Karon atong tan-awon ang duha ka importante nga mga hilisgutan: DHCP Snooping ug "non-default" Native VLANs. Sa dili pa mopadayon sa leksyon, gidapit ko ikaw sa pagbisita sa among uban nga channel sa YouTube diin mahimo nimong tan-awon ang usa ka video kung unsaon pagpauswag sa imong memorya. Girekomenda ko nga mag-subscribe ka sa kini nga channel, tungod kay nag-post kami daghang mapuslanon nga mga tip alang sa pag-uswag sa kaugalingon didto.
Kini nga leksyon gipahinungod sa pagtuon sa mga subseksyon 1.7b ug 1.7c sa ICND2 nga hilisgutan. Sa dili pa kita magsugod sa DHCP Snooping, atong hinumduman ang pipila ka mga punto gikan sa miaging mga leksyon. Kung wala ko masayop, nahibal-an namon ang bahin sa DHCP sa Day 6 ug Day 24. Didto, ang importante nga mga isyu gihisgutan mahitungod sa pagtudlo sa mga IP address sa DHCP server ug sa pagbayloay sa katugbang nga mga mensahe.
Kasagaran, kung ang usa ka Katapusan nga Gumagamit nag-log sa usa ka network, nagpadala kini usa ka hangyo sa broadcast sa network nga "madungog" sa tanan nga mga aparato sa network. Kung kini direkta nga konektado sa usa ka DHCP server, nan ang hangyo moadto direkta sa server. Kung adunay mga transmission device sa network - mga router ug switch - nan ang hangyo sa server moagi kanila. Sa pagkadawat sa hangyo, ang DHCP server mitubag sa user, kinsa nagpadala kaniya og hangyo nga makakuha og IP address, nga human niana ang server nag-isyu sa maong adres sa device sa user. Ingon niini kung giunsa ang proseso sa pag-angkon sa usa ka IP address mahitabo ubos sa normal nga mga kondisyon. Sumala sa pananglitan sa diagram, ang Katapusan nga Gumagamit makadawat sa adres nga 192.168.10.10 ug ang adres sa gateway nga 192.168.10.1. Human niini, ang user maka-access sa Internet pinaagi niini nga ganghaan o makigkomunikar sa ubang mga device sa network.
Atong isipon nga dugang sa tinuod nga DHCP server, adunay usa ka malimbungon nga DHCP server sa network, nga mao, ang tig-atake yano nga nag-install sa usa ka DHCP server sa iyang kompyuter. Sa kini nga kaso, ang tiggamit, nga nakasulod sa network, nagpadala usab usa ka mensahe sa broadcast, diin ang router ug switch ipadayon sa tinuud nga server.
Bisan pa, ang rogue server usab "naminaw" sa network, ug, nga nakadawat sa mensahe sa sibya, motubag sa tiggamit gamit ang kaugalingon nga tanyag imbes sa tinuud nga DHCP server. Sa pagkadawat niini, ang user mohatag sa iyang pag-uyon, isip resulta nga makadawat siya og IP address gikan sa tig-atake 192.168.10.2 ug usa ka gateway address 192.168.10.95.
Ang proseso sa pagkuha sa IP address gipamubo nga DORA ug naglangkob sa 4 nga mga yugto: Discovery, Offer, Request ug Acknowledgment. Sama sa imong makita, ang tig-atake mohatag sa device og legal nga IP address nga anaa sa available nga range sa network addresses, apan imbes sa tinuod nga gateway address 192.168.10.1, iya kining βslipβ sa peke nga address 192.168.10.95, nga mao, ang adres sa iyang kaugalingong kompyuter.
Pagkahuman niini, ang tanan nga trapiko sa end-user nga gitumong sa Internet moagi sa kompyuter sa tig-atake. Ang tig-atake mag-redirect niini sa dugang, ug ang tiggamit dili makabati sa bisan unsa nga kalainan niini nga paagi sa komunikasyon, tungod kay siya makahimo gihapon sa pag-access sa Internet.
Sa samang paagi, ang pagbalik sa trapiko gikan sa Internet moagos ngadto sa tiggamit pinaagi sa kompyuter sa tig-atake. Mao kini ang kasagarang gitawag nga pag-atake sa Man in the Middle (MiM). Ang tanan nga trapiko sa tiggamit moagi sa kompyuter sa hacker, nga makabasa sa tanan nga iyang gipadala o nadawat. Kini usa ka matang sa pag-atake nga mahimong mahitabo sa mga network sa DHCP.
Ang ikaduhang matang sa pag-atake gitawag nga Denial of Service (DoS), o "denial of service." Unsay mahitabo? Ang kompyuter sa hacker wala na naglihok isip DHCP server, kini usa na lang ka pangatake nga device. Nagpadala kini og Discovery request sa tinuod nga DHCP server ug nakadawat og Offer nga mensahe isip tubag, dayon nagpadala og Request sa server ug nakadawat og IP address gikan niini. Gihimo kini sa kompyuter sa tig-atake matag pipila ka millisecond, matag higayon nga makadawat ug bag-ong IP address.
