Σήμερα θα εξετάσουμε δύο σημαντικά θέματα: DHCP Snooping και "μη προεπιλεγμένα" Native VLAN. Πριν προχωρήσετε στο μάθημα, σας προσκαλώ να επισκεφτείτε το άλλο κανάλι μας στο YouTube όπου μπορείτε να παρακολουθήσετε ένα βίντεο για το πώς να βελτιώσετε τη μνήμη σας. Σας συνιστώ να εγγραφείτε σε αυτό το κανάλι, καθώς δημοσιεύουμε πολλές χρήσιμες συμβουλές για αυτοβελτίωση.
Αυτό το μάθημα είναι αφιερωμένο στη μελέτη των υποενοτήτων 1.7β και 1.7γ του θέματος ICND2. Πριν ξεκινήσουμε με το DHCP Snooping, ας θυμηθούμε μερικά σημεία από προηγούμενα μαθήματα. Αν δεν κάνω λάθος, μάθαμε για το DHCP στην Day 6 και Day 24. Εκεί συζητήθηκαν σημαντικά θέματα σχετικά με την εκχώρηση διευθύνσεων IP από τον διακομιστή DHCP και την ανταλλαγή των αντίστοιχων μηνυμάτων.
Συνήθως, όταν ένας Τελικός χρήστης συνδέεται σε ένα δίκτυο, στέλνει ένα αίτημα μετάδοσης στο δίκτυο που «ακούγεται» από όλες τις συσκευές δικτύου. Εάν είναι απευθείας συνδεδεμένο σε διακομιστή DHCP, τότε το αίτημα πηγαίνει απευθείας στον διακομιστή. Εάν υπάρχουν συσκευές μετάδοσης στο δίκτυο - δρομολογητές και μεταγωγείς - τότε το αίτημα στον διακομιστή περνά από αυτές. Έχοντας λάβει το αίτημα, ο διακομιστής DHCP απαντά στον χρήστη, ο οποίος του στέλνει ένα αίτημα για να αποκτήσει μια διεύθυνση IP, μετά την οποία ο διακομιστής εκδίδει μια τέτοια διεύθυνση στη συσκευή του χρήστη. Αυτός είναι ο τρόπος με τον οποίο γίνεται η διαδικασία απόκτησης μιας διεύθυνσης IP υπό κανονικές συνθήκες. Σύμφωνα με το παράδειγμα στο διάγραμμα, ο Τελικός Χρήστης θα λάβει τη διεύθυνση 192.168.10.10 και τη διεύθυνση πύλης 192.168.10.1. Μετά από αυτό, ο χρήστης θα μπορεί να έχει πρόσβαση στο Διαδίκτυο μέσω αυτής της πύλης ή να επικοινωνεί με άλλες συσκευές δικτύου.
Ας υποθέσουμε ότι εκτός από τον πραγματικό διακομιστή DHCP, υπάρχει και ένας δόλιος διακομιστής DHCP στο δίκτυο, δηλαδή ο εισβολέας απλώς εγκαθιστά έναν διακομιστή DHCP στον υπολογιστή του. Σε αυτή την περίπτωση, ο χρήστης, έχοντας εισέλθει στο δίκτυο, στέλνει επίσης ένα μήνυμα εκπομπής, το οποίο ο δρομολογητής και ο μεταγωγέας θα προωθήσουν στον πραγματικό διακομιστή.
Ωστόσο, ο απατεώνας διακομιστής "ακούει" επίσης το δίκτυο και, αφού λάβει το μήνυμα εκπομπής, θα απαντήσει στον χρήστη με τη δική του προσφορά αντί για τον πραγματικό διακομιστή DHCP. Αφού το λάβει, ο χρήστης θα δώσει τη συγκατάθεσή του, με αποτέλεσμα να λάβει μια διεύθυνση IP από τον εισβολέα 192.168.10.2 και μια διεύθυνση πύλης 192.168.10.95.
Η διαδικασία απόκτησης μιας διεύθυνσης IP συντομεύεται ως DORA και αποτελείται από 4 στάδια: Ανακάλυψη, Προσφορά, Αίτημα και Αναγνώριση. Όπως μπορείτε να δείτε, ο εισβολέας θα δώσει στη συσκευή μια νόμιμη διεύθυνση IP που βρίσκεται στο διαθέσιμο εύρος διευθύνσεων δικτύου, αλλά αντί για την πραγματική διεύθυνση πύλης 192.168.10.1, θα την «γλιστρήσει» με μια ψεύτικη διεύθυνση 192.168.10.95, δηλαδή τη διεύθυνση του δικού του υπολογιστή.
