I dag vil vi se på to vigtige emner: DHCP Snooping og "ikke-standard" Native VLAN'er. Inden du går videre til lektionen, inviterer jeg dig til at besøge vores anden YouTube-kanal, hvor du kan se en video om, hvordan du forbedrer din hukommelse. Jeg anbefaler, at du abonnerer på denne kanal, da vi poster en masse nyttige tips til selvforbedring der.
Denne lektion er viet til studiet af underafsnit 1.7b og 1.7c i ICND2-emnet. Inden vi går i gang med DHCP Snooping, lad os huske nogle punkter fra tidligere lektioner. Hvis jeg ikke tager fejl, lærte vi om DHCP på dag 6 og dag 24. Der blev vigtige spørgsmål diskuteret vedrørende tildeling af IP-adresser af DHCP-serveren og udveksling af tilsvarende meddelelser.
Typisk, når en slutbruger logger på et netværk, sender den en udsendelsesanmodning til netværket, som "høres" af alle netværksenheder. Hvis den er direkte forbundet til en DHCP-server, går anmodningen direkte til serveren. Hvis der er transmissionsenheder på netværket - routere og switche - så går anmodningen til serveren igennem dem. Efter at have modtaget anmodningen, svarer DHCP-serveren til brugeren, som sender ham en anmodning om at få en IP-adresse, hvorefter serveren udsteder en sådan adresse til brugerens enhed. Sådan foregår processen med at opnå en IP-adresse under normale forhold. Ifølge eksemplet i diagrammet vil slutbrugeren modtage adressen 192.168.10.10 og gateway-adressen 192.168.10.1. Herefter vil brugeren være i stand til at få adgang til internettet gennem denne gateway eller kommunikere med andre netværksenheder.
Lad os antage, at der ud over den rigtige DHCP-server er en svigagtig DHCP-server på netværket, det vil sige, at angriberen simpelthen installerer en DHCP-server på sin computer. I dette tilfælde sender brugeren, der er kommet ind på netværket, også en broadcast-besked, som routeren og switchen videresender til den rigtige server.
Den useriøse server "lytter" dog også til netværket, og efter at have modtaget broadcast-beskeden vil den svare brugeren med sit eget tilbud i stedet for den rigtige DHCP-server. Efter at have modtaget det, vil brugeren give sit samtykke, som et resultat af hvilket han vil modtage en IP-adresse fra angriberen 192.168.10.2 og en gateway-adresse 192.168.10.95.
Processen med at opnå en IP-adresse er forkortet til DORA og består af 4 trin: Opdagelse, Tilbud, Anmodning og Bekræftelse. Som du kan se, vil angriberen give enheden en lovlig IP-adresse, der er i det tilgængelige område af netværksadresser, men i stedet for den rigtige gateway-adresse 192.168.10.1, vil han "glide" den med en falsk adresse 192.168.10.95, altså adressen på sin egen computer.
Herefter vil al slutbrugertrafik dirigeret til internettet passere gennem angriberens computer. Angriberen vil omdirigere den yderligere, og brugeren vil ikke føle nogen forskel med denne kommunikationsmetode, da han stadig vil være i stand til at få adgang til internettet.
På samme måde vil returtrafik fra internettet strømme til brugeren gennem angriberens computer. Dette er det, der almindeligvis kaldes Man in the Middle (MiM) angreb. Al brugertrafik vil passere gennem hackerens computer, som vil kunne læse alt, hvad han sender eller modtager. Dette er en type angreb, der kan finde sted på DHCP-netværk.
Den anden type angreb kaldes Denial of Service (DoS) eller "denial of service". Hvad der sker? Hackerens computer fungerer ikke længere som en DHCP-server, den er nu blot en angribende enhed. Den sender en Discovery-anmodning til den rigtige DHCP-server og modtager en tilbudsmeddelelse som svar, sender derefter en anmodning til serveren og modtager en IP-adresse fra den. Angriberens computer gør dette med få millisekunder, hver gang den modtager en ny IP-adresse.
Afhængigt af indstillingerne har en rigtig DHCP-server en pulje på hundreder eller flere hundrede ledige IP-adresser. Hackerens computer vil modtage IP-adresserne .1, .2, .3 og så videre, indtil puljen af adresser er fuldstændig opbrugt. Herefter vil DHCP-serveren ikke være i stand til at levere IP-adresser til nye klienter på netværket. Hvis en ny bruger kommer ind på netværket, vil han ikke være i stand til at få en gratis IP-adresse. Dette er meningen med et DoS-angreb på en DHCP-server: at forhindre den i at udstede IP-adresser til nye brugere.
For at imødegå sådanne angreb bruges konceptet DHCP Snooping. Dette er en OSI-lag 2-funktion, der fungerer som en ACL og kun virker på switches. For at forstå DHCP Snooping skal du overveje to begreber: betroede porte på en betroet switch og upålidelige upålidelige porte til andre netværksenheder.
Pålidelige porte tillader enhver type DHCP-meddelelse at passere igennem. Ikke-pålidelige porte er porte, som klienter er forbundet til, og DHCP Snooping gør det således, at alle DHCP-meddelelser, der kommer fra disse porte, bliver kasseret.
Hvis vi husker DORA-processen, kommer besked D fra klienten til serveren, og meddelelse O kommer fra serveren til klienten. Dernæst sendes en meddelelse R fra klienten til serveren, og serveren sender en meddelelse A til klienten.