Depende sa mga setting, ang usa ka tinuod nga DHCP server adunay usa ka pool nga gatusan o pila ka gatus nga mga bakanteng IP address. Ang kompyuter sa hacker makadawat og mga IP address .1, .2, .3, ug uban pa hangtud nga ang pool sa mga adres hingpit nga mahurot. Human niini, ang DHCP server dili na makahatag og mga IP address sa bag-ong mga kliyente sa network. Kung ang usa ka bag-ong tiggamit mosulod sa network, dili siya makakuha usa ka libre nga IP address. Kini ang punto sa usa ka pag-atake sa DoS sa usa ka DHCP server: aron mapugngan kini sa pag-isyu sa mga IP address sa mga bag-ong tiggamit.
Aron masumpo ang ingon nga mga pag-atake, gigamit ang konsepto sa DHCP Snooping. Kini usa ka OSI layer XNUMX nga function nga naglihok sama sa usa ka ACL ug nagtrabaho lamang sa mga switch. Aron masabtan ang DHCP Snooping, kinahanglan nimong tagdon ang duha ka konsepto: kasaligan nga mga pantalan sa usa ka Gisaligan nga switch ug dili kasaligan nga Dili kasaligan nga mga pantalan alang sa ubang mga aparato sa network.
Ang kasaligan nga mga pantalan nagtugot sa bisan unsang matang sa mensahe sa DHCP nga moagi. Ang dili kasaligan nga mga pantalan mao ang mga pantalan nga konektado sa mga kliyente, ug ang DHCP Snooping naghimo niini aron ang bisan unsang mga mensahe sa DHCP nga gikan sa mga pantalan isalikway.
Kung atong hinumduman ang proseso sa DORA, ang mensahe D gikan sa kliyente ngadto sa server, ug ang mensahe O gikan sa server ngadto sa kliyente. Sunod, usa ka mensahe nga R ang gipadala gikan sa kliyente ngadto sa server, ug ang server nagpadala usa ka mensahe A sa kliyente.
Ang mga mensahe nga D ug R gikan sa dili luwas nga mga pantalan gidawat, ug ang mga mensahe sama sa O ug A gilabay. Kung ang DHCP Snooping function gipagana, ang tanan nga switch ports isipon nga dili luwas pinaagi sa default. Kini nga function mahimong magamit alang sa switch sa kinatibuk-an ug alang sa indibidwal nga mga VLAN. Pananglitan, kung ang VLAN10 konektado sa usa ka pantalan, mahimo nimo kini nga bahin alang lamang sa VLAN10, ug unya ang pantalan niini mahimong dili kasaligan.
Kung mahimo nimo ang DHCP Snooping, ikaw, isip usa ka tigdumala sa sistema, kinahanglan nga moadto sa mga setting sa switch ug i-configure ang mga pantalan sa paagi nga ang mga pantalan lamang kung diin ang mga aparato nga parehas sa server konektado ang giisip nga dili kasaligan. Kini nagpasabot sa bisan unsa nga matang sa server, dili lang DHCP.
Pananglitan, kung ang laing switch, router o tinuod nga DHCP server konektado sa usa ka pantalan, nan kini nga pantalan gi-configure ingon nga kasaligan. Ang nahabilin nga switch port diin ang mga end-user nga aparato o wireless access point konektado kinahanglan nga i-configure ingon dili sigurado. Busa, ang bisan unsang device sama sa access point diin ang mga tiggamit konektado magkonektar sa switch pinaagi sa dili kasaligang pantalan.
Kung ang kompyuter sa tig-atake nagpadala mga mensahe sa tipo nga O ug A sa switch, sila ma-block, nga mao, ang ingon nga trapiko dili makaagi sa dili kasaligan nga pantalan. Ingon niini kung giunsa pagpugong sa DHCP Snooping ang mga matang sa mga pag-atake nga gihisgutan sa ibabaw.
Dugang pa, ang DHCP Snooping nagmugna sa DHCP binding tables. Human makadawat ang kliyente og IP address gikan sa server, kini nga adres, uban sa MAC address sa device nga nakadawat niini, isulod sa DHCP Snooping table. Kining duha ka mga kinaiya mahilambigit sa walay kasegurohan nga pantalan diin ang kliyente konektado.
Makatabang kini, pananglitan, aron mapugngan ang pag-atake sa DoS. Kung ang usa ka kliyente nga adunay gihatag nga MAC address nakadawat na usa ka IP address, nan ngano nga kinahanglan kini usa ka bag-ong IP address? Sa kini nga kaso, ang bisan unsang pagsulay sa ingon nga kalihokan mapugngan dayon pagkahuman sa pagsusi sa entry sa lamesa.
Ang sunod nga butang nga kinahanglan natong hisgutan mao ang Nondefault, o "non-default" Native VLANs. Kanunay namong gihikap ang hilisgutan sa mga VLAN, nga naghalad sa 4 nga mga leksyon sa video sa kini nga mga network. Kung nakalimtan nimo kung unsa kini, gitambagan ko ikaw nga ribyuhon kini nga mga leksyon.
Nahibal-an namon nga sa mga switch sa Cisco ang default nga Native VLAN mao ang VLAN1. Adunay mga pag-atake nga gitawag og VLAN Hopping. Ibutang nato nga ang kompyuter sa diagram konektado sa unang switch sa default native network VLAN1, ug ang kataposang switch konektado sa computer pinaagi sa VLAN10 network. Usa ka punoan ang gitukod taliwala sa mga switch.
Kasagaran, kung ang trapiko gikan sa una nga kompyuter moabut sa switch, nahibal-an nga ang pantalan diin konektado kini nga computer bahin sa VLAN1. Sunod, kini nga trapiko moadto sa punoan taliwala sa duha ka switch, ug ang una nga switch naghunahuna nga ingon niini: "kini nga trapiko gikan sa Lumad nga VLAN, mao nga dili nako kinahanglan nga i-tag kini," ug ipasa ang wala gi-tag nga trapiko sa daplin sa punoan, nga moabot sa ikaduhang switch.
Ang Switch 2, nga nakadawat wala tagged nga trapiko, naghunahuna nga ingon niini: "Tungod kay kini nga trapiko wala ma-tag, kini nagpasabut nga kini iya sa VLAN1, mao nga dili nako ipadala kini sa VLAN10." Ingon nga resulta, ang trapiko nga gipadala sa unang computer dili makaabot sa ikaduhang computer.
Sa tinuud, kini kung giunsa kini mahitabo - ang trapiko sa VLAN1 dili kinahanglan nga mosulod sa VLAN10. Karon atong hunahunaon nga sa luyo sa unang computer adunay usa ka tig-atake nga naghimo og usa ka frame nga adunay VLAN10 tag ug gipadala kini sa switch. Kung nahinumduman nimo kung giunsa ang paglihok sa VLAN, nahibal-an nimo nga kung ang gi-tag nga trapiko makaabut sa switch, wala kini mahimo sa frame, apan ipasa kini labi pa sa punoan. Ingon usa ka sangputanan, ang ikaduha nga switch makadawat sa trapiko nga adunay usa ka tag nga gihimo sa tig-atake, ug dili sa una nga switch.
Kini nagpasabot nga imong gipulihan ang Lumad nga VLAN sa usa ka butang gawas sa VLAN1.
Tungod kay ang ikaduha nga switch wala mahibal-an kung kinsa ang naghimo sa VLAN10 nga tag, kini nagpadala lamang sa trapiko sa ikaduhang computer. Ingon niini ang usa ka pag-atake sa VLAN Hopping, kung ang usa ka tig-atake nakasulod sa usa ka network nga sa sinugdan dili ma-access kaniya.
Aron mapugngan ang ingon nga mga pag-atake, kinahanglan nimo nga maghimo Random VLAN, o random nga mga VLAN, pananglitan VLAN999, VLAN666, VLAN777, ug uban pa, nga dili magamit sa usa ka tig-atake. Sa parehas nga oras, moadto kami sa mga trunk port sa mga switch ug i-configure kini aron magtrabaho, pananglitan, sa Native VLAN666. Sa kini nga kaso, gibag-o namon ang Native VLAN alang sa mga trunk port gikan sa VLAN1 hangtod sa VLAN66, nga mao, gigamit namon ang bisan unsang network gawas sa VLAN1 ingon ang Native VLAN.
Ang mga pantalan sa duha ka kilid sa punoan kinahanglan nga ma-configure sa parehas nga VLAN, kung dili makadawat kami usa ka sayup nga mismatch sa numero sa VLAN.
Pagkahuman niini nga pag-setup, kung ang usa ka hacker modesisyon nga maghimo usa ka pag-atake sa VLAN Hopping, dili siya molampos, tungod kay ang lumad nga VLAN1 wala gi-assign sa bisan unsang mga trunk port sa mga switch. Kini ang paagi sa pagpanalipod batok sa mga pag-atake pinaagi sa paghimo og dili default nga lumad nga VLAN.
Salamat sa pagpabilin kanamo. Ganahan ka ba sa among mga artikulo? Gusto nga makakita og mas makapaikag nga sulod? Suportahi kami pinaagi sa pag-order o pagrekomenda sa mga higala, 30% nga diskwento alang sa mga tiggamit sa Habr sa usa ka talagsaon nga analogue sa mga entry-level server, nga giimbento namo alang kanimo: (anaa sa RAID1 ug RAID10, hangtod sa 24 ka mga core ug hangtod sa 40GB DDR4).
Dell R730xd 2 ka beses nga mas barato? Dinhi lang sa Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - gikan sa $99! Basaha ang mahitungod sa
Source: www.habr.com