Μετά από αυτό, όλη η κίνηση του τελικού χρήστη που κατευθύνεται στο Διαδίκτυο θα περάσει από τον υπολογιστή του εισβολέα. Ο εισβολέας θα το ανακατευθύνει περαιτέρω και ο χρήστης δεν θα αισθάνεται καμία διαφορά με αυτήν τη μέθοδο επικοινωνίας, καθώς θα εξακολουθεί να έχει πρόσβαση στο Διαδίκτυο.
Με τον ίδιο τρόπο, η επιστρεφόμενη κίνηση από το Διαδίκτυο θα ρέει στον χρήστη μέσω του υπολογιστή του εισβολέα. Αυτό είναι αυτό που συνήθως ονομάζεται επίθεση Man in the Middle (MiM). Όλη η κίνηση των χρηστών θα περάσει από τον υπολογιστή του χάκερ, ο οποίος θα μπορεί να διαβάζει ό,τι στέλνει ή λαμβάνει. Αυτός είναι ένας τύπος επίθεσης που μπορεί να λάβει χώρα σε δίκτυα DHCP.
Ο δεύτερος τύπος επίθεσης ονομάζεται Denial of Service (DoS) ή «άρνηση υπηρεσίας». Τι συμβαίνει; Ο υπολογιστής του χάκερ δεν λειτουργεί πλέον ως διακομιστής DHCP, είναι πλέον απλώς μια συσκευή που επιτίθεται. Στέλνει ένα αίτημα Discovery στον πραγματικό διακομιστή DHCP και λαμβάνει ένα μήνυμα Προσφοράς ως απόκριση, στη συνέχεια στέλνει ένα αίτημα στον διακομιστή και λαμβάνει μια διεύθυνση IP από αυτόν. Ο υπολογιστής του εισβολέα το κάνει αυτό κάθε λίγα χιλιοστά του δευτερολέπτου, κάθε φορά που λαμβάνει μια νέα διεύθυνση IP.
Ανάλογα με τις ρυθμίσεις, ένας πραγματικός διακομιστής DHCP έχει μια ομάδα από εκατοντάδες ή αρκετές εκατοντάδες κενές διευθύνσεις IP. Ο υπολογιστής του χάκερ θα λάβει διευθύνσεις IP .1, .2, .3 και ούτω καθεξής έως ότου εξαντληθεί πλήρως η δεξαμενή των διευθύνσεων. Μετά από αυτό, ο διακομιστής DHCP δεν θα μπορεί να παρέχει διευθύνσεις IP σε νέους πελάτες στο δίκτυο. Εάν ένας νέος χρήστης εισέλθει στο δίκτυο, δεν θα μπορεί να αποκτήσει δωρεάν διεύθυνση IP. Αυτό είναι το σημείο μιας επίθεσης DoS σε έναν διακομιστή DHCP: για να αποτρέψει την έκδοση διευθύνσεων IP σε νέους χρήστες.
Για την αντιμετώπιση τέτοιων επιθέσεων, χρησιμοποιείται η έννοια του DHCP Snooping. Αυτή είναι μια λειτουργία επιπέδου 2 OSI που λειτουργεί σαν ACL και λειτουργεί μόνο σε διακόπτες. Για να κατανοήσετε το DHCP Snooping, πρέπει να λάβετε υπόψη δύο έννοιες: αξιόπιστες θύρες ενός αξιόπιστου μεταγωγέα και μη αξιόπιστες θύρες μη αξιόπιστες για άλλες συσκευές δικτύου.
Οι αξιόπιστες θύρες επιτρέπουν τη διέλευση οποιουδήποτε τύπου μηνύματος DHCP. Οι μη αξιόπιστες θύρες είναι θύρες στις οποίες είναι συνδεδεμένοι οι πελάτες και η παρακολούθηση DHCP καθιστά έτσι ώστε τυχόν μηνύματα DHCP που προέρχονται από αυτές τις θύρες να απορριφθούν.
Αν θυμηθούμε τη διαδικασία DORA, το μήνυμα D προέρχεται από τον πελάτη στον διακομιστή και το μήνυμα O προέρχεται από τον διακομιστή στον πελάτη. Στη συνέχεια, ένα μήνυμα R αποστέλλεται από τον πελάτη στον διακομιστή και ο διακομιστής στέλνει ένα μήνυμα Α στον πελάτη.
Τα μηνύματα D και R από μη ασφαλείς θύρες γίνονται δεκτά και μηνύματα όπως το O και το A απορρίπτονται. Όταν είναι ενεργοποιημένη η λειτουργία DHCP Snooping, όλες οι θύρες μεταγωγέα θεωρούνται μη ασφαλείς από προεπιλογή. Αυτή η λειτουργία μπορεί να χρησιμοποιηθεί τόσο για το switch στο σύνολό του όσο και για μεμονωμένα VLAN. Για παράδειγμα, εάν το VLAN10 είναι συνδεδεμένο σε μια θύρα, μπορείτε να ενεργοποιήσετε αυτήν τη δυνατότητα μόνο για το VLAN10 και, στη συνέχεια, η θύρα του θα καταστεί μη αξιόπιστη.
