Avui tractarem dos temes importants: DHCP Snooping i VLAN natives "no predeterminades". Abans de passar a la lliçó, et convido a visitar el nostre altre canal de YouTube on podràs veure un vídeo sobre com millorar la teva memòria. Us recomano que us subscriviu a aquest canal, ja que hi publiquem molts consells útils per a la millora personal.
Aquesta lliçó està dedicada a l'estudi de les subseccions 1.7b i 1.7c del tema ICND2. Abans de començar amb DHCP Snooping, recordem alguns punts de les lliçons anteriors. Si no m'equivoco, vam saber sobre DHCP el dia 6 i el dia 24. Allà es van tractar qüestions importants sobre l'assignació d'adreces IP per part del servidor DHCP i l'intercanvi dels missatges corresponents.
Normalment, quan un usuari final inicia sessió en una xarxa, envia una sol·licitud de difusió a la xarxa que "escolten" tots els dispositius de la xarxa. Si està connectat directament a un servidor DHCP, la sol·licitud es dirigeix directament al servidor. Si hi ha dispositius de transmissió a la xarxa (encaminadors i commutadors), aleshores la sol·licitud al servidor passa per ells. Un cop rebuda la sol·licitud, el servidor DHCP respon a l'usuari, que li envia una sol·licitud per obtenir una adreça IP, després de la qual el servidor emet aquesta adreça al dispositiu de l'usuari. Així és com es produeix el procés d'obtenció d'una adreça IP en condicions normals. Segons l'exemple del diagrama, l'usuari final rebrà l'adreça 192.168.10.10 i l'adreça de passarel·la 192.168.10.1. Després d'això, l'usuari podrà accedir a Internet a través d'aquesta passarel·la o comunicar-se amb altres dispositius de xarxa.
Suposem que, a més del servidor DHCP real, hi ha un servidor DHCP fraudulent a la xarxa, és a dir, l'atacant simplement instal·la un servidor DHCP al seu ordinador. En aquest cas, l'usuari, després d'haver entrat a la xarxa, també envia un missatge de difusió, que l'encaminador i el commutador reenviaran al servidor real.
Tanmateix, el servidor canalla també "escolta" la xarxa i, després d'haver rebut el missatge d'emissió, respondrà a l'usuari amb la seva pròpia oferta en lloc del servidor DHCP real. Un cop rebut, l'usuari donarà el seu consentiment, com a conseqüència del qual rebrà una adreça IP de l'atacant 192.168.10.2 i una adreça de passarel·la 192.168.10.95.
El procés d'obtenció d'una adreça IP s'abreuja com a DORA i consta de 4 etapes: Descobriment, Oferta, Sol·licitud i Reconeixement. Com podeu veure, l'atacant donarà al dispositiu una adreça IP legal que es troba dins del rang d'adreces de xarxa disponibles, però en comptes de l'adreça de passarel·la real 192.168.10.1, la "lliscarà" amb una adreça falsa 192.168.10.95, és a dir, l'adreça del seu propi ordinador.
Després d'això, tot el trànsit d'usuari final dirigit a Internet passarà per l'ordinador de l'atacant. L'atacant el redirigirà encara més i l'usuari no sentirà cap diferència amb aquest mètode de comunicació, ja que encara podrà accedir a Internet.
De la mateixa manera, el trànsit de retorn d'Internet fluirà cap a l'usuari a través de l'ordinador de l'atacant. Això és el que comunament s'anomena l'atac Man in the Middle (MiM). Tot el trànsit dels usuaris passarà per l'ordinador del pirata informàtic, que podrà llegir tot el que envia o rep. Aquest és un tipus d'atac que pot tenir lloc a les xarxes DHCP.
El segon tipus d'atac s'anomena denegació de servei (DoS) o "denegació de servei". Què passa? L'ordinador del pirata informàtic ja no actua com a servidor DHCP, ara només és un dispositiu atacant. Envia una sol·licitud de descoberta al servidor DHCP real i rep un missatge d'oferta en resposta, després envia una sol·licitud al servidor i en rep una adreça IP. L'ordinador de l'atacant ho fa cada pocs mil·lisegons, cada vegada que rep una nova adreça IP.
Depenent de la configuració, un servidor DHCP real té un conjunt de centenars o diversos centenars d'adreces IP vacants. L'ordinador del pirata informàtic rebrà adreces IP .1, .2, .3, i així successivament fins que el conjunt d'adreces s'esgoti completament. Després d'això, el servidor DHCP no podrà proporcionar adreces IP als clients nous de la xarxa. Si un nou usuari entra a la xarxa, no podrà obtenir una adreça IP gratuïta. Aquest és el punt d'un atac DoS a un servidor DHCP: evitar que emeti adreces IP a usuaris nous.
Per contrarestar aquests atacs, s'utilitza el concepte de DHCP Snooping. Aquesta és una funció OSI de capa XNUMX que actua com una ACL i només funciona amb interruptors. Per entendre el DHCP Snooping, heu de tenir en compte dos conceptes: ports de confiança d'un commutador de confiança i ports no fiables de confiança per a altres dispositius de xarxa.
Els ports de confiança permeten passar qualsevol tipus de missatge DHCP. Els ports no fiables són ports als quals estan connectats els clients, i DHCP Snooping fa que qualsevol missatge DHCP provinent d'aquests ports es descarti.
Si recordem el procés DORA, el missatge D ve del client al servidor i el missatge O ve del servidor al client. A continuació, s'envia un missatge R del client al servidor, i el servidor envia un missatge A al client.
