Heddiw, byddwn yn edrych ar ddau bwnc pwysig: DHCP Snooping a VLAN Brodorol “nad yw'n ddiofyn”. Cyn symud ymlaen i'r wers, rwy'n eich gwahodd i ymweld â'n sianel YouTube arall lle gallwch wylio fideo ar sut i wella'ch cof. Rwy'n argymell eich bod yn tanysgrifio i'r sianel hon, gan ein bod yn postio llawer o awgrymiadau defnyddiol ar gyfer hunan-wella yno.
Mae'r wers hon wedi'i neilltuo i astudio is-adrannau 1.7b ac 1.7c o'r testun ICND2. Cyn i ni ddechrau gyda DHCP Snooping, gadewch i ni gofio rhai pwyntiau o wersi blaenorol. Os nad ydw i'n camgymryd, fe wnaethon ni ddysgu am DHCP ar Ddiwrnod 6 a Diwrnod 24. Yno, trafodwyd materion pwysig ynghylch aseinio cyfeiriadau IP gan y gweinydd DHCP a chyfnewid negeseuon cyfatebol.
Yn nodweddiadol, pan fydd Defnyddiwr Terfynol yn mewngofnodi i rwydwaith, mae'n anfon cais darlledu i'r rhwydwaith sy'n cael ei “glywed” gan bob dyfais rhwydwaith. Os yw wedi'i gysylltu'n uniongyrchol â gweinydd DHCP, yna mae'r cais yn mynd yn uniongyrchol i'r gweinydd. Os oes dyfeisiau trosglwyddo ar y rhwydwaith - llwybryddion a switshis - yna mae'r cais i'r gweinydd yn mynd trwyddynt. Ar ôl derbyn y cais, mae'r gweinydd DHCP yn ymateb i'r defnyddiwr, sy'n anfon cais ato i gael cyfeiriad IP, ac ar ôl hynny mae'r gweinydd yn rhoi cyfeiriad o'r fath i ddyfais y defnyddiwr. Dyma sut mae'r broses o gael cyfeiriad IP yn digwydd o dan amodau arferol. Yn ôl yr enghraifft yn y diagram, bydd y Defnyddiwr Terfynol yn derbyn y cyfeiriad 192.168.10.10 a'r cyfeiriad porth 192.168.10.1. Ar ôl hyn, bydd y defnyddiwr yn gallu cyrchu'r Rhyngrwyd trwy'r porth hwn neu gyfathrebu â dyfeisiau rhwydwaith eraill.
Gadewch i ni dybio, yn ychwanegol at y gweinydd DHCP go iawn, bod gweinydd DHCP twyllodrus ar y rhwydwaith, hynny yw, mae'r ymosodwr yn syml yn gosod gweinydd DHCP ar ei gyfrifiadur. Yn yr achos hwn, mae'r defnyddiwr, ar ôl mynd i mewn i'r rhwydwaith, hefyd yn anfon neges ddarlledu, y bydd y llwybrydd a'r switsh yn ei anfon ymlaen at y gweinydd go iawn.
Fodd bynnag, mae'r gweinydd twyllodrus hefyd yn “gwrando” ar y rhwydwaith, ac, ar ôl derbyn y neges ddarlledu, bydd yn ymateb i'r defnyddiwr gyda'i gynnig ei hun yn lle'r gweinydd DHCP go iawn. Ar ôl ei dderbyn, bydd y defnyddiwr yn rhoi ei ganiatâd, ac o ganlyniad bydd yn derbyn cyfeiriad IP gan yr ymosodwr 192.168.10.2 a chyfeiriad porth 192.168.10.95.
Mae'r broses o gael cyfeiriad IP yn cael ei thalfyrru fel DORA ac mae'n cynnwys 4 cam: Darganfod, Cynnig, Cais a Chydnabyddiaeth. Fel y gwelwch, bydd yr ymosodwr yn rhoi cyfeiriad IP cyfreithiol i'r ddyfais sydd yn yr ystod o gyfeiriadau rhwydwaith sydd ar gael, ond yn lle'r cyfeiriad porth go iawn 192.168.10.1, bydd yn ei “lithro” gyda chyfeiriad ffug 192.168.10.95, hynny yw, cyfeiriad ei gyfrifiadur ei hun.
