Oghje fighjemu dui temi impurtanti: DHCP Snooping è VLAN Native "non-default". Prima di passà à a lezione, vi invitu à visità u nostru altru canale YouTube induve pudete vede un video nantu à cumu migliurà a vostra memoria. Vi ricumandemu chì vi abbonate à stu canale, postu chì pubblichemu assai cunsiglii utili per l'automigliuramentu quì.
Sta lezzione hè cunsacrata à u studiu di i sottosezzioni 1.7b è 1.7c di u tema ICND2. Prima di principià cù DHCP Snooping, ricurdemu alcuni punti di lezioni precedenti. Se ùn sò micca sbagliatu, avemu amparatu nantu à DHCP in u ghjornu 6 è u ghjornu 24. Quì, temi impurtanti sò stati discututi in quantu à l'assignazione di l'indirizzi IP da u servitore DHCP è u scambiu di messagi currispondenti.
Di genere, quandu un utilizatore finale accede à una reta, manda una dumanda di trasmissione à a reta chì hè "sente" da tutti i dispositi di rete. S'ellu hè direttamente cunnessu à un servitore DHCP, allora a dumanda va direttamente à u servitore. Se ci sò dispositi di trasmissione in a reta - routers è switches - allora a dumanda à u servitore passa per elli. Dopu avè ricivutu a dumanda, u servitore DHCP risponde à l'utilizatore, chì li manda una dumanda per ottene un indirizzu IP, dopu chì u servitore emette un tali indirizzu à u dispusitivu di l'utilizatore. Questu hè cumu u prucessu di ottene un indirizzu IP si trova in cundizioni normali. Sicondu l'esempiu in u schema, l'Usuariu Finale riceverà l'indirizzu 192.168.10.10 è l'indirizzu di a porta 192.168.10.1. Dopu questu, l'utilizatore hà da pudè accede à l'Internet attraversu questa porta o cumunicà cù altri dispositi di rete.
Assumimu chì in più di u servitore DHCP veru, ci hè un servitore DHCP fraudulente nantu à a reta, vale à dì, l'attaccante simpricimenti installà un servitore DHCP in u so urdinatore. In questu casu, l'utilizatore, dopu avè intrutu in a reta, manda ancu un missaghju di broadcast, chì u router è u cambiamentu trasmette à u servitore veru.
In ogni casu, u servitore rogue ancu "ascolta" a reta, è, dopu avè ricevutu u missaghju di trasmissione, risponde à l'utilizatori cù a so propria offerta invece di u veru servitore DHCP. Dopu avè ricevutu, l'utilizatore darà u so accunsentu, per via di quale ellu riceverà un indirizzu IP da l'attaccante 192.168.10.2 è un indirizzu gateway 192.168.10.95.
U prucessu di ottene un indirizzu IP hè abbreviatu cum'è DORA è si compone di 4 tappe: Discovery, Offer, Request and Acknowledgement. Comu pudete vede, l'attaccante darà à u dispusitivu un indirizzu IP legale chì hè in a gamma dispunibile di l'indirizzi di a rete, ma invece di l'indirizzu di a porta d'accessu vera 192.168.10.1, ellu "slip" cù un indirizzu falsu 192.168.10.95, vale à dì l'indirizzu di u so propiu urdinatore.
Dopu questu, tuttu u trafficu di l'utilizatori finali diretti à Internet passerà per l'urdinatore di l'attaccante. L'attaccante u redirigerà in più, è l'utilizatore ùn senti micca nisuna differenza cù stu metudu di cumunicazione, postu ch'ellu hà da pudè accede à Internet.
In u listessu modu, u trafficu di ritornu da l'Internet flussu à l'utilizatore per l'urdinatore di l'attaccante. Questu hè ciò chì hè comunmente chjamatu l'attaccu Man in the Middle (MiM). Tuttu u trafficu di l'utilizatori passà per l'urdinatore di u pirate, chì puderà leghje tuttu ciò chì manda o riceve. Questu hè un tipu d'attaccu chì pò esse realizatu nantu à e rete DHCP.
