Heute werden wir uns mit zwei wichtigen Themen befassen: DHCP-Snooping und „nicht standardmäßige“ native VLANs. Bevor ich mit der Lektion fortfahre, lade ich Sie ein, unseren anderen YouTube-Kanal zu besuchen, wo Sie sich ein Video ansehen können, wie Sie Ihr Gedächtnis verbessern können. Ich empfehle Ihnen, diesen Kanal zu abonnieren, da wir dort viele nützliche Tipps zur Selbstverbesserung veröffentlichen.
Diese Lektion ist dem Studium der Unterabschnitte 1.7b und 1.7c des ICND2-Themas gewidmet. Bevor wir mit DHCP-Snooping beginnen, erinnern wir uns an einige Punkte aus früheren Lektionen. Wenn ich mich nicht irre, haben wir an Tag 6 und Tag 24 etwas über DHCP gelernt. Dort wurden wichtige Fragen zur Vergabe von IP-Adressen durch den DHCP-Server und zum Austausch entsprechender Nachrichten besprochen.
Wenn sich ein Endbenutzer bei einem Netzwerk anmeldet, sendet er normalerweise eine Broadcast-Anfrage an das Netzwerk, die von allen Netzwerkgeräten „gehört“ wird. Wenn es direkt mit einem DHCP-Server verbunden ist, geht die Anfrage direkt an den Server. Befinden sich im Netzwerk Übertragungsgeräte – Router und Switches –, erfolgt die Anfrage an den Server über diese. Nach Erhalt der Anfrage antwortet der DHCP-Server dem Benutzer, der ihm eine Anfrage zum Erhalt einer IP-Adresse sendet, woraufhin der Server eine solche Adresse an das Gerät des Benutzers sendet. So läuft der Prozess zum Erhalten einer IP-Adresse unter normalen Bedingungen ab. Gemäß dem Beispiel im Diagramm erhält der Endbenutzer die Adresse 192.168.10.10 und die Gateway-Adresse 192.168.10.1. Danach kann der Benutzer über dieses Gateway auf das Internet zugreifen oder mit anderen Netzwerkgeräten kommunizieren.
Nehmen wir an, dass es neben dem echten DHCP-Server auch einen betrügerischen DHCP-Server im Netzwerk gibt, das heißt, der Angreifer installiert einfach einen DHCP-Server auf seinem Computer. In diesem Fall sendet der Benutzer nach dem Betreten des Netzwerks auch eine Broadcast-Nachricht, die der Router und der Switch an den realen Server weiterleiten.
Der Rogue-Server „horcht“ jedoch auch auf das Netzwerk und antwortet dem Benutzer nach Erhalt der Broadcast-Nachricht mit einem eigenen Angebot anstelle des echten DHCP-Servers. Nach Erhalt gibt der Benutzer sein Einverständnis, wodurch er vom Angreifer die IP-Adresse 192.168.10.2 und die Gateway-Adresse 192.168.10.95 erhält.
Der Prozess zum Erhalten einer IP-Adresse wird als DORA abgekürzt und besteht aus vier Phasen: Entdeckung, Angebot, Anfrage und Bestätigung. Wie Sie sehen, gibt der Angreifer dem Gerät eine legale IP-Adresse, die im verfügbaren Bereich der Netzwerkadressen liegt, aber statt der echten Gateway-Adresse 4 „schiebt“ er ihr eine gefälschte Adresse 192.168.10.1 zu. das heißt, die Adresse seines eigenen Computers.
Danach wird der gesamte an das Internet gerichtete Endbenutzerverkehr über den Computer des Angreifers geleitet. Der Angreifer wird es weiter umleiten und der Benutzer wird bei dieser Kommunikationsmethode keinen Unterschied spüren, da er weiterhin auf das Internet zugreifen kann.
Auf die gleiche Weise wird der Rückverkehr aus dem Internet über den Computer des Angreifers zum Benutzer geleitet. Dies wird allgemein als Man-in-the-Middle-Angriff (MiM) bezeichnet. Der gesamte Benutzerverkehr wird über den Computer des Hackers geleitet, der alles lesen kann, was er sendet oder empfängt. Dies ist eine Art von Angriff, der auf DHCP-Netzwerken stattfinden kann.
Die zweite Art von Angriff wird Denial of Service (DoS) oder „Denial of Service“ genannt. Was geschieht? Der Computer des Hackers fungiert nicht mehr als DHCP-Server, sondern ist nur noch ein Angriffsgerät. Es sendet eine Discovery-Anfrage an den echten DHCP-Server und empfängt als Antwort eine Angebotsnachricht. Anschließend sendet es eine Anfrage an den Server und erhält von diesem eine IP-Adresse. Der Computer des Angreifers führt dies alle paar Millisekunden durch und erhält jedes Mal eine neue IP-Adresse.