Όταν ενεργοποιείτε το DHCP Snooping, εσείς, ως διαχειριστής συστήματος, θα πρέπει να μεταβείτε στις ρυθμίσεις του διακόπτη και να διαμορφώσετε τις θύρες με τέτοιο τρόπο ώστε μόνο οι θύρες στις οποίες είναι συνδεδεμένες συσκευές παρόμοιες με τον διακομιστή να θεωρούνται μη αξιόπιστες. Αυτό σημαίνει οποιονδήποτε τύπο διακομιστή, όχι μόνο DHCP.
Για παράδειγμα, εάν ένας άλλος διακόπτης, δρομολογητής ή πραγματικός διακομιστής DHCP είναι συνδεδεμένος σε μια θύρα, τότε αυτή η θύρα έχει ρυθμιστεί ως αξιόπιστη. Οι υπόλοιπες θύρες μεταγωγέα στις οποίες είναι συνδεδεμένες συσκευές τελικού χρήστη ή ασύρματα σημεία πρόσβασης πρέπει να ρυθμιστούν ως μη ασφαλείς. Επομένως, οποιαδήποτε συσκευή, όπως ένα σημείο πρόσβασης στο οποίο είναι συνδεδεμένοι οι χρήστες, συνδέεται με το μεταγωγέα μέσω μιας μη αξιόπιστης θύρας.
Εάν ο υπολογιστής του εισβολέα στείλει μηνύματα τύπου Ο και Α στο μεταγωγέα, θα αποκλειστούν, δηλαδή, αυτή η κίνηση δεν θα μπορεί να περάσει από τη μη αξιόπιστη θύρα. Αυτός είναι ο τρόπος με τον οποίο το DHCP Snooping αποτρέπει τους τύπους επιθέσεων που συζητήθηκαν παραπάνω.
Επιπλέον, το DHCP Snooping δημιουργεί πίνακες δέσμευσης DHCP. Αφού ο πελάτης λάβει μια διεύθυνση IP από τον διακομιστή, αυτή η διεύθυνση, μαζί με τη διεύθυνση MAC της συσκευής που τη έλαβε, θα εισαχθεί στον πίνακα παρακολούθησης DHCP. Αυτά τα δύο χαρακτηριστικά θα συσχετιστούν με τη μη ασφαλή θύρα στην οποία είναι συνδεδεμένος ο πελάτης.
Αυτό βοηθά, για παράδειγμα, στην αποτροπή επίθεσης DoS. Εάν ένας πελάτης με μια δεδομένη διεύθυνση MAC έχει ήδη λάβει μια διεύθυνση IP, τότε γιατί να απαιτεί μια νέα διεύθυνση IP; Σε αυτήν την περίπτωση, οποιαδήποτε απόπειρα τέτοιας δραστηριότητας θα αποτραπεί αμέσως μετά τον έλεγχο της καταχώρισης στον πίνακα.
Το επόμενο πράγμα που πρέπει να συζητήσουμε είναι τα μη προεπιλεγμένα ή «μη προεπιλεγμένα» Native VLAN. Έχουμε αγγίξει επανειλημμένα το θέμα των VLAN, αφιερώνοντας 4 μαθήματα βίντεο σε αυτά τα δίκτυα. Εάν έχετε ξεχάσει τι είναι αυτό, σας συμβουλεύω να διαβάσετε αυτά τα μαθήματα.
Γνωρίζουμε ότι στους μεταγωγείς Cisco το προεπιλεγμένο Native VLAN είναι VLAN1. Υπάρχουν επιθέσεις που ονομάζονται VLAN Hopping. Ας υποθέσουμε ότι ο υπολογιστής στο διάγραμμα είναι συνδεδεμένος στον πρώτο μεταγωγέα μέσω του προεπιλεγμένου εγγενούς δικτύου VLAN1 και ο τελευταίος διακόπτης συνδέεται στον υπολογιστή μέσω του δικτύου VLAN10. Ένας κορμός δημιουργείται μεταξύ των διακοπτών.
Συνήθως, όταν η κίνηση από τον πρώτο υπολογιστή φτάνει στο μεταγωγέα, γνωρίζει ότι η θύρα στην οποία είναι συνδεδεμένος αυτός ο υπολογιστής είναι μέρος του VLAN1. Στη συνέχεια, αυτή η κίνηση πηγαίνει στον κορμό μεταξύ των δύο διακοπτών και ο πρώτος διακόπτης σκέφτεται ως εξής: "αυτή η κίνηση προήλθε από το Native VLAN, επομένως δεν χρειάζεται να την επισημάνω" και προωθεί την κυκλοφορία χωρίς ετικέτα κατά μήκος του κορμού, η οποία φτάνει στον δεύτερο διακόπτη.
