Днес ще разгледаме две важни теми: DHCP Snooping и „непо подразбиране“ Native VLAN. Преди да продължите към урока, ви каня да посетите другия ни канал в YouTube, където можете да гледате видеоклип за това как да подобрите паметта си. Препоръчвам ви да се абонирате за този канал, тъй като там публикуваме много полезни съвети за самоусъвършенстване.
Този урок е посветен на изучаването на подраздели 1.7b и 1.7c от темата ICND2. Преди да продължим с DHCP Snooping, нека си припомним някои точки от предишните уроци. Ако не греша, научихме за DHCP в Ден 6 и Ден 24. Бяха обсъдени важни въпроси, свързани със задаването на IP адреси от DHCP сървъра и обмена на съответните съобщения.
Обикновено, когато краен потребител влезе в мрежата, той изпраща заявка за излъчване към мрежата, която всички мрежови устройства „чуват“. Ако е директно свързан към DHCP сървър, тогава заявката отива директно към сървъра. Ако в мрежата има предавателни устройства - рутери и комутатори - тогава заявката към сървъра минава през тях. След като получи заявката, DHCP сървърът отговаря на потребителя, той му изпраща заявка за IP адрес, след което сървърът издава такъв адрес на устройството на потребителя. Ето как протича процесът на получаване на IP адрес при нормални условия. Според примера в диаграмата крайният потребител ще получи адрес 192.168.10.10 и адрес на шлюз 192.168.10.1. След това потребителят ще може да влезе в интернет през този шлюз или да комуникира с други мрежови устройства.
Да предположим, че в допълнение към истински DHCP сървър в мрежата има фалшив DHCP сървър, тоест нападателят просто инсталира DHCP сървър на своя компютър. В този случай потребителят, след като влезе в мрежата, изпраща съобщение за излъчване по същия начин, което рутерът и комутаторът ще препратят към истинския сървър.
Въпреки това, измамният сървър също „слуша“ в мрежата и след като получи излъчено съобщение, ще отговори на потребителя с предложението си вместо истинския DHCP сървър. След като го получи, потребителят ще даде своето съгласие, в резултат на което ще получи IP адрес от нападателя 192.168.10.2 и адрес на шлюз 192.168.10.95.
Процесът на получаване на IP адрес се нарича съкратено DORA и се състои от 4 етапа: Откриване, Оферта, Заявка и Потвърждение. Както можете да видите, атакуващият ще даде на устройството законен IP адрес, който е в наличния диапазон от мрежови адреси, но вместо истинския адрес на шлюза 192.168.10.1, те ще му „подхлъзнат“ фалшив адрес 192.168.10.95, който е адресът на собствения им компютър.
След това целият трафик на крайния потребител, насочен към Интернет, ще премине през компютъра на нападателя. Нападателят ще го пренасочи по-нататък и потребителят няма да усети разлика с този метод на комуникация, тъй като той все още ще има достъп до интернет.
По същия начин обратният трафик от интернет ще дойде до потребителя през компютъра на нападателя. Това е това, което обикновено се нарича атака на човек по средата (MiM). Целият потребителски трафик ще преминава през компютъра на хакера, който ще може да чете всичко, което изпраща или получава. Това е един вид атака, която може да се извърши в DHCP мрежи.
Вторият тип атака се нарича отказ от услуга (DoS). Какво се случва? Компютърът на хакера вече не действа като DHCP сървър, а просто атакуващо устройство. Той изпраща заявка за откриване до истинския DHCP сървър и получава съобщение за оферта в отговор, след което изпраща заявка до сървъра и получава IP адрес от него. Компютърът на атакуващия прави това на всеки няколко милисекунди, като всеки път получава нов IP адрес.
В зависимост от настройките, истинският DHCP сървър има набор от стотици или няколкостотин свободни IP адреси. Компютърът на хакера ще получи IP адреси .1, .2, .3 и така нататък, докато наборът от адреси бъде напълно изчерпан. След това DHCP сървърът няма да може да предоставя IP адреси на нови клиенти в мрежата. Ако нов потребител влезе в мрежата, той няма да може да получи безплатен IP адрес. Това е смисълът на DoS атака срещу DHCP сървър: да го лиши от способността му да раздава IP адреси на нови потребители.
За противодействие на подобни атаки се използва концепцията за DHCP Snooping. Това е функция на слой XNUMX на OSI, която действа като ACL и работи само на комутатори. За да разберете DHCP Snooping, трябва да имате предвид две концепции: доверени портове на комутатора Доверени и ненадеждни портове Ненадеждни за други мрежови устройства.
Доверените портове пропускат всякакъв тип DHCP съобщения. Ненадеждните портове са портове, към които са свързани клиенти, а DHCP Snooping прави така, че всички DHCP съобщения, идващи от тези портове, да бъдат премахнати.
Ако си спомним процеса DORA, тогава съобщението D идва от клиента към сървъра, а съобщението O идва от сървъра към клиента. След това съобщение R се изпраща от клиента до сървъра, а сървърът изпраща съобщение A до клиента.
Съобщения D и R от несигурни портове се приемат, а съобщения като O и A се отхвърлят. Когато DHCP Snooping е активирано, всички портове на комутатора се считат за несигурни по подразбиране. Тази функция може да се използва както за комутатора като цяло, така и за отделни VLAN. Например, ако VLAN10 е свързан към порт, можете да активирате тази функция само за VLAN10 и тогава неговият порт ще стане ненадежден.