Ar ôl hyn, bydd yr holl draffig defnyddiwr terfynol a gyfeirir at y Rhyngrwyd yn mynd trwy gyfrifiadur yr ymosodwr. Bydd yr ymosodwr yn ei ailgyfeirio ymhellach, ac ni fydd y defnyddiwr yn teimlo unrhyw wahaniaeth gyda'r dull hwn o gyfathrebu, gan y bydd yn dal i allu cyrchu'r Rhyngrwyd.
Yn yr un modd, bydd traffig dychwelyd o'r Rhyngrwyd yn llifo i'r defnyddiwr trwy gyfrifiadur yr ymosodwr. Dyma'r hyn a elwir yn gyffredin yn ymosodiad Dyn yn y Canol (MiM). Bydd yr holl draffig defnyddwyr yn mynd trwy gyfrifiadur yr haciwr, a fydd yn gallu darllen popeth y mae'n ei anfon neu'n ei dderbyn. Dyma un math o ymosodiad a all ddigwydd ar rwydweithiau DHCP.
Yr enw ar yr ail fath o ymosodiad yw Gwadu Gwasanaeth (DoS), neu “wadu gwasanaeth.” Beth sy'n Digwydd? Nid yw cyfrifiadur yr haciwr bellach yn gweithredu fel gweinydd DHCP, dim ond dyfais ymosod ydyw bellach. Mae'n anfon cais Darganfod i'r gweinydd DHCP go iawn ac yn derbyn neges Cynnig mewn ymateb, yna'n anfon Cais i'r gweinydd ac yn derbyn cyfeiriad IP ganddo. Mae cyfrifiadur yr ymosodwr yn gwneud hyn bob ychydig milieiliadau, gan dderbyn cyfeiriad IP newydd bob tro.
Yn dibynnu ar y gosodiadau, mae gan weinydd DHCP go iawn gronfa o gannoedd neu gannoedd o gyfeiriadau IP gwag. Bydd cyfrifiadur y haciwr yn derbyn cyfeiriadau IP .1, .2, .3, ac yn y blaen nes bod y gronfa o gyfeiriadau wedi dod i ben yn llwyr. Ar ôl hyn, ni fydd y gweinydd DHCP yn gallu darparu cyfeiriadau IP i gleientiaid newydd ar y rhwydwaith. Os bydd defnyddiwr newydd yn mynd i mewn i'r rhwydwaith, ni fydd yn gallu cael cyfeiriad IP am ddim. Dyma bwynt ymosodiad DoS ar weinydd DHCP: i'w atal rhag rhoi cyfeiriadau IP i ddefnyddwyr newydd.
I atal ymosodiadau o'r fath, defnyddir y cysyniad o DHCP Snooping. Mae hon yn swyddogaeth haen 2 OSI sy'n gweithredu fel ACL ac yn gweithio ar switshis yn unig. Er mwyn deall DHCP Snooping, mae angen i chi ystyried dau gysyniad: porthladdoedd dibynadwy switsh Trusted a phorthladdoedd di-ymddiried ar gyfer dyfeisiau rhwydwaith eraill.
Mae porthladdoedd dibynadwy yn caniatáu i unrhyw fath o neges DHCP basio drwodd. Mae porthladdoedd di-ymddiried yn borthladdoedd y mae cleientiaid yn gysylltiedig â nhw, ac mae DHCP Snooping yn ei wneud fel y bydd unrhyw negeseuon DHCP sy'n dod o'r porthladdoedd hynny yn cael eu taflu.
Os ydym yn cofio'r broses DORA, daw neges D o'r cleient i'r gweinydd, a daw neges O o'r gweinydd i'r cleient. Nesaf, anfonir neges R o'r cleient i'r gweinydd, ac mae'r gweinydd yn anfon neges A at y cleient.
Derbynnir negeseuon D ac R o borthladdoedd heb eu diogelu, a chaiff negeseuon fel O ac A eu taflu. Pan fydd swyddogaeth DHCP Snooping wedi'i galluogi, ystyrir bod pob porthladd switsh yn ansicr yn ddiofyn. Gellir defnyddio'r swyddogaeth hon ar gyfer y switsh yn ei gyfanrwydd ac ar gyfer VLANs unigol. Er enghraifft, os yw VLAN10 wedi'i gysylltu â phorthladd, dim ond ar gyfer VLAN10 y gallwch chi alluogi'r nodwedd hon, ac yna ni fydd ei borthladd yn ymddiried ynddo.
Pan fyddwch chi'n galluogi DHCP Snooping, bydd yn rhaid i chi, fel gweinyddwr system, fynd i mewn i'r gosodiadau switsh a ffurfweddu'r porthladdoedd yn y fath fodd fel mai dim ond y porthladdoedd y mae dyfeisiau tebyg i'r gweinydd yn gysylltiedig â nhw sy'n cael eu hystyried yn ddi-ymddiried. Mae hyn yn golygu unrhyw fath o weinydd, nid DHCP yn unig.
Er enghraifft, os yw switsh arall, llwybrydd neu weinydd DHCP go iawn wedi'i gysylltu â phorthladd, yna mae'r porthladd hwn wedi'i ffurfweddu fel un y gellir ymddiried ynddo. Mae'n rhaid i'r pyrth switsh sy'n weddill y mae dyfeisiau defnyddiwr terfynol neu bwyntiau mynediad diwifr wedi'u cysylltu â nhw gael eu ffurfweddu fel rhai ansicr. Felly, mae unrhyw ddyfais fel pwynt mynediad y mae defnyddwyr wedi'i gysylltu ag ef yn cysylltu â'r switsh trwy borthladd nad yw'n ymddiried ynddo.
Os yw cyfrifiadur yr ymosodwr yn anfon negeseuon o fath O ac A i'r switsh, byddant yn cael eu rhwystro, hynny yw, ni fydd traffig o'r fath yn gallu mynd trwy'r porthladd di-ymddiried. Dyma sut mae DHCP Snooping yn atal y mathau o ymosodiadau a drafodwyd uchod.
Yn ogystal, mae DHCP Snooping yn creu tablau rhwymo DHCP. Ar ôl i'r cleient dderbyn cyfeiriad IP gan y gweinydd, bydd y cyfeiriad hwn, ynghyd â chyfeiriad MAC y ddyfais a'i derbyniodd, yn cael ei roi yn y tabl Snooping DHCP. Bydd y ddwy nodwedd hyn yn gysylltiedig â'r porthladd ansicr y mae'r cleient yn gysylltiedig ag ef.
Mae hyn yn helpu, er enghraifft, i atal ymosodiad DoS. Os yw cleient â chyfeiriad MAC penodol eisoes wedi derbyn cyfeiriad IP, yna pam ddylai fod angen cyfeiriad IP newydd arno? Yn yr achos hwn, bydd unrhyw ymgais ar weithgaredd o'r fath yn cael ei atal yn syth ar ôl gwirio'r cofnod yn y tabl.
Y peth nesaf y mae angen inni ei drafod yw VLANs Brodorol Nondefault, neu “ddim yn ddiofyn”. Rydym wedi cyffwrdd dro ar ôl tro ar bwnc VLANs, gan neilltuo 4 gwers fideo i'r rhwydweithiau hyn. Os ydych wedi anghofio beth yw hyn, fe'ch cynghoraf i adolygu'r gwersi hyn.
Gwyddom mai'r VLAN Brodorol diofyn yn Cisco switches yw VLAN1. Mae ymosodiadau o'r enw VLAN Hopping. Gadewch i ni dybio bod y cyfrifiadur yn y diagram wedi'i gysylltu â'r switsh cyntaf gan y rhwydwaith brodorol rhagosodedig VLAN1, ac mae'r switsh olaf wedi'i gysylltu â'r cyfrifiadur gan rwydwaith VLAN10. Sefydlir boncyff rhwng y switshis.
