Сёння мы разгледзім дзве важныя тэмы: DHCP Snooping і "недэфолтныя" Native VLAN. Перад тым, як перайсці да ўрока, запрашаю вас наведаць іншы наш канал YouTube, дзе вы зможаце прагледзець відэа аб тым, як палепшыць сваю памяць. Рэкамендую вам падпісацца на гэты канал, бо там мы размяшчаем мноства карысных парад для самаўдасканалення.
Гэты ўрок прысвечаны вывучэнню падраздзелаў 1.7b і 1.7 з тэматыкі ICND2. Перад тым, як прыступіць да DHCP Snooping, давайце ўспомнім некаторыя моманты з папярэдніх урокаў. Калі я не памыляюся, мы вывучалі DHCP на ўроках "Дзень 6" і "Дзень 24". Там абмяркоўваліся важныя пытанні, якія датычацца прызначэння IP-адрасоў DHCP-серверам і абмену адпаведнымі паведамленнямі.
Звычайна, калі канчатковы карыстач End User уваходзіць у сетку, ён пасылае ў сетку шырокавяшчальны запыт, які "чуюць" усе сеткавыя прылады. Калі ён напроста злучаны з DHCP-серверам, то запыт паступае непасрэдна на сервер. Калі ж у сетцы маюцца перадаткавыя прылады - роўтэры і світчы - то запыт серверу праходзіць праз іх. Атрымаўшы запыт, DHCP-сервер адказвае карыстачу, той пасылае яму запыт на атрыманне IP-адрасу, пасля чаго сервер выдае такі адрас прылады карыстальніка. Менавіта так адбываецца працэс атрымання IP-адрасу ў нармальных умовах. Згодна з прыкладам на схеме, End User атрымае адрас 192.168.10.10 і адрас шлюза 192.168.10.1. Пасля гэтага карыстач зможа выходзіць праз гэты шлюз у інтэрнэт або звязвацца з астатнімі сеткавымі прыладамі.
Выкажам здагадку, што акрамя сапраўднага DHCP-сервера ў сетцы маецца ашуканскі DHCP-сервер, гэта значыць зламыснік проста ўсталёўвае DHCP-сервер на сваім кампутары. У гэтым выпадку карыстач, увайшоўшы ў сетку, сапраўды таксама адсылае шырокавяшчальнае паведамленне, якое роутер і світч перашлюць сапраўднаму серверу.
Аднак ашуканскі сервер таксама "слухае" сетку, і, атрымаўшы broadcast-паведамленне, адкажа карыстачу замест сапраўднага DHCP-сервера сваёй прапановай. Атрымаўшы яго, карыстач дасць сваю згоду, у выніку чаго атрымае IP-адрас ад зламысніка 192.168.10.2 і адрас шлюза 192.168.10.95.
Працэс атрымання IP-адрасу скарочана завецца DORA і складаецца з 4-х этапаў: Discovery, Offer, Request і Acknowledgement. Як бачым, зламыснік выдасць прыладзе легальны IP-адрас, які знаходзіцца ў даступным дыяпазоне сеткавых адрасоў, аднак замест сапраўднага адраса шлюза 192.168.10.1 "падсуне" яму фальшывы адрас 192.168.10.95, гэта значыць адрас уласнага кампутара.
Пасля гэтага ўвесь трафік канчатковага карыстача, накіраваны ў інтэрнэт, будзе праходзіць праз кампутар зламысніка. Зламыснік будзе перанакіроўваць яго далей, і карыстач не адчуе ніякай розніцы пры такім спосабе сувязі, паколькі ўсё роўна зможа выходзіць у інтэрнэт.
Дакладна таксама зваротны трафік з інтэрнэту будзе паступаць карыстачу праз кампутар зламысніка. Гэта тое, што прынята зваць нападам Man in the Middle (MiM) - "чалавек пасярэдзіне". Увесь трафік карыстальніка будзе праходзіць праз кампутар хакера, які зможа чытаць усё, што той адсылае ці атрымлівае. Гэта адзін тып нападу, якая можа мець месца ў DHCP-сетках.
Другі тып нападу завецца Denial of Service (DoS), або "адмова ў аблуджванні". Што пры гэтым адбываецца? Кампутар хакера ўжо не выступае ў ролі DHCP-сервера, зараз ён проста атакавалая прылада. Ён пасылае сапраўднаму DHCP-серверу Discovery-запыт і атрымлівае ў адказ паведамленне Offer, затым адсылае серверу Request і атрымлівае ад яго IP-адрас. Кампутар атакавалага робіць гэта кожныя некалькі мілісекунд, кожны раз атрымліваючы новы IP-адрас.
У залежнасці ад налад, сапраўдны DHCP-сервер мае пул з сотні ці некалькіх сотняў вакантных IP-адрасоў. Кампутар хакера атрымаюць IP-адрасы.1,.2,.3 і так датуль, пакуль пул адрасоў не будзе цалкам вычарпаны. Пасля гэтага DHCP-сервер не зможа забяспечваць IP-адрасамі новых кліентаў сеткі. Калі новы карыстач увойдзе ў сетку, то ён не зможа атрымаць вольны IP-адрас. Вось у чым заключаецца сэнс DoS-напады на DHCP-сервер: пазбавіць яго магчымасці выдаваць IP-адрасы новым карыстальнікам.
Для супрацьстаяння такім нападам выкарыстоўваецца канцэпцыя DHCP Snooping. Гэта функцыя другога ўзроўня OSI, дзейсная накшталт ACL і працавальная толькі на свитчах. Для разумення DHCP Snooping трэба разгледзець два паняцці: давераныя парты скрутку Trusted і ненадзейныя парты Untrusted для іншых сеткавых прылад.
Давераныя парты прапускаюць любы тып DHCP-паведамленняў. Ненадзейныя порты - гэта порты, да якіх падлучаныя кліенты, і DHCP Snooping робіць так, што любыя DHCP-паведамленні, якія паступаюць з гэтых портаў, будуць адкідацца.
Калі ўспомніць DORA-працэс, тое паведамленне D паступае ад кліента да сервера, а паведамленне Аб - ад сервера да кліента. Далей ад кліента да сервера накіроўваецца паведамленне R, а сервер адсылае кліенту паведамленне А.
Паведамленні D і R ад небяспечных партоў прымаюцца, а паведамленні тыпу O і А адкідаюцца. Пры ўключэнні функцыі DHCP Snooping усе порты скрутку па змаўчанні лічацца небяспечнымі. Гэтую функцыю можна выкарыстоўваць як у цэлым для світача, так і для асобных VLAN. Напрыклад, калі да порта падлучаная VLAN10, можна ўлучыць гэтую функцыю толькі для VLAN10, і тады яе порт стане ненадзейным.
Вам, як сістэмнаму адміністратару, пры ўключэнні DHCP Snooping давядзецца зайсці ў налады світача і наладзіць парты такім чынам, каб ненадзейнымі лічыліся толькі парты, да якіх падлучаныя прылады, падобныя серверу. Маецца на ўвазе любы тып сервера, а не толькі DHCP.
Напрыклад, калі да порта падлучаны іншы світч, роўтэр ці сапраўдны DHCP-сервер, то гэты порт наладжваецца як давераны. Астатнія парты світа, да якіх падлучаныя прылады канчатковых карыстачоў або бесправадныя кропкі доступу, павінны быць наладжаны як небяспечныя. Таму любая прылада тыпу кропкі доступу, да якога падлучаюцца карыстачы, падлучаецца да світаку праз untrusted-порт.
Калі кампутар атакавалага пашле світку паведамлення тыпу O і А, яны будуць заблакаваныя, гэта значыць такі трафік не зможа мінуць праз ненадзейны порт. Вось так DHCP Snooping прадухіляе разгледжаныя вышэй тыпы нападаў.
Акрамя таго, DHCP Snooping стварае табліцы прывязкі DHCP. Пасля таго, як кліент атрымае ад сервера IP-адрас, гэты адрас разам з MAC-адрасам атрымалага яго прылады будуць занесены ў табліцу DHCP Snooping. Да гэтых двух характарыстыках будзе прывязаны небяспечны порт, да якога падлучаны кліент.
Гэта дапамагае, напрыклад, прадухіліць DoS-напад. Калі кліент з дадзеным MAC-адрасам ужо атрымаў IP-адрас, то навошта яму патрабаваць новы IP-адрас? У такім выпадку любая спроба падобнай актыўнасці будзе папярэджана адразу ж пасля праверкі запісу ў табліцы.