U sicondu tipu d'attaccu hè chjamatu Denial of Service (DoS), o "denial of service". Chì succede ? L'urdinatore di u pirate ùn agisce più cum'è un servitore DHCP, hè avà solu un dispositivu attaccante. Invia una dumanda di Discovery à u servore DHCP veru è riceve un missaghju di Offerta in risposta, dopu manda una Richiesta à u servitore è riceve un indirizzu IP da ellu. L'urdinatore di l'attaccu face questu ogni pocu millisecondi, ogni volta riceve un novu indirizzu IP.
Sicondu i paràmetri, un veru servitore DHCP hà una piscina di centinaie o parechji centu indirizzi IP vacanti. L'urdinatore di u pirate riceverà l'indirizzi IP .1, .2, .3, è cusì finu à chì a piscina di l'indirizzi hè cumplettamente esaurita. Dopu questu, u servitore DHCP ùn serà micca capaci di furnisce l'indirizzi IP à novi clienti in a reta. Se un novu utilizatore entra in a reta, ùn puderà micca ottene un indirizzu IP gratuitu. Questu hè u puntu di un attaccu DoS à un servitore DHCP: per impediscenu di emette indirizzi IP à novi utilizatori.
Per contru à tali attacchi, u cuncettu di DHCP Snooping hè utilizatu. Questa hè una funzione OSI di capa 2 chì agisce cum'è un ACL è funziona solu nantu à i switch. Per capiscenu DHCP Snooping, avete bisognu di cunsiderà dui cuncetti: porti di fiducia di un switch Trusted è porti Untrusted di fiducia per altri dispositi di rete.
I porti di fiducia permettenu à passà ogni tipu di messagiu DHCP. I porti senza fiducia sò porti à i quali i clienti sò cunnessi, è DHCP Snooping face cusì chì qualsiasi messagi DHCP chì venenu da quelli porti seranu scartati.
Se ricurdemu u prucessu DORA, u messagiu D vene da u cliente à u servitore, è u missaghju O vene da u servitore à u cliente. Dopu, un missaghju R hè mandatu da u cliente à u servitore, è u servitore manda un missaghju A à u cliente.
I missaghji D è R da i porti micca assicurati sò accettati, è i missaghji cum'è O è A sò scartati. Quandu a funzione DHCP Snooping hè attivata, tutti i porti di switch sò cunsiderati micca sicuri per automaticamente. Questa funzione pò esse aduprata sia per u cambiamentu cum'è un sanu sia per i VLAN individuali. Per esempiu, se VLAN10 hè cunnessu à un portu, pudete attivà sta funzione solu per VLAN10, è allora u so portu diventerà micca fiduciale.
Quandu attivate DHCP Snooping, voi, cum'è amministratore di u sistema, duverete andà in i paràmetri di u cambiamentu è cunfigurà i porti in modu chì solu i porti à quale i dispositi simili à u servitore sò cunnessi sò cunsiderati micca affidati. Questu significa ogni tipu di servitore, micca solu DHCP.
Per esempiu, se un altru switch, router o un veru servitore DHCP hè cunnessu à un portu, allora stu portu hè cunfiguratu cum'è fiduciale. I porti di switch rimanenti à i quali i dispositi di l'utilizatori finali o i punti d'accessu wireless sò cunnessi devenu esse cunfigurati cum'è insicuri. Per quessa, ogni dispositivu cum'è un puntu d'accessu à quale l'utilizatori sò cunnessi si cunnetta à u switch attraversu un portu micca fiduciale.
Se l'urdinatore di l'attaccu manda messagi di u tipu O è A à u cambiamentu, seranu bluccati, vale à dì, tali trafficu ùn puderà micca passà per u portu micca fiduciale. Questu hè cumu DHCP Snooping impedisce i tipi di attacchi discututi sopra.
Inoltre, DHCP Snooping crea tabelle di associazione DHCP. Dopu chì u cliente riceve un indirizzu IP da u servitore, questu indirizzu, cù l'indirizzu MAC di u dispusitivu chì l'hà ricevutu, serà inseritu in a tavola DHCP Snooping. Sti dui carattiristichi seranu assuciati cù u portu insecure à quale u cliente hè cunnessu.
Questu aiuta, per esempiu, per prevene un attaccu DoS. Se un cliente cù un indirizzu MAC datu hà digià ricevutu un indirizzu IP, allora perchè deve esse bisognu di un novu indirizzu IP? In questu casu, ogni tentativu di tali attività serà impeditu immediatamente dopu à verificà l'entrata in a tavula.
A prossima cosa chì avemu bisognu di discutiri hè Nondefault, o VLAN Native "non-default". Avemu toccu ripetutamente u tema di VLAN, dedicà 4 video lezioni à queste rete. Se avete scurdatu di ciò chì hè questu, vi cunsigliu di riviseghjà queste lezioni.
Sapemu chì in i switch Cisco a VLAN Nativa predeterminata hè VLAN1. Ci sò attacchi chjamati VLAN Hopping. Assumimu chì l'urdinatore in u schema hè cunnessu à u primu switch da a reta nativa predeterminata VLAN1, è l'ultimu switch hè cunnessu à l'urdinatore da a reta VLAN10. Un troncu hè stabilitu trà i switches.
Di genere, quandu u trafficu da u primu urdinatore ghjunghje à u cambiamentu, sà chì u portu à quale hè cunnessu stu computer hè parti di VLAN1. In seguitu, stu trafficu va à u troncu trà i dui switches, è u primu cambiamentu pensa cusì: "stu trafficu hè vinutu da a VLAN Nativa, per quessa ùn aghju micca bisognu di taggà", è trasmette u trafficu senza tag in u troncu, chì ghjunghje à u sicondu cambiamentu.
U Switch 2, avè ricevutu trafficu senza tag, pensa cusì: "siccomu stu trafficu ùn hè micca marcatu, significa chì appartene à VLAN1, cusì ùn possu micca mandà à VLAN10". In u risultatu, u trafficu mandatu da u primu urdinatore ùn pò micca ghjunghje à u sicondu urdinatore.
In realtà, questu hè cumu si deve accade - u trafficu VLAN1 ùn deve micca entra in VLAN10. Avà imaginemu chì daretu à u primu computer ci hè un attaccu chì crea un quadru cù l'etichetta VLAN10 è u manda à u switch. Se vi ricordate di cumu funziona VLAN, allora sapete chì, se u trafficu tagged righjunghji u cambiamentu, ùn faci nunda cù u quadru, ma simpricimenti trasmette più in u troncu. In u risultatu, u sicondu cambiamentu riceverà u trafficu cù una tag chì hè stata creata da l'attaccante, è micca da u primu cambiamentu.
Questu significa chì site rimpiazzà a VLAN Nativa cù qualcosa altru ch'è VLAN1.
Siccomu u sicondu cambiamentu ùn cunnosci micca quale hà creatu u tag VLAN10, simpricimenti manda u trafficu à u sicondu computer. Questu hè cumu si verifica un attaccu VLAN Hopping, quandu un attaccante penetra in una reta chì era inizialmente inaccessibile per ellu.
Per impediscenu tali attacchi, avete bisognu di creà Random VLAN, o VLAN aleatorii, per esempiu VLAN999, VLAN666, VLAN777, etc., chì ùn ponu micca esse usatu da un attaccu in tuttu. À u listessu tempu, andemu à i porti di u troncu di i switches è cunfigurà per travaglià, per esempiu, cù Native VLAN666. In questu casu, cambiamu a VLAN Nativa per i porti di u troncu da VLAN1 à VLAN66, vale à dì, usemu qualsiasi rete diversa da VLAN1 cum'è VLAN Nativa.
I porti di i dui lati di u troncu deve esse cunfigurati à a listessa VLAN, altrimenti riceveremu un errore di mancata di u numeru di VLAN.
Dopu sta stallazione, se un pirate decide di fà un attaccu VLAN Hopping, ùn hà micca successu, perchè u VLAN1 nativu ùn hè micca assignatu à alcunu di i porti di u troncu di i switches. Questu hè u metudu di prutezzione contra l'attacchi creendu VLAN nativi non predeterminati.
Grazie per stà cun noi. Ti piace i nostri articuli ? Vulete vede più cuntenutu interessante? Supportaci facendu un ordine o ricumandendu à l'amichi, 30% di scontu per l'utilizatori di Habr nantu à un analogu unicu di servitori di livellu d'entrata, chì hè statu inventatu da noi per voi: (dispunibule cù RAID1 è RAID10, finu à 24 core è finu à 40GB DDR4).
Dell R730xd 2 volte più prezzu ? Solu quì in l'Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $ 99! Leghje circa
Source: www.habr.com