Yn nodweddiadol, pan fydd traffig o'r cyfrifiadur cyntaf yn cyrraedd y switsh, mae'n gwybod bod y porthladd y mae'r cyfrifiadur hwn wedi'i gysylltu ag ef yn rhan o VLAN1. Nesaf, mae'r traffig hwn yn mynd i'r gefnffordd rhwng y ddau switsh, ac mae'r switsh cyntaf yn meddwl fel hyn: “daeth y traffig hwn o'r VLAN Brodorol, felly nid oes angen i mi ei dagio,” ac ymlaen traffig heb ei dagio ar hyd y gefnffordd, sy'n yn cyrraedd yr ail switsh.
Mae Switch 2, ar ôl derbyn traffig heb ei dagio, yn meddwl fel hyn: “gan fod y traffig hwn heb ei dagio, mae'n golygu ei fod yn perthyn i VLAN1, felly ni allaf ei anfon dros VLAN10.” O ganlyniad, ni all traffig a anfonir gan y cyfrifiadur cyntaf gyrraedd yr ail gyfrifiadur.
Mewn gwirionedd, dyma sut y dylai ddigwydd - ni ddylai traffig VLAN1 fynd i mewn i VLAN10. Nawr, gadewch i ni ddychmygu bod ymosodwr y tu ôl i'r cyfrifiadur cyntaf sy'n creu ffrâm gyda'r tag VLAN10 a'i anfon i'r switsh. Os ydych chi'n cofio sut mae VLAN yn gweithio, yna rydych chi'n gwybod, os yw traffig wedi'i dagio yn cyrraedd y switsh, nid yw'n gwneud dim gyda'r ffrâm, ond yn syml yn ei drosglwyddo ymhellach ar hyd y gefnffordd. O ganlyniad, bydd yr ail switsh yn derbyn traffig gyda thag a grëwyd gan yr ymosodwr, ac nid gan y switsh cyntaf.
Mae hyn yn golygu eich bod yn amnewid y VLAN Brodorol gyda rhywbeth heblaw VLAN1.
Gan nad yw'r ail switsh yn gwybod pwy greodd y tag VLAN10, yn syml mae'n anfon traffig i'r ail gyfrifiadur. Dyma sut mae ymosodiad Hopping VLAN yn digwydd, pan fydd ymosodwr yn treiddio i rwydwaith a oedd yn anhygyrch iddo i ddechrau.
Er mwyn atal ymosodiadau o'r fath, mae angen i chi greu VLAN ar hap, neu VLANs ar hap, er enghraifft VLAN999, VLAN666, VLAN777, ac ati, na all ymosodwr eu defnyddio o gwbl. Ar yr un pryd, rydym yn mynd i brif borthladdoedd y switshis a'u ffurfweddu i weithio, er enghraifft, gyda VLAN666 Brodorol. Yn yr achos hwn, rydym yn newid y VLAN Brodorol ar gyfer prif borthladdoedd o VLAN1 i VLAN66, hynny yw, rydym yn defnyddio unrhyw rwydwaith heblaw VLAN1 fel y VLAN Brodorol.
Rhaid i'r porthladdoedd ar ddwy ochr y gefnffordd gael eu ffurfweddu i'r un VLAN, fel arall byddwn yn derbyn gwall diffyg cyfatebiaeth rhif VLAN.
Ar ôl y gosodiad hwn, os bydd haciwr yn penderfynu cynnal ymosodiad Hopping VLAN, ni fydd yn llwyddo, oherwydd nid yw VLAN1 brodorol wedi'i neilltuo i unrhyw un o brif borthladdoedd y switshis. Dyma'r dull o amddiffyn rhag ymosodiadau trwy greu VLAN brodorol nad yw'n ddiofyn.
Diolch am aros gyda ni. Ydych chi'n hoffi ein herthyglau? Eisiau gweld cynnwys mwy diddorol? Cefnogwch ni trwy osod archeb neu argymell i ffrindiau, Gostyngiad o 30% i ddefnyddwyr Habr ar analog unigryw o weinyddion lefel mynediad, a ddyfeisiwyd gennym ni ar eich cyfer chi: (ar gael gyda RAID1 a RAID10, hyd at 24 craidd a hyd at 40GB DDR4).
Dell R730xd 2 gwaith yn rhatach? Dim ond yma yn yr Iseldiroedd! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - o $99! Darllenwch am
Ffynhonnell: hab.com