Вие, като системен администратор, когато активирате DHCP Snooping, ще трябва да влезете в настройките на комутатора и да конфигурирате портовете по такъв начин, че само портовете, към които са свързани устройства като сървър, да се считат за ненадеждни. Това се отнася за всеки тип сървър, не само за DHCP.
Например, ако друг комутатор, рутер или истински DHCP сървър е свързан към порта, тогава този порт е конфигуриран като надежден. Останалите портове на комутатора, към които са свързани крайни потребителски устройства или безжични точки за достъп, трябва да бъдат конфигурирани като несигурни. Следователно всяко устройство тип точка за достъп, към което потребителите се свързват, се свързва към комутатора през ненадежден порт.
Ако компютърът на атакуващия изпрати съобщения като O и A до комутатора, те ще бъдат блокирани, тоест такъв трафик няма да може да премине през ненадежден порт. Ето как DHCP Snooping предотвратява типовете атаки, обсъдени по-горе.
В допълнение, DHCP подслушването създава DHCP обвързващи таблици. След като клиентът получи IP адрес от сървъра, този адрес, заедно с MAC адреса на устройството, което го е получило, ще бъдат въведени в DHCP Snooping таблицата. Тези две характеристики ще обвържат несигурния порт, към който е свързан клиентът.
Това помага например за предотвратяване на DoS атака. Ако клиент с даден MAC адрес вече е получил IP адрес, защо ще изисква нов IP адрес? В този случай всеки опит за такава дейност ще бъде предотвратен веднага след проверка на записа в таблицата.
Следващото нещо, което трябва да обсъдим, е Непо подразбиране или „непо подразбиране“ Native VLAN. Многократно сме засягали темата за VLAN, като посветихме 4 видео урока на тези мрежи. Ако сте забравили какво е, съветвам ви да прегледате тези уроци.
Знаем, че в комутаторите на Cisco собствената VLAN по подразбиране е VLAN1. Има атаки, наречени VLAN Hopping. Да предположим, че компютърът в диаграмата е свързан към първия превключвател чрез собствения VLAN1 по подразбиране, а последният превключвател е свързан към компютъра чрез VLAN10. Между превключвателите е организиран багажник.
Обикновено, когато трафикът от първия компютър идва към комутатора, той знае, че портът, към който е свързан този компютър, е част от VLAN1. След това този трафик влиза в магистралния канал между двата комутатора, докато първият комутатор мисли по следния начин: „този трафик идва от Native VLAN, така че не е необходимо да го маркирам“ и препраща немаркиран трафик през магистралния канал, който пристига в втори превключвател.
Превключвател 2, след като е получил немаркиран трафик, мисли така: "тъй като този трафик е немаркиран, това означава, че принадлежи към VLAN1, така че не мога да го изпратя през VLAN10." В резултат на това трафикът, изпратен от първия компютър, не може да достигне до втория компютър.
Всъщност това трябва да се случи така - VLAN1 трафикът не трябва да влиза в мрежата VLAN10. Сега нека си представим, че има нападател зад първия компютър, който създава рамка с VLAN10 таг и я изпраща на комутатора. Ако си спомняте как работи VLAN, тогава знаете, че ако маркираният трафик достигне комутатора, той не прави нищо с рамката, а просто го предава по-нататък по ствола. В резултат на това вторият превключвател ще получи трафик с етикет, създаден от нападателя, а не от първия превключвател.
Това означава, че заменяте Native VLAN с нещо различно от VLAN1.
Тъй като вторият превключвател не знае кой е създал маркера VLAN10, той просто изпраща трафик към втория компютър. Ето как възниква VLAN Hopping атака, когато нападателят проникне в мрежа, която първоначално е била недостъпна за него.
За да предотвратите такива атаки, трябва да създадете Random VLAN или произволни VLAN, като VLAN999, VLAN666, VLAN777 и т.н., които изобщо не могат да бъдат използвани от нападател. В същото време отиваме до магистралните портове на комутаторите и ги конфигурираме да работят, например, с Native VLAN666. В този случай ние променяме Native VLAN за trunk портове от VLAN1 на VLAN66, тоест използваме всяка мрежа, различна от VLAN1 като Native VLAN.
Портовете от двете страни на магистралата трябва да бъдат конфигурирани за една и съща VLAN, в противен случай ще получим грешка при несъответствие на номера на VLAN.
След такава настройка, ако хакер реши да извърши VLAN Hopping атака, той няма да успее, тъй като родният VLAN1 не е присвоен към нито един от trunk портовете на комутаторите. Това е методът за защита срещу атаки чрез създаване на VLAN, които не са по подразбиране.
Благодарим ви, че останахте с нас. Харесвате ли нашите статии? Искате ли да видите още интересно съдържание? Подкрепете ни, като направите поръчка или препоръчате на приятели, 30% отстъпка за потребителите на Habr за уникален аналог на сървъри от начално ниво, който беше измислен от нас за вас: (предлага се с RAID1 и RAID10, до 24 ядра и до 40GB DDR4).
Dell R730xd 2 пъти по-евтин? Само тук в Холандия! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - от $99! Прочети за
Източник: www.habr.com