Hodiaŭ ni rigardos du gravajn temojn: DHCP Snooping kaj "ne-defaŭltaj" Denaskaj VLANoj. Antaŭ ol daŭrigi la lecionon, mi invitas vin viziti nian alian jutuban kanalon, kie vi povas spekti videon pri kiel plibonigi vian memoron. Mi rekomendas, ke vi abonu ĉi tiun kanalon, ĉar ni afiŝas tie multajn utilajn konsiletojn por mem-plibonigo.
Ĉi tiu leciono estas dediĉita al la studo de subsekcioj 1.7b kaj 1.7c de la temo ICND2. Antaŭ ol ni komenci kun DHCP Snooping, ni memoru kelkajn punktojn de antaŭaj lecionoj. Se mi ne eraras, ni eksciis pri DHCP en Tago 6 kaj Tago 24. Tie, gravaj aferoj estis diskutitaj koncerne la asignon de IP-adresoj fare de la DHCP-servilo kaj la interŝanĝo de respondaj mesaĝoj.
Tipe, kiam Fina Uzanto ensalutas en reton, ĝi sendas elsendan peton al la reto, kiu estas "aŭdita" de ĉiuj retaj aparatoj. Se ĝi estas rekte konektita al DHCP-servilo, tiam la peto iras rekte al la servilo. Se estas transmisiaj aparatoj en la reto - enkursigiloj kaj ŝaltiloj - tiam la peto al la servilo trairas ilin. Ricevinte la peton, la DHCP-servilo respondas al la uzanto, kiu sendas al li peton por akiri IP-adreson, post kio la servilo donas tian adreson al la aparato de la uzanto. Jen kiel la procezo akiri IP-adreson okazas en normalaj kondiĉoj. Laŭ la ekzemplo en la diagramo, Fina Uzanto ricevos la adreson 192.168.10.10 kaj la enirejo-adreson 192.168.10.1. Post tio, la uzanto povos aliri la Interreton per ĉi tiu enirejo aŭ komuniki kun aliaj retaj aparatoj.
Ni supozu, ke krom la vera DHCP-servilo, ekzistas fraŭda DHCP-servilo en la reto, tio estas, la atakanto simple instalas DHCP-servilon sur sia komputilo. En ĉi tiu kazo, la uzanto, enirinte en la reton, ankaŭ sendas elsendan mesaĝon, kiun la enkursigilo kaj ŝaltilo plusendos al la vera servilo.
Tamen, la fripona servilo ankaŭ "aŭskultas" la reton, kaj, ricevinte la elsendan mesaĝon, respondos al la uzanto per sia propra oferto anstataŭ la vera DHCP-servilo. Ricevinte ĝin, la uzanto donos sian konsenton, rezulte de kiu li ricevos IP-adreson de la atakanto 192.168.10.2 kaj enirejo-adreson 192.168.10.95.
La procezo de akiro de IP-adreso estas mallongigita kiel DORA kaj konsistas el 4 etapoj: Malkovro, Oferto, Peto kaj Agnosko. Kiel vi povas vidi, la atakanto donos al la aparato laŭleĝan IP-adreson kiu estas en la disponebla gamo de retaj adresoj, sed anstataŭ la vera enirejo-adreso 192.168.10.1, li "glitos" ĝin kun falsa adreso 192.168.10.95, tio estas, la adreso de sia propra komputilo.
Post ĉi tio, la tuta trafiko de finuzantoj direktita al la Interreto trapasos la komputilon de la atakanto. La atakanto redirektos ĝin plu, kaj la uzanto ne sentos neniun diferencon kun ĉi tiu metodo de komunikado, ĉar li ankoraŭ povos aliri la Interreton.
De la sama maniero, revena trafiko de la Interreto fluos al la uzanto tra la komputilo de la atakanto. Ĉi tio estas tio, kion oni kutime nomas la Man in the Middle (MiM) atako. La tuta trafiko de uzantoj trairos la komputilon de la hakisto, kiu povos legi ĉion, kion li sendas aŭ ricevas. Ĉi tio estas unu speco de atako, kiu povas okazi sur DHCP-retoj.
La dua speco de atako estas nomita Neo de Servo (DoS), aŭ "Neo de Servo". Kio okazas? La komputilo de la hakisto ne plu funkcias kiel DHCP-servilo, ĝi nun estas nur ataka aparato. Ĝi sendas Discovery-peton al la vera DHCP-servilo kaj ricevas Offermesaĝon en respondo, tiam sendas Peton al la servilo kaj ricevas IP-adreson de ĝi. La komputilo de la atakanto faras tion ĉiujn kelkajn milisekundojn, ĉiufoje ricevante novan IP-adreson.
Depende de la agordoj, vera DHCP-servilo havas aron da centoj aŭ plurcent vakaj IP-adresoj. La komputilo de la hakisto ricevos IP-adresojn .1, .2, .3, kaj tiel plu ĝis la aro de adresoj estas tute elĉerpita. Post tio, la DHCP-servilo ne povos provizi IP-adresojn al novaj klientoj en la reto. Se nova uzanto eniras la reton, li ne povos akiri senpagan IP-adreson. Jen la punkto de DoS-atako sur DHCP-servilo: malhelpi ĝin elsendi IP-adresojn al novaj uzantoj.
Por kontraŭbatali tiajn atakojn, la koncepto de DHCP Snooping estas uzata. Ĉi tio estas OSI-tavola XNUMX-funkcio, kiu funkcias kiel ACL kaj funkcias nur ĉe ŝaltiloj. Por kompreni DHCP Snooping, vi devas konsideri du konceptojn: fidindajn havenojn de Fidinda ŝaltilo kaj nefidindajn Nefidindajn havenojn por aliaj retaj aparatoj.
Fidindaj havenoj permesas trapasi ajnan specon de DHCP-mesaĝo. Nefidindaj havenoj estas havenoj al kiuj klientoj estas konektitaj, kaj DHCP Snooping faras ĝin tiel ke ĉiuj DHCP-mesaĝoj venantaj de tiuj havenoj estos forĵetitaj.
Se ni memoras la DORA-procezon, mesaĝo D venas de la kliento al la servilo, kaj mesaĝo O venas de la servilo al la kliento. Poste, mesaĝo R estas sendita de la kliento al la servilo, kaj la servilo sendas mesaĝon A al la kliento.
Mesaĝoj D kaj R de nesekurigitaj havenoj estas akceptitaj, kaj mesaĝoj kiel O kaj A estas forĵetitaj. Kiam la funkcio DHCP Snooping estas ebligita, ĉiuj ŝaltilpordoj estas konsiderataj nesekuraj defaŭlte. Ĉi tiu funkcio povas esti uzata kaj por la ŝaltilo kiel tutaĵo kaj por individuaj VLANoj. Ekzemple, se VLAN10 estas konektita al haveno, vi povas ebligi ĉi tiun funkcion nur por VLAN10, kaj tiam ĝia haveno fariĝos nefidinda.
Kiam vi ebligas DHCP Snooping, vi, kiel sistemadministranto, devos iri en la ŝaltilajn agordojn kaj agordi la pordojn tiel, ke nur la pordoj, al kiuj aparatoj similaj al la servilo estas konektitaj, estu konsiderataj nefidindaj. Ĉi tio signifas ajnan tipon de servilo, ne nur DHCP.
Ekzemple, se alia ŝaltilo, enkursigilo aŭ vera DHCP-servilo estas konektita al haveno, tiam ĉi tiu haveno estas agordita kiel fidinda. La ceteraj ŝaltilhavenoj al kiuj finuzantaj aparatoj aŭ sendrataj alirpunktoj estas konektitaj devas esti agorditaj kiel nesekuraj. Tial, ajna aparato kiel alirpunkto al kiu uzantoj estas konektitaj konektas al la ŝaltilo per nefidinda haveno.
Se la komputilo de la atakanto sendas mesaĝojn de tipo O kaj A al la ŝaltilo, ili estos blokitaj, tio estas, tia trafiko ne povos trapasi la nefiditan havenon. Jen kiel DHCP Snooping malhelpas la tