir yayım mesajı da göndərir.
Bununla belə, yaramaz server şəbəkəni də “dinləyir” və yayım mesajını aldıqdan sonra həqiqi DHCP serveri əvəzinə istifadəçiyə öz təklifi ilə cavab verəcəkdir. Onu aldıqdan sonra istifadəçi razılığını verəcək, nəticədə o, təcavüzkardan 192.168.10.2 IP ünvanı və 192.168.10.95 şlüz ünvanı alacaq.
IP ünvanının əldə edilməsi prosesi DORA kimi qısaldılır və 4 mərhələdən ibarətdir: Kəşf, Təklif, İstək və Təqdir. Gördüyünüz kimi, təcavüzkar cihaza mövcud şəbəkə ünvanları diapazonunda olan qanuni bir IP ünvanı verəcək, lakin 192.168.10.1 real şlüz ünvanı əvəzinə onu 192.168.10.95 saxta ünvanı ilə "sürüşdürəcək", yəni öz kompüterinin ünvanı.
Bundan sonra İnternetə yönəldilmiş bütün son istifadəçi trafiki təcavüzkarın kompüterindən keçəcək. Təcavüzkar onu daha da yönləndirəcək və istifadəçi bu ünsiyyət üsulu ilə heç bir fərq hiss etməyəcək, çünki o, hələ də İnternetə daxil ola biləcək.
Eyni şəkildə, İnternetdən qayıdan trafik təcavüzkarın kompüteri vasitəsilə istifadəçiyə axacaq. Bu, adətən Ortadakı Adam (MiM) hücumu adlanır. Bütün istifadəçi trafiki onun göndərdiyi və ya qəbul etdiyi hər şeyi oxuya biləcək hakerin kompüterindən keçəcək. Bu, DHCP şəbəkələrində baş verə biləcək bir hücum növüdür.
Hücumun ikinci növü "Denial of Service" (DoS) və ya "xidmətdən imtina" adlanır. Nə baş verir? Hakerin kompüteri artıq DHCP serveri kimi fəaliyyət göstərmir, o, sadəcə olaraq hücum edən qurğudur. O, real DHCP serverinə Kəşf sorğusu göndərir və cavab olaraq Təklif mesajı alır, sonra serverə Sorğu göndərir və ondan IP ünvanı alır. Təcavüzkarın kompüteri bunu bir neçə millisaniyədən bir edir, hər dəfə yeni IP ünvanı alır.
Parametrlərdən asılı olaraq, həqiqi DHCP serverində yüzlərlə və ya bir neçə yüz boş IP ünvanları var. Hakerin kompüteri ünvanlar hovuzu tamamilə tükənənə qədər .1, .2, .3 və s. IP ünvanlarını alacaq. Bundan sonra DHCP serveri şəbəkədəki yeni müştərilərə IP ünvanları təqdim edə bilməyəcək. Şəbəkəyə yeni istifadəçi daxil olarsa, o, pulsuz IP ünvanı əldə edə bilməyəcək. Bu, DHCP serverinə DoS hücumunun məqsədidir: onun yeni istifadəçilərə IP ünvanlarını verməsinin qarşısını almaq.
Bu cür hücumlara qarşı durmaq üçün DHCP Snooping konsepsiyasından istifadə edilir. Bu, ACL kimi fəaliyyət göstərən və yalnız açarlarda işləyən OSI qat XNUMX funksiyasıdır. DHCP Snooping-i başa düşmək üçün iki anlayışı nəzərdən keçirməlisiniz: Etibarlı keçidin etibarlı portları və digər şəbəkə cihazları üçün etibarsız Etibarsız portlar.
Etibarlı portlar istənilən növ DHCP mesajının keçməsinə imkan verir. Etibarsız portlar müştərilərin qoşulduğu portlardır və DHCP Snooping bunu elə edir ki, həmin portlardan gələn hər hansı DHCP mesajı atılsın.
DORA prosesini xatırlasaq, D mesajı müştəridən serverə, O mesajı isə serverdən müştəriyə gəlir. Sonra müştəridən serverə R mesajı, server isə müştəriyə A mesajı göndərir.
Təhlükəsiz portlardan D və R mesajları qəbul edilir və O və A kimi mesajlar atılır. DHCP Snooping funksiyası aktiv olduqda, bütün keçid portları defolt olaraq təhlükəsiz hesab olunur. Bu funksiya həm bütövlükdə keçid üçün, həm də fərdi VLAN-lar üçün istifadə edilə bilər. Məsələn, VLAN10 porta qoşulubsa, bu funksiyanı yalnız VLAN10 üçün aktivləşdirə bilərsiniz və sonra onun portu etibarsız olacaq.
DHCP Snooping-i aktivləşdirdiyiniz zaman, sistem administratoru olaraq siz keçid parametrlərinə daxil olmalı və portları elə konfiqurasiya etməli olacaqsınız ki, yalnız serverə oxşar cihazların qoşulduğu portlar etibarsız hesab edilsin. Bu, yalnız DHCP deyil, istənilən server növü deməkdir.
Məsələn, başqa keçid, marşrutlaşdırıcı və ya real DHCP server porta qoşulubsa, bu port etibarlı kimi konfiqurasiya edilir. Son istifadəçi cihazlarının və ya simsiz giriş nöqtələrinin qoşulduğu qalan keçid portları etibarsız kimi konfiqurasiya edilməlidir. Buna görə də, istifadəçilərin qoşulduğu giriş nöqtəsi kimi istənilən cihaz etibarsız port vasitəsilə keçidə qoşulur.
Təcavüzkarın kompüteri keçidə O və A tipli mesajlar göndərirsə, onlar bloklanacaq, yəni belə trafik etibarsız portdan keçə bilməyəcək. DHCP Snooping yuxarıda müzakirə edilən hücum növlərinin qarşısını belə alır.
Əlavə olaraq, DHCP Snooping DHCP bağlama cədvəllərini yaradır. Müştəri serverdən IP ünvanı aldıqdan sonra bu ünvan onu qəbul edən cihazın MAC ünvanı ilə birlikdə DHCP Snooping cədvəlinə daxil ediləcək. Bu iki xüsusiyyət müştərinin qoşulduğu etibarlı olmayan portla əlaqələndiriləcək.
Bu, məsələn, DoS hücumunun qarşısını almağa kömək edir. Əgər verilmiş MAC ünvanı olan müştəri artıq IP ünvanı alıbsa, o zaman niyə yeni IP ünvanı tələb etməlidir? Bu halda, cədvəldəki giriş yoxlanıldıqdan dərhal sonra belə fəaliyyətə hər hansı cəhdin qarşısı alınacaq.
Müzakirə etməli olduğumuz növbəti şey Qeyri-standart və ya “qeyri-standart” Native VLAN-lardır. Biz bu şəbəkələrə 4 video dərs həsr edərək VLAN mövzusuna dəfələrlə toxunmuşuq. Bunun nə olduğunu unutmusunuzsa, sizə bu dərsləri nəzərdən keçirməyi məsləhət görürəm.
Biz bilirik ki, Cisco keçidlərində standart Native VLAN VLAN1-dir. VLAN Hopping adlı hücumlar var. Fərz edək ki, diaqramdakı kompüter birinci keçidə standart yerli şəbəkə VLAN1, sonuncu keçid isə VLAN10 şəbəkəsi ilə kompüterə qoşulub. Anahtarlar arasında bir magistral qurulur.
Tipik olaraq, birinci kompüterdən gələn trafik keçidə çatdıqda, bu kompüterin qoşulduğu portun VLAN1-in bir hissəsi olduğunu bilir. Sonra, bu trafik iki keçid arasındakı magistrala gedir və birinci keçid belə düşünür: “bu trafik Native VLAN-dan gəldi, ona görə də onu işarələməyə ehtiyac yoxdur” və magistral boyunca işarələnməmiş trafiki yönləndirir. ikinci keçidə çatır.
Keçid 2 etiketsiz trafik qəbul edərək belə düşünür: “Bu trafik etiketsiz olduğundan, onun VLAN1-ə aid olması deməkdir, ona görə də onu VLAN10 üzərindən göndərə bilmirəm.” Nəticədə birinci kompüterin göndərdiyi trafik ikinci kompüterə çata bilmir.
Əslində, bu belə olmalıdır - VLAN1 trafiki VLAN10-a daxil olmamalıdır. İndi təsəvvür edək ki, birinci kompüterin arxasında VLAN10 teqi ilə çərçivə yaradan və onu keçidə göndərən təcavüzkar var. VLAN-ın necə işlədiyini xatırlayırsınızsa, o zaman bilirsiniz ki, etiketlənmiş trafik keçidə çatarsa, o, çərçivə ilə heç bir şey etmir, sadəcə onu magistral boyunca daha da ötürür. Nəticədə, ikinci keçid trafiki birinci keçid tərəfindən deyil, təcavüzkar tərəfindən yaradılmış etiketlə qəbul edəcək.
Bu o deməkdir ki, siz Native VLAN-ı VLAN1-dən başqa bir şeylə əvəz edirsiniz.
İkinci keçid VLAN10 teqini kimin yaratdığını bilmədiyi üçün o, sadəcə olaraq ikinci kompüterə trafik göndərir. Təcavüzkar əvvəlcə onun üçün əlçatmaz olan şəbəkəyə nüfuz etdikdə VLAN Hopping hücumu belə baş verir.
Bu cür hücumların qarşısını almaq üçün siz Random VLAN və ya təsadüfi VLAN-lar yaratmalısınız, məsələn, VLAN999, VLAN666, VLAN777 və s., hansı ki, təcavüzkar tərəfindən ümumiyyətlə istifadə oluna bilməz. Eyni zamanda, keçidlərin magistral portlarına gedirik və onları, məsələn, Native VLAN666 ilə işləmək üçün konfiqurasiya edirik. Bu halda biz magistral portlar üçün Native VLAN-ı VLAN1-dən VLAN66-ya dəyişirik, yəni Native VLAN kimi VLAN1-dən başqa istənilən şəbəkədən istifadə edirik.
Magistralın hər iki tərəfindəki portlar eyni VLAN-a konfiqurasiya edilməlidir, əks halda biz VLAN nömrəsi uyğunsuzluğu xətası alacağıq.
Bu quraşdırmadan sonra, əgər haker VLAN Hopping hücumu həyata keçirmək qərarına gəlsə, o, uğur qazana bilməyəcək, çünki yerli VLAN1 açarların magistral portlarının heç birinə təyin edilməyib. Bu, standart olmayan yerli VLAN-lar yaratmaqla hücumlardan qorunma üsuludur.
Bizimlə qaldığınız üçün təşəkkür edirik. Məqalələrimizi bəyənirsinizmi? Daha maraqlı məzmun görmək istəyirsiniz? Sifariş verməklə və ya dostlarınıza tövsiyə etməklə bizə dəstək olun, Bizim tərəfimizdən sizin üçün ixtira edilmiş giriş səviyyəli serverlərin unikal analoquna Habr istifadəçiləri üçün 30% endirim: (RAID1 və RAID10, 24 nüvəyə qədər və 40 GB DDR4 ilə mövcuddur).
Dell R730xd 2 dəfə ucuzdur? Yalnız burada Hollandiyada! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollardan! haqqında oxuyun
Mənbə: www.habr.com