Danas ćemo pokriti dvije važne teme: DHCP njuškanje i "ne-default" Native VLAN. Prije nego pređete na lekciju, pozivam vas da posjetite naš drugi YouTube kanal, gdje možete pogledati video o tome kako poboljšati svoje pamćenje. Preporučujem da se pretplatite na ovaj kanal, jer na njemu objavljujemo puno korisnih savjeta za samousavršavanje.
Ova lekcija je posvećena proučavanju pododjeljaka 1.7b i 1.7c teme ICND2. Prije nego što nastavimo s DHCP njuškanjem, prisjetimo se nekih tačaka iz prethodnih lekcija. Ako se ne varam, o DHCP-u smo naučili 6. i 24. dana. Razgovarano je o važnim pitanjima u vezi sa dodjelom IP adresa od strane DHCP servera i razmjenom odgovarajućih poruka.
Obično, kada krajnji korisnik uđe u mrežu, on mreži šalje zahtjev za emitiranje koji svi mrežni uređaji "čuju". Ako je direktno povezan sa DHCP serverom, onda zahtjev ide direktno na server. Ako u mreži postoje uređaji za prijenos - ruteri i svičevi - onda zahtjev prema serveru prolazi kroz njih. Po primitku zahtjeva, DHCP server odgovara korisniku, on mu šalje zahtjev za IP adresu, nakon čega server korisnikovom uređaju izdaje takvu adresu. Ovako se proces dobijanja IP adrese odvija u normalnim uslovima. Prema primjeru na dijagramu, Krajnji korisnik će dobiti adresu 192.168.10.10 i adresu gatewaya 192.168.10.1. Nakon toga, korisnik će moći pristupiti Internetu preko ovog gateway-a ili komunicirati s drugim mrežnim uređajima.
Pretpostavimo da pored pravog DHCP servera na mreži postoji i lažni DHCP server, odnosno da napadač jednostavno instalira DHCP server na svoj računar. U ovom slučaju, korisnik, nakon što je ušao u mrežu, na isti način šalje emitiranu poruku koju će ruter i svič proslijediti pravom serveru.
Međutim, lažni server takođe „sluša“ na mreži i, nakon što dobije emitovanu poruku, odgovoriće korisniku svojom ponudom umesto pravog DHCP servera. Nakon što ga primi, korisnik će dati svoj pristanak, uslijed čega će od napadača dobiti IP adresu 192.168.10.2 i adresu gatewaya 192.168.10.95.
Proces dobijanja IP adrese je skraćeno DORA i sastoji se od 4 faze: Otkrivanje, Ponuda, Zahtjev i Potvrda. Kao što vidite, napadač će uređaju dati legalnu IP adresu koja je u dostupnom opsegu mrežnih adresa, ali će mu umjesto prave adrese gejtveja 192.168.10.1 „ubaciti“ lažnu adresu 192.168.10.95, tj. je, adresa njihovog sopstvenog računara.
Nakon toga će sav promet krajnjeg korisnika usmjeren na Internet proći kroz računar napadača. Napadač će ga dalje preusmjeravati, a korisnik neće osjetiti nikakvu razliku s ovim načinom komunikacije, jer će i dalje moći pristupiti internetu.
Na isti način, obrnuti saobraćaj sa Interneta će doći do korisnika preko računara napadača. Ovo je ono što se obično naziva napadom Čovjek u sredini (MiM). Sav korisnički saobraćaj će proći kroz hakerov računar, koji će moći da pročita sve što pošalje ili primi. Ovo je jedna vrsta napada koji se može dogoditi na DHCP mrežama.
Drugi tip napada se zove uskraćivanje usluge (DoS). sta se desava? Hakerov računar više ne djeluje kao DHCP server, on je sada samo napadački uređaj. Šalje zahtjev za otkrivanje stvarnom DHCP serveru i kao odgovor prima poruku ponude, zatim šalje zahtjev serveru i od njega prima IP adresu. Računar napadača to radi svakih nekoliko milisekundi, svaki put dobijajući novu IP adresu.
U zavisnosti od podešavanja, pravi DHCP server ima skup od stotina ili nekoliko stotina slobodnih IP adresa. Hakerov računar će primati IP adrese .1, .2, .3 i tako dalje dok se skup adresa potpuno ne iscrpi. Nakon toga, DHCP server neće moći dati IP adrese novim klijentima na mreži. Ako novi korisnik uđe u mrežu, neće moći dobiti besplatnu IP adresu. To je poenta DoS napada na DHCP server: lišiti ga mogućnosti da daje IP adrese novim korisnicima.
Za suprotstavljanje takvim napadima koristi se koncept DHCP njuškanja. Ovo je funkcija OSI sloja XNUMX koja djeluje kao ACL i radi samo na prekidačima. Da biste razumjeli DHCP njuškanje, morate razmotriti dva koncepta: pouzdani portovi komutatora Pouzdani i nepouzdani portovi Nepouzdani za druge mrežne uređaje.
Pouzdani portovi propuštaju bilo koju vrstu DHCP poruka. Nepouzdani portovi su portovi na koje su povezani klijenti, a DHCP Snooping čini tako da će sve DHCP poruke koje dolaze sa ovih portova biti ispuštene.
Ako se prisjetimo DORA procesa, onda D poruka dolazi od klijenta do servera, a O poruka dolazi od servera do klijenta. Zatim, poruka R se šalje od klijenta do servera, a server šalje poruku A klijentu.
Poruke D i R sa nesigurnih portova se prihvataju, a poruke poput O i A se odbacuju. Kada je DHCP njuškanje omogućeno, svi portovi komutatora se podrazumevano smatraju nesigurnim. Ova funkcija se može koristiti i za prekidač u cjelini i za pojedinačne VLAN mreže. Na primjer, ako je VLAN10 povezan na port, možete omogućiti ovu funkciju samo za VLAN10 i tada će njegov port postati nepouzdan.