S'accepten missatges D i R de ports no segurs i es descarten missatges com O i A. Quan la funció DHCP Snooping està habilitada, tots els ports de commutació es consideren no segurs de manera predeterminada. Aquesta funció es pot utilitzar tant per al commutador en conjunt com per a VLAN individuals. Per exemple, si la VLAN10 està connectada a un port, podeu habilitar aquesta funció només per a la VLAN10 i, aleshores, el seu port no serà de confiança.
Quan activeu DHCP Snooping, vosaltres, com a administrador del sistema, haureu d'anar a la configuració de l'interruptor i configurar els ports de manera que només els ports als quals estan connectats dispositius similars al servidor es considerin no fiables. Això vol dir qualsevol tipus de servidor, no només DHCP.
Per exemple, si un altre commutador, encaminador o servidor DHCP real està connectat a un port, aquest port es configura com a de confiança. Els ports de commutació restants als quals estan connectats els dispositius d'usuari final o els punts d'accés sense fil s'han de configurar com a insegurs. Per tant, qualsevol dispositiu, com ara un punt d'accés al qual estan connectats els usuaris, es connecta al commutador mitjançant un port no fiable.
Si l'ordinador de l'atacant envia missatges de tipus O i A al commutador, es bloquejaran, és a dir, aquest trànsit no podrà passar pel port no fiable. Així és com DHCP Snooping evita els tipus d'atacs comentats anteriorment.
A més, DHCP Snooping crea taules d'enllaç DHCP. Després que el client rebi una adreça IP del servidor, aquesta adreça, juntament amb l'adreça MAC del dispositiu que l'ha rebut, s'introduirà a la taula DHCP Snooping. Aquestes dues característiques estaran associades amb el port insegur al qual està connectat el client.
Això ajuda, per exemple, a prevenir un atac DoS. Si un client amb una adreça MAC determinada ja ha rebut una adreça IP, per què hauria de requerir una adreça IP nova? En aquest cas, qualsevol intent d'aquesta activitat s'impedirà immediatament després de comprovar l'entrada a la taula.
El següent que hem de parlar són les VLAN natives no predeterminades o "no predeterminades". Hem tocat repetidament el tema de les VLAN, dedicant 4 lliçons de vídeo a aquestes xarxes. Si has oblidat què és això, t'aconsello que revisis aquestes lliçons.
Sabem que als commutadors de Cisco la VLAN nativa predeterminada és VLAN1. Hi ha atacs anomenats VLAN Hopping. Suposem que l'ordinador del diagrama està connectat al primer commutador mitjançant la xarxa nativa VLAN1 predeterminada i l'últim commutador està connectat a l'ordinador mitjançant la xarxa VLAN10. S'estableix un tronc entre els interruptors.
Normalment, quan el trànsit del primer ordinador arriba a l'interruptor, sap que el port al qual està connectat aquest ordinador forma part de la VLAN1. A continuació, aquest trànsit va al tronc entre els dos commutadors, i el primer commutador pensa així: "aquest trànsit prové de la VLAN nativa, així que no cal etiquetar-lo" i reenvia el trànsit sense etiquetar al llarg del tronc, que arriba al segon canvi.
L'interruptor 2, després d'haver rebut trànsit sense etiquetar, pensa així: "com que aquest trànsit no està etiquetat, vol dir que pertany a la VLAN1, de manera que no puc enviar-lo a través de la VLAN10". Com a resultat, el trànsit enviat pel primer ordinador no pot arribar al segon ordinador.
En realitat, això és com hauria de passar: el trànsit VLAN1 no hauria d'entrar a VLAN10. Ara imaginem que darrere del primer ordinador hi ha un atacant que crea un marc amb l'etiqueta VLAN10 i l'envia a l'interruptor. Si recordeu com funciona la VLAN, sabeu que si el trànsit etiquetat arriba a l'interruptor, no fa res amb el marc, sinó que simplement el transmet més al llarg del tronc. Com a resultat, el segon commutador rebrà trànsit amb una etiqueta creada per l'atacant i no pel primer commutador.
Això vol dir que estàs substituint la VLAN nativa per una altra cosa que no sigui la VLAN1.
Com que el segon commutador no sap qui va crear l'etiqueta VLAN10, simplement envia trànsit al segon ordinador. Així és com es produeix un atac de VLAN Hopping, quan un atacant penetra en una xarxa que inicialment li era inaccessible.
Per evitar aquests atacs, heu de crear VLAN aleatòries o VLAN aleatòries, per exemple VLAN999, VLAN666, VLAN777, etc., que no poden utilitzar un atacant en absolut. Al mateix temps, anem als ports troncals dels commutadors i els configurem perquè funcionin, per exemple, amb la VLAN666 nativa. En aquest cas, canviem la VLAN nativa per als ports troncals de VLAN1 a VLAN66, és a dir, utilitzem qualsevol xarxa diferent de la VLAN1 com a VLAN nativa.
Els ports d'ambdós costats del tronc s'han de configurar a la mateixa VLAN, en cas contrari rebrem un error de no coincidència de nombre de VLAN.
Després d'aquesta configuració, si un pirata informàtic decideix dur a terme un atac VLAN Hopping, no tindrà èxit, perquè la VLAN1 nativa no està assignada a cap dels ports troncals dels commutadors. Aquest és el mètode de protecció contra atacs mitjançant la creació de VLAN natives no predeterminades.
Gràcies per quedar-te amb nosaltres. T'agraden els nostres articles? Vols veure més contingut interessant? Doneu-nos suport fent una comanda o recomanant als amics, 30% de descompte per als usuaris d'Habr en un únic anàleg de servidors d'entrada, que hem inventat per a tu: (disponible amb RAID1 i RAID10, fins a 24 nuclis i fins a 40 GB DDR4).
Dell R730xd 2 vegades més barat? Només aquí als Països Baixos! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB - a partir de 99 $! Llegeix sobre
Font: www.habr.com