Ο διακόπτης 2, έχοντας λάβει κίνηση χωρίς ετικέτα, σκέφτεται ως εξής: "εφόσον αυτή η κίνηση δεν έχει ετικέτα, σημαίνει ότι ανήκει στο VLAN1, επομένως δεν μπορώ να το στείλω μέσω VLAN10." Ως αποτέλεσμα, η κίνηση που αποστέλλεται από τον πρώτο υπολογιστή δεν μπορεί να φτάσει στον δεύτερο υπολογιστή.
Στην πραγματικότητα, έτσι θα έπρεπε να συμβαίνει - η κίνηση VLAN1 δεν πρέπει να εισέρχεται στο VLAN10. Τώρα ας φανταστούμε ότι πίσω από τον πρώτο υπολογιστή υπάρχει ένας εισβολέας που δημιουργεί ένα πλαίσιο με την ετικέτα VLAN10 και το στέλνει στον διακόπτη. Εάν θυμάστε πώς λειτουργεί το VLAN, τότε ξέρετε ότι εάν η επισημασμένη κίνηση φτάσει στο διακόπτη, δεν κάνει τίποτα με το πλαίσιο, αλλά απλώς το μεταδίδει περαιτέρω κατά μήκος του κορμού. Ως αποτέλεσμα, ο δεύτερος διακόπτης θα λαμβάνει κίνηση με μια ετικέτα που δημιουργήθηκε από τον εισβολέα και όχι από τον πρώτο διακόπτη.
Αυτό σημαίνει ότι αντικαθιστάτε το Native VLAN με κάτι διαφορετικό από το VLAN1.
Εφόσον ο δεύτερος διακόπτης δεν γνωρίζει ποιος δημιούργησε την ετικέτα VLAN10, στέλνει απλώς επισκεψιμότητα στον δεύτερο υπολογιστή. Έτσι συμβαίνει μια επίθεση VLAN Hopping, όταν ένας εισβολέας διεισδύει σε ένα δίκτυο που αρχικά ήταν απρόσιτο για αυτόν.
Για να αποτρέψετε τέτοιες επιθέσεις, πρέπει να δημιουργήσετε τυχαία VLAN ή τυχαία VLAN, για παράδειγμα VLAN999, VLAN666, VLAN777 κ.λπ., τα οποία δεν μπορούν να χρησιμοποιηθούν καθόλου από έναν εισβολέα. Ταυτόχρονα, πηγαίνουμε στις θύρες κορμού των μεταγωγέων και τις διαμορφώνουμε ώστε να λειτουργούν, για παράδειγμα, με το Native VLAN666. Σε αυτήν την περίπτωση, αλλάζουμε το Native VLAN για τις θύρες κορμού από VLAN1 σε VLAN66, δηλαδή χρησιμοποιούμε οποιοδήποτε δίκτυο εκτός από το VLAN1 ως Native VLAN.
Οι θύρες και στις δύο πλευρές του κορμού πρέπει να ρυθμιστούν στο ίδιο VLAN, διαφορετικά θα λάβουμε σφάλμα αναντιστοιχίας αριθμού VLAN.
Μετά από αυτή τη ρύθμιση, εάν ένας χάκερ αποφασίσει να πραγματοποιήσει μια επίθεση VLAN Hopping, δεν θα πετύχει, επειδή το εγγενές VLAN1 δεν έχει εκχωρηθεί σε καμία από τις θύρες κορμού των μεταγωγέων. Αυτή είναι η μέθοδος προστασίας από επιθέσεις με τη δημιουργία μη προεπιλεγμένων εγγενών VLAN.
Σας ευχαριστούμε που μείνατε μαζί μας. Σας αρέσουν τα άρθρα μας; Θέλετε να δείτε πιο ενδιαφέρον περιεχόμενο; Υποστηρίξτε μας κάνοντας μια παραγγελία ή προτείνοντας σε φίλους, Έκπτωση 30% για χρήστες Habr σε ένα μοναδικό ανάλογο διακομιστών εισαγωγικού επιπέδου, που εφευρέθηκε από εμάς για εσάς: (διατίθεται με RAID1 και RAID10, έως 24 πυρήνες και έως 40 GB DDR4).
Dell R730xd 2 φορές φθηνότερο; Μόνο εδώ στην Ολλανδία! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - από 99$! Διαβάστε σχετικά
Πηγή: www.habr.com