Beskeder D og R fra usikrede porte accepteres, og meddelelser som O og A kasseres. Når DHCP Snooping-funktionen er aktiveret, betragtes alle switch-porte som usikre som standard. Denne funktion kan bruges både til switchen som helhed og til individuelle VLAN'er. For eksempel, hvis VLAN10 er forbundet til en port, kan du kun aktivere denne funktion for VLAN10, og derefter vil dens port blive upålidelig.
Når du aktiverer DHCP Snooping, bliver du som systemadministrator nødt til at gå ind i switch-indstillingerne og konfigurere portene på en sådan måde, at det kun er de porte, som enheder, der ligner serveren, er tilsluttet, som ikke er tillid til. Dette betyder enhver type server, ikke kun DHCP.
For eksempel, hvis en anden switch, router eller ægte DHCP-server er forbundet til en port, så er denne port konfigureret som betroet. De resterende switch-porte, som slutbrugerenheder eller trådløse adgangspunkter er forbundet til, skal konfigureres som usikre. Derfor forbindes enhver enhed som f.eks. et adgangspunkt, som brugerne er tilsluttet, til switchen gennem en port, der ikke er tillid til.
Hvis angriberens computer sender beskeder af type O og A til switchen, vil de blive blokeret, det vil sige, at sådan trafik ikke vil kunne passere gennem den port, der ikke er tillid til. Sådan forhindrer DHCP Snooping de typer angreb, der er beskrevet ovenfor.
Derudover opretter DHCP Snooping DHCP-bindingstabeller. Efter at klienten har modtaget en IP-adresse fra serveren, vil denne adresse, sammen med MAC-adressen på den enhed, der modtog den, blive indtastet i DHCP Snooping-tabellen. Disse to karakteristika vil være forbundet med den usikre port, som klienten er forbundet til.
Dette hjælper for eksempel med at forhindre et DoS-angreb. Hvis en klient med en given MAC-adresse allerede har modtaget en IP-adresse, hvorfor skulle den så kræve en ny IP-adresse? I dette tilfælde vil ethvert forsøg på sådan aktivitet blive forhindret umiddelbart efter kontrol af indtastningen i tabellen.
Den næste ting, vi skal diskutere, er Nondefault eller "ikke-standard" Native VLAN'er. Vi har gentagne gange berørt emnet VLAN'er og afsat 4 videolektioner til disse netværk. Hvis du har glemt, hvad dette er, råder jeg dig til at gennemgå disse lektioner.
Vi ved, at i Cisco switches er standard Native VLAN VLAN1. Der er angreb kaldet VLAN Hopping. Lad os antage, at computeren i diagrammet er forbundet til den første switch via standardnetværket VLAN1, og den sidste switch er forbundet til computeren via VLAN10-netværket. Der etableres en trunk mellem sporskifterne.
Typisk, når trafik fra den første computer ankommer til switchen, ved den, at den port, som denne computer er tilsluttet, er en del af VLAN1. Dernæst går denne trafik til trunk mellem de to switches, og den første switch tænker sådan her: "denne trafik kom fra Native VLAN, så jeg behøver ikke tagge den," og videresender utagget trafik langs trunk. kommer til den anden kontakt.
Switch 2, der har modtaget umærket trafik, tænker sådan her: "da denne trafik er umærket, betyder det, at den tilhører VLAN1, så jeg kan ikke sende den over VLAN10." Som følge heraf kan trafik sendt af den første computer ikke nå den anden computer.
I virkeligheden er det sådan det skal ske - VLAN1-trafik skal ikke komme ind i VLAN10. Lad os nu forestille os, at der bag den første computer er en angriber, som opretter en ramme med VLAN10-tagget og sender det til switchen. Hvis du husker, hvordan VLAN fungerer, så ved du, at hvis tagget trafik når switchen, gør den intet med rammen, men sender den blot videre langs stammen. Som et resultat vil den anden switch modtage trafik med et tag, der blev oprettet af angriberen, og ikke af den første switch.
Det betyder, at du erstatter Native VLAN med noget andet end VLAN1.
Da den anden switch ikke ved, hvem der har oprettet VLAN10-tagget, sender den blot trafik til den anden computer. Sådan opstår et VLAN Hopping-angreb, når en angriber trænger ind i et netværk, der oprindeligt var utilgængeligt for ham.
For at forhindre sådanne angreb skal du oprette Random VLAN, eller tilfældige VLAN'er, for eksempel VLAN999, VLAN666, VLAN777 osv., som slet ikke kan bruges af en angriber. Samtidig går vi til switchenes trunkporte og konfigurerer dem til at arbejde for eksempel med Native VLAN666. I dette tilfælde ændrer vi Native VLAN for trunkporte fra VLAN1 til VLAN66, det vil sige, vi bruger ethvert andet netværk end VLAN1 som Native VLAN.
Portene på begge sider af stammen skal konfigureres til det samme VLAN, ellers vil vi modtage en VLAN nummer mismatch fejl.
Hvis en hacker efter denne opsætning beslutter sig for at udføre et VLAN Hopping-angreb, vil han ikke lykkes, fordi native VLAN1 ikke er tildelt nogen af switchenes trunkporte. Dette er metoden til at beskytte mod angreb ved at skabe ikke-standard native VLAN'er.
Tak fordi du blev hos os. Kan du lide vores artikler? Vil du se mere interessant indhold? Støt os ved at afgive en ordre eller anbefale til venner, 30% rabat til Habr-brugere på en unik analog af entry-level servere, som er opfundet af os til dig: (tilgængelig med RAID1 og RAID10, op til 24 kerner og op til 40 GB DDR4).
Dell R730xd 2 gange billigere? Kun her i Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Læse om
Kilde: www.habr.com