Vi, kao sistemski administrator, kada omogućite DHCP Snooping, morat ćete ući u postavke prekidača i konfigurirati portove na takav način da se samo portovi na koje su uređaji poput servera povezani smatraju nepouzdanim. Ovo se odnosi na bilo koju vrstu servera, ne samo na DHCP.
Na primjer, ako je drugi prekidač, ruter ili pravi DHCP server povezan na port, tada je ovaj port konfiguriran kao pouzdan. Ostatak portova komutatora na koje su povezani uređaji krajnjih korisnika ili bežične pristupne tačke moraju biti konfigurisani kao nesigurni. Stoga, svaki uređaj tipa pristupne tačke na koji se korisnici povezuju povezuje se na komutator preko nepouzdanog porta.
Ako računar napadača pošalje poruke poput O i A komutatoru, oni će biti blokirani, odnosno takav promet neće moći proći kroz nepouzdani port. Ovo je način na koji DHCP njuškanje sprečava gore navedene vrste napada.
Osim toga, DHCP njuškanje stvara DHCP vezne tabele. Nakon što klijent dobije IP adresu od servera, ova adresa, zajedno sa MAC adresom uređaja koji ju je primio, biće uneta u tabelu DHCP Snooping. Ove dvije karakteristike će vezati nesiguran port na koji je klijent povezan.
Ovo pomaže, na primjer, da se spriječi DoS napad. Ako je klijent sa datom MAC adresom već dobio IP adresu, zašto bi mu bila potrebna nova IP adresa? U tom slučaju svaki pokušaj takve aktivnosti bit će spriječen odmah nakon provjere zapisa u tabeli.
Sljedeća stvar o kojoj treba da razgovaramo je Nondfault, ili “nepodrazumevani” Native VLAN. Više puta smo se dotakli teme VLAN-a, posvetivši 4 video lekcije ovim mrežama. Ako ste zaboravili šta je to, savjetujem vam da pregledate ove lekcije.
Znamo da je u Cisco switchevima podrazumevani izvorni VLAN VLAN1. Postoje napadi koji se zovu VLAN Hopping. Pretpostavimo da je računar na dijagramu povezan sa prvim prekidačem preko podrazumevanog izvornog VLAN1, a poslednji prekidač je povezan sa računarom preko VLAN10. Trank je organiziran između prekidača.
Obično, kada saobraćaj sa prvog računara dođe na komutator, on zna da je port na koji je ovaj računar povezan deo VLAN1. Zatim ovaj promet ulazi u trunk između dva prekidača, dok prvi prekidač razmišlja ovako: "ovaj promet je došao iz Native VLAN-a, tako da ga ne trebam označavati" i prosljeđuje neoznačeni promet kroz trunk koji stiže na drugi prekidač.
Prekidač 2, nakon što je primio neoznačeni saobraćaj, razmišlja ovako: "pošto je ovaj saobraćaj neoznačen, to znači da pripada VLAN1, pa ga ne mogu poslati preko VLAN10." Kao rezultat toga, saobraćaj koji šalje prvi računar ne može doći do drugog računara.
U stvari, ovako bi trebalo da se desi - VLAN1 saobraćaj ne bi trebalo da ulazi u VLAN10 mrežu. Sada zamislimo da iza prvog računara stoji napadač, koji kreira okvir sa VLAN10 oznakom i šalje ga komutatoru. Ako se sjećate kako VLAN funkcionira, onda znate da ako označeni promet dođe do prekidača, on ne radi ništa s okvirom, već ga jednostavno prenosi dalje duž trunk-a. Kao rezultat toga, drugi prekidač će primati promet s oznakom koju je kreirao napadač, a ne prvi prekidač.
To znači da zamjenjujete Native VLAN nečim drugim osim VLAN-a1.
Pošto drugi prekidač ne zna ko je kreirao VLAN10 tag, on jednostavno šalje saobraćaj na drugi računar. Ovako nastaje VLAN Hopping napad, kada napadač prodre u mrežu koja mu je prvobitno bila nedostupna.
Da biste spriječili takve napade, morate kreirati nasumične VLAN-ove, ili nasumične VLAN-ove, kao što su VLAN999, VLAN666, VLAN777, itd., koje napadač uopće ne može koristiti. U isto vrijeme idemo na trunk portove prekidača i konfiguriramo ih da rade, na primjer, s Native VLAN666. U ovom slučaju mijenjamo Native VLAN za trunk portove iz VLAN1 u VLAN66, odnosno koristimo bilo koju mrežu osim VLAN1 kao Native VLAN.
Portovi sa obe strane trank-a moraju biti konfigurisani na isti VLAN, inače ćemo dobiti grešku nepodudaranja VLAN broja.
Nakon takve postavke, ako haker odluči da izvrši VLAN Hopping napad, neće uspjeti, jer izvorni VLAN1 nije dodijeljen nijednom od trunk portova svičeva. Ovo je metoda zaštite od napada kreiranjem nepodrazumevani izvornih VLAN-ova.
Hvala vam što ste ostali s nama. Da li vam se sviđaju naši članci? Želite li vidjeti još zanimljivijeg sadržaja? Podržite nas naručivanjem ili preporukom prijateljima, 30% popusta za korisnike Habra na jedinstveni analog početnih servera, koji smo mi osmislili za vas: (dostupno sa RAID1 i RAID10, do 24 jezgra i do 40GB DDR4).
Dell R730xd 2 puta jeftiniji? Samo ovdje u Holandiji! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - od 99 USD! Pročitajte o
izvor: www.habr.com