Dnes se podíváme na dvě důležitá témata: DHCP Snooping a „nevýchozí“ nativní VLAN. Než přejdeme k lekci, zvu vás k návštěvě našeho dalšího kanálu YouTube, kde se můžete podívat na video o tom, jak zlepšit svou paměť. Doporučuji se přihlásit k odběru tohoto kanálu, protože tam zveřejňujeme spoustu užitečných tipů pro sebezdokonalování.
Tato lekce je věnována studiu pododdílů 1.7b a 1.7c tématu ICND2. Než začneme s DHCP Snoopingem, připomeňme si některé body z předchozích lekcí. Pokud se nepletu, o DHCP jsme se dozvěděli v 6. a 24. den. Zde byly diskutovány důležité otázky týkající se přidělování IP adres DHCP serverem a výměny odpovídajících zpráv.
Obvykle, když se koncový uživatel přihlásí do sítě, odešle do sítě požadavek na vysílání, který „slyší“ všechna síťová zařízení. Pokud je přímo připojen k serveru DHCP, požadavek jde přímo na server. Pokud jsou v síti přenosová zařízení - směrovače a přepínače - pak požadavek na server prochází přes ně. Po obdržení požadavku server DHCP odpoví uživateli, který mu zašle požadavek na získání IP adresy, načež server vydá takovou adresu zařízení uživatele. Takto probíhá proces získání IP adresy za normálních podmínek. Podle příkladu v diagramu obdrží koncový uživatel adresu 192.168.10.10 a adresu brány 192.168.10.1. Poté bude mít uživatel přes tuto bránu přístup k internetu nebo komunikovat s jinými síťovými zařízeními.
Předpokládejme, že kromě skutečného DHCP serveru je v síti i podvodný DHCP server, tedy útočník si na svůj počítač jednoduše nainstaluje DHCP server. V tomto případě uživatel po vstupu do sítě také odešle zprávu broadcast, kterou router a přepínač předají skutečnému serveru.
Nečestný server však také „poslouchá“ síť a po obdržení zprávy vysílání odpoví uživateli vlastní nabídkou namísto skutečného serveru DHCP. Po jejím obdržení uživatel udělí souhlas, v důsledku čehož obdrží od útočníka IP adresu 192.168.10.2 a adresu brány 192.168.10.95.
Proces získání IP adresy se označuje zkratkou DORA a skládá se ze 4 fází: Discovery, Offer, Request a Acknowledgement. Jak vidíte, útočník přidělí zařízení legální IP adresu, která je v dostupném rozsahu síťových adres, ale místo skutečné adresy brány 192.168.10.1 ji „podstrčí“ s falešnou adresou 192.168.10.95, tedy adresu jeho vlastního počítače.
Poté bude veškerý provoz koncových uživatelů směrovaný na internet procházet přes počítač útočníka. Útočník jej přesměruje dále a uživatel u tohoto způsobu komunikace nepocítí žádný rozdíl, protože bude mít stále přístup k internetu.
Stejným způsobem bude zpětný provoz z internetu proudit k uživateli přes počítač útočníka. To je to, co se běžně nazývá útok Man in the Middle (MiM). Veškerý uživatelský provoz bude procházet přes počítač hackera, který bude moci číst vše, co odešle nebo přijme. Toto je jeden typ útoku, který se může odehrávat v sítích DHCP.
Druhý typ útoku se nazývá Denial of Service (DoS), neboli „odepření služby“. Co se stalo? Hackerův počítač již nefunguje jako DHCP server, nyní je pouze útočným zařízením. Odešle požadavek Discovery na skutečný server DHCP a jako odpověď obdrží zprávu Offer, poté odešle požadavek na server a obdrží od něj IP adresu. Počítač útočníka to dělá každých několik milisekund, pokaždé, když obdrží novou IP adresu.
V závislosti na nastavení má skutečný server DHCP fond stovek nebo několika stovek volných IP adres. Hackerův počítač bude dostávat adresy IP .1, .2, .3 atd., dokud nebude fond adres zcela vyčerpán. Poté nebude DHCP server schopen poskytovat IP adresy novým klientům v síti. Pokud do sítě vstoupí nový uživatel, nebude moci získat volnou IP adresu. To je smyslem DoS útoku na DHCP server: zabránit mu ve vydávání IP adres novým uživatelům.
K boji proti takovým útokům se používá koncept DHCP Snooping. Toto je funkce OSI vrstvy XNUMX, která funguje jako ACL a funguje pouze na přepínačích. Abyste pochopili DHCP Snooping, musíte zvážit dva koncepty: důvěryhodné porty důvěryhodného přepínače a nedůvěryhodné nedůvěryhodné porty pro jiná síťová zařízení.
Důvěryhodné porty umožňují průchod jakéhokoli typu zpráv DHCP. Nedůvěryhodné porty jsou porty, ke kterým jsou připojeni klienti, a DHCP Snooping umožňuje, aby všechny DHCP zprávy přicházející z těchto portů byly zahozeny.
Pokud si vybavíme proces DORA, zpráva D přichází od klienta na server a zpráva O přichází ze serveru na klienta. Dále je z klienta odeslána zpráva R na server a server odešle zprávu A klientovi.