Наступнае, што мы павінны абмеркаваць – гэта Nondefault, ці "недэфолтныя" Native VLAN. Мы неаднаразова закраналі тэму VLAN, прысвяціўшы гэтым сеткам 4 відэаўрокі. Калі вы забыліся, што гэта такое, раю перагледзець гэтыя ўрокі.
Мы ведаем, што ў свитчах Cisco па змаўчанні Native VLAN - гэта VLAN1. Існуюць напады, якія завуцца VLAN Hopping. Выкажам здагадку, што кампутар на схеме злучаны з першым світчам дэфолтнай native-сеткай VLAN1, а апошні світч злучаны з кампутарам сеткай VLAN10. Паміж світкамі арганізаваны транк.
Звычайна, калі трафік з першага кампутара паступае да світаку, той ведае, што порт, да якога падлучаны гэты кампутар, з'яўляецца часткай VLAN1. Далей гэты трафік паступае да транка паміж двума свитчамі, пры гэтым першы світч думае так: "гэты трафік паступіў з Native VLAN, таму мне не трэба забяспечваць яго тэгам", і перасылае па транку нетэгіраваны трафік, які паступае на другі світч.
Світч 2, атрымаўшы нетэгіраваны трафік, думае так: "раз гэты трафік без тэга, значыць, ён належыць сеткі VLAN1, таму я не магу паслаць яго па сетцы VLAN10". У выніку дасланы першым кампутарам трафік не можа дасягнуць другога кампутара.
У рэчаіснасці так і павінна адбывацца - трафік VLAN1 не павінен патрапіць у сетку VLAN10. Зараз давайце ўявім, што за першым кампутарам знаходзіцца атакавалы, які стварае фрэйм з тэгам VLAN10 і адсылае яго світку. Калі вы падушыце, як працуе VLAN, то ведаеце - калі тегированный трафік дасягае скрутку, той нічога не робіць з фрэймам, а проста перадае яго далей па транку. У выніку другі світч атрымае трафік з тэгам, які быў створаны атакуючым, а не першым світчам.
Гэта значыць, што вы замяняеце Native VLAN на нешта, выдатнае ад VLAN1.
Бо другі свитч не ведае, кім быў створаны тэг VLAN10, то ён проста адсылае трафік другому кампутару. Вось такім чынам адбываецца напад тыпу VLAN Hopping, калі зламыснік пранікае ў сетку, якая першапачаткова была для яго недаступная.
Для прадухілення падобных нападаў трэба ствараць Random VLAN, ці выпадковыя VLAN, напрыклад VLAN999, VLAN666, VLAN777 і т.д., якія наогул не змогуць выкарыстоўвацца зламыснікам. Пры гэтым мы пераходзім да транк-партоў світак і наладжваем іх на працу, напрыклад, з Native VLAN666. У дадзеным выпадку мы мяняем Native VLAN для транк-партоў з VLAN1 на VLAN66, гэта значыць выкарыстоўваем у якасці Native VLAN любую сетку, адрозную ад VLAN1.
Парты на абодвух баках транка трэба наладзіць на адну і тую ж VLAN, інакш мы атрымаем памылку несупадзення нумароў VLAN.
Пасля такой налады калі хакер вырашыць ажыццявіць атаку VLAN Hopping, у яго нічога не атрымаецца, таму што native VLAN1 не прыпісана ні да аднаго з транк-партоў свіцей. Вось у чым заключаецца метад абароны ад нападаў шляхам стварэння недэфолтных native VLAN.
Дзякуй, што застаяцеся з намі. Вам падабаюцца нашыя артыкулы? Жадаеце бачыць больш цікавых матэрыялаў? Падтрымайце нас аформіўшы замову або парэкамендаваўшы знаёмым, 30% зніжка для карыстальнікаў Хабра на ўнікальны аналаг entry-level сервераў, які быў прыдуманы намі для Вас: (даступныя варыянты з RAID1 і RAID10, да 24 ядраў і да 40GB DDR4).
Dell R730xd у 2 разы танней? Толькі ў нас у Нідэрландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – ад $99! Чытайце аб тым
Крыніца: habr.com