Je nach Einstellung verfügt ein echter DHCP-Server über einen Pool von Hunderten oder mehreren Hundert freien IP-Adressen. Der Computer des Hackers erhält die IP-Adressen .1, .2, .3 usw., bis der Adresspool vollständig erschöpft ist. Danach kann der DHCP-Server neuen Clients im Netzwerk keine IP-Adressen mehr bereitstellen. Wenn ein neuer Benutzer das Netzwerk betritt, kann er keine kostenlose IP-Adresse erhalten. Dies ist der Zweck eines DoS-Angriffs auf einen DHCP-Server: Er soll daran gehindert werden, IP-Adressen an neue Benutzer zu vergeben.
Um solchen Angriffen entgegenzuwirken, wird das Konzept des DHCP-Snoopings genutzt. Dies ist eine OSI-Layer-XNUMX-Funktion, die wie eine ACL funktioniert und nur auf Switches funktioniert. Um DHCP-Snooping zu verstehen, müssen Sie zwei Konzepte berücksichtigen: vertrauenswürdige Ports eines vertrauenswürdigen Switches und nicht vertrauenswürdige Ports für andere Netzwerkgeräte.
Vertrauenswürdige Ports ermöglichen die Durchleitung jeder Art von DHCP-Nachricht. Nicht vertrauenswürdige Ports sind Ports, mit denen Clients verbunden sind, und DHCP-Snooping sorgt dafür, dass alle von diesen Ports kommenden DHCP-Nachrichten verworfen werden.
Wenn wir uns an den DORA-Prozess erinnern, kommt die Nachricht D vom Client zum Server und die Nachricht O vom Server zum Client. Als nächstes wird eine Nachricht R vom Client an den Server gesendet, und der Server sendet eine Nachricht A an den Client.
Nachrichten D und R von ungesicherten Ports werden akzeptiert und Nachrichten wie O und A werden verworfen. Wenn die DHCP-Snooping-Funktion aktiviert ist, gelten alle Switch-Ports standardmäßig als unsicher. Diese Funktion kann sowohl für den Switch als Ganzes als auch für einzelne VLANs genutzt werden. Wenn beispielsweise VLAN10 mit einem Port verbunden ist, können Sie diese Funktion nur für VLAN10 aktivieren, und der Port wird dann nicht mehr vertrauenswürdig.
Wenn Sie DHCP-Snooping aktivieren, müssen Sie als Systemadministrator in den Switch-Einstellungen die Ports so konfigurieren, dass nur die Ports als nicht vertrauenswürdig gelten, an denen serverähnliche Geräte angeschlossen sind. Damit ist jede Art von Server gemeint, nicht nur DHCP.
Wenn beispielsweise ein anderer Switch, Router oder echter DHCP-Server an einen Port angeschlossen ist, wird dieser Port als vertrauenswürdig konfiguriert. Die verbleibenden Switch-Ports, mit denen Endbenutzergeräte oder drahtlose Zugangspunkte verbunden sind, müssen als unsicher konfiguriert werden. Daher stellt jedes Gerät, z. B. ein Access Point, mit dem Benutzer verbunden sind, über einen nicht vertrauenswürdigen Port eine Verbindung zum Switch her.
Wenn der Computer des Angreifers Nachrichten vom Typ O und A an den Switch sendet, werden diese blockiert, d. h. dieser Datenverkehr kann den nicht vertrauenswürdigen Port nicht passieren. Auf diese Weise verhindert DHCP-Snooping die oben besprochenen Angriffsarten.
Darüber hinaus erstellt DHCP-Snooping DHCP-Bindungstabellen. Nachdem der Client eine IP-Adresse vom Server erhalten hat, wird diese Adresse zusammen mit der MAC-Adresse des Geräts, das sie empfangen hat, in die DHCP-Snooping-Tabelle eingetragen. Diese beiden Merkmale hängen mit dem unsicheren Port zusammen, mit dem der Client verbunden ist.
Dies hilft beispielsweise, einen DoS-Angriff zu verhindern. Wenn ein Client mit einer bestimmten MAC-Adresse bereits eine IP-Adresse erhalten hat, warum sollte er dann eine neue IP-Adresse benötigen? In diesem Fall wird jeder Versuch einer solchen Aktivität sofort nach Überprüfung des Eintrags in der Tabelle verhindert.
Das nächste, was wir besprechen müssen, sind nicht standardmäßige oder „nicht standardmäßige“ native VLANs. Wir haben das Thema VLANs wiederholt angesprochen und diesen Netzwerken vier Videolektionen gewidmet. Wenn Sie vergessen haben, was das ist, empfehle ich Ihnen, diese Lektionen noch einmal durchzugehen.
Wir wissen, dass bei Cisco-Switches das standardmäßige native VLAN VLAN1 ist. Es gibt Angriffe namens VLAN Hopping. Nehmen wir an, dass der Computer im Diagramm über das standardmäßige native Netzwerk VLAN1 mit dem ersten Switch verbunden ist und der letzte Switch über das VLAN10-Netzwerk mit dem Computer verbunden ist. Zwischen den Switches wird ein Trunk eingerichtet.
Wenn der Datenverkehr vom ersten Computer am Switch ankommt, weiß dieser normalerweise, dass der Port, mit dem dieser Computer verbunden ist, Teil von VLAN1 ist. Als nächstes geht dieser Datenverkehr zum Trunk zwischen den beiden Switches, und der erste Switch denkt so: „Dieser Datenverkehr kam vom nativen VLAN, also muss ich ihn nicht kennzeichnen“ und leitet nicht getaggten Datenverkehr entlang des Trunks weiter kommt am zweiten Schalter an.
Switch 2, der ungetaggten Datenverkehr empfangen hat, denkt so: „Da dieser Datenverkehr nicht getaggt ist, bedeutet das, dass er zu VLAN1 gehört, also kann ich ihn nicht über VLAN10 senden.“ Daher kann der vom ersten Computer gesendete Datenverkehr den zweiten Computer nicht erreichen.
In Wirklichkeit sollte es so passieren: VLAN1-Verkehr sollte nicht in VLAN10 gelangen. Stellen wir uns nun vor, dass sich hinter dem ersten Computer ein Angreifer befindet, der einen Frame mit dem VLAN10-Tag erstellt und diesen an den Switch sendet. Wenn Sie sich erinnern, wie VLAN funktioniert, wissen Sie, dass getaggter Datenverkehr, wenn er den Switch erreicht, nichts mit dem Frame zu tun hat, sondern ihn einfach weiter entlang des Trunks überträgt. Infolgedessen empfängt der zweite Switch Datenverkehr mit einem Tag, der vom Angreifer und nicht vom ersten Switch erstellt wurde.
Das bedeutet, dass Sie das native VLAN durch etwas anderes als VLAN1 ersetzen.
Da der zweite Switch nicht weiß, wer das VLAN10-Tag erstellt hat, sendet er den Datenverkehr einfach an den zweiten Computer. So entsteht ein VLAN-Hopping-Angriff, bei dem ein Angreifer in ein Netzwerk eindringt, das für ihn zunächst unzugänglich war.
Um solche Angriffe zu verhindern, müssen Sie Zufalls-VLANs oder zufällige VLANs erstellen, zum Beispiel VLAN999, VLAN666, VLAN777 usw., die von einem Angreifer überhaupt nicht genutzt werden können. Gleichzeitig gehen wir zu den Trunk-Ports der Switches und konfigurieren sie so, dass sie beispielsweise mit Native VLAN666 funktionieren. In diesem Fall ändern wir das native VLAN für Trunk-Ports von VLAN1 auf VLAN66, d. h. wir verwenden jedes andere Netzwerk als VLAN1 als natives VLAN.
Die Ports auf beiden Seiten des Trunks müssen für dasselbe VLAN konfiguriert sein, andernfalls erhalten wir eine Fehlermeldung über die Nichtübereinstimmung der VLAN-Nummern.
Entschließt sich ein Hacker nach diesem Setup, einen VLAN-Hopping-Angriff durchzuführen, wird er keinen Erfolg haben, da natives VLAN1 keinem der Trunk-Ports der Switches zugewiesen ist. Dies ist die Methode zum Schutz vor Angriffen durch die Erstellung nicht standardmäßiger nativer VLANs.
Vielen Dank, dass Sie bei uns geblieben sind. Gefallen Ihnen unsere Artikel? Möchten Sie weitere interessante Inhalte sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder an Freunde weiterempfehlen. 30 % Rabatt für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das von uns für Sie erfunden wurde: (verfügbar mit RAID1 und RAID10, bis zu 24 Kerne und bis zu 40 GB DDR4).
Dell R730xd 2-mal günstiger? Nur hier in den Niederlanden! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbit/s 100 TB – ab 99 $! Lesen über
Source: habr.com