Zprávy D a R z nezabezpečených portů jsou přijímány a zprávy jako O a A jsou zahozeny. Když je povolena funkce DHCP Snooping, jsou všechny porty přepínače ve výchozím nastavení považovány za nezabezpečené. Tuto funkci lze použít jak pro switch jako celek, tak pro jednotlivé VLAN. Pokud je například VLAN10 připojena k portu, můžete tuto funkci povolit pouze pro VLAN10 a její port se stane nedůvěryhodným.
Když povolíte DHCP Snooping, budete jako správce systému muset přejít do nastavení přepínače a nakonfigurovat porty tak, aby za nedůvěryhodné byly považovány pouze porty, ke kterým jsou připojena zařízení podobná serveru. To znamená jakýkoli typ serveru, nejen DHCP.
Pokud je například k portu připojen jiný přepínač, směrovač nebo skutečný server DHCP, je tento port nakonfigurován jako důvěryhodný. Zbývající porty přepínače, ke kterým jsou připojena zařízení koncových uživatelů nebo bezdrátové přístupové body, musí být nakonfigurovány jako nezabezpečené. Proto se jakékoli zařízení, jako je přístupový bod, ke kterému jsou uživatelé připojeni, připojuje k přepínači prostřednictvím nedůvěryhodného portu.
Pokud útočníkův počítač odešle do switche zprávy typu O a A, budou zablokovány, to znamená, že takový provoz nebude moci projít přes nedůvěryhodný port. Tímto způsobem DHCP Snooping zabraňuje výše uvedeným typům útoků.
Kromě toho DHCP Snooping vytváří tabulky vazeb DHCP. Poté, co klient obdrží IP adresu ze serveru, bude tato adresa spolu s MAC adresou zařízení, které ji obdrželo, vložena do tabulky DHCP Snooping. Tyto dvě charakteristiky budou spojeny s nezabezpečeným portem, ke kterému je klient připojen.
To pomáhá například zabránit DoS útoku. Pokud klient s danou MAC adresou již obdržel IP adresu, tak proč by měl vyžadovat novou IP adresu? V takovém případě bude jakýkoliv pokus o takovou činnost zabráněn ihned po kontrole zápisu v tabulce.
Další věc, kterou musíme prodiskutovat, jsou nevýchozí nebo „nevýchozí“ nativní VLAN. Opakovaně jsme se dotkli tématu VLAN a těmto sítím jsme věnovali 4 videolekce. Pokud jste zapomněli, co to je, doporučuji vám prostudovat si tyto lekce.
Víme, že v přepínačích Cisco je výchozí nativní VLAN VLAN1. Existují útoky zvané VLAN Hopping. Předpokládejme, že počítač ve schématu je připojen k prvnímu přepínači výchozí nativní sítí VLAN1 a poslední přepínač je připojen k počítači sítí VLAN10. Mezi přepínači je zřízen svazek.
Obvykle, když na přepínač dorazí provoz z prvního počítače, ví, že port, ke kterému je tento počítač připojen, je součástí VLAN1. Dále tento provoz směřuje do trunku mezi dvěma přepínači a první přepínač uvažuje takto: „tento provoz přišel z nativní VLAN, takže ho nepotřebuji označovat“ a přesměruje neoznačený provoz po trunku, což dorazí na druhý spínač.
Přepínač 2, který přijal neoznačený provoz, uvažuje takto: „Protože tento provoz není označen, znamená to, že patří do VLAN1, takže ho nemohu poslat přes VLAN10.“ V důsledku toho provoz odeslaný prvním počítačem nemůže dosáhnout druhého počítače.
Ve skutečnosti by se to tak mělo stát - provoz VLAN1 by se neměl dostat do VLAN10. Nyní si představme, že za prvním počítačem je útočník, který vytvoří rámec s tagem VLAN10 a pošle jej do switche. Pokud si pamatujete, jak funguje VLAN, pak víte, že pokud se označený provoz dostane k přepínači, neudělá nic s rámcem, ale jednoduše ho přenese dál po kmenu. V důsledku toho bude druhý přepínač přijímat provoz se značkou, kterou vytvořil útočník, a nikoli prvním přepínačem.
To znamená, že nahrazujete nativní VLAN něčím jiným než VLAN1.
Protože druhý přepínač neví, kdo vytvořil značku VLAN10, jednoduše odešle provoz na druhý počítač. Tak dochází k útoku VLAN Hopping, kdy útočník pronikne do sítě, která pro něj byla původně nepřístupná.
Abyste takovým útokům zabránili, musíte vytvořit Random VLAN, nebo náhodné VLANy, například VLAN999, VLAN666, VLAN777 atd., které útočník vůbec nemůže použít. Zároveň přejdeme na kmenové porty přepínačů a nakonfigurujeme je tak, aby fungovaly například s Native VLAN666. V tomto případě změníme nativní VLAN pro trunkové porty z VLAN1 na VLAN66, to znamená, že jako nativní VLAN použijeme jakoukoli jinou síť než VLAN1.
Porty na obou stranách trunku musí být nakonfigurovány na stejnou VLAN, jinak se zobrazí chyba nesouladu čísla VLAN.
Pokud se po tomto nastavení hacker rozhodne provést útok VLAN Hopping, neuspěje, protože nativní VLAN1 není přiřazena žádnému z kmenových portů přepínačů. Toto je metoda ochrany proti útokům vytvářením nevýchozích nativních sítí VLAN.
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, 30% sleva pro uživatele Habr na unikátní obdobu entry-level serverů, kterou jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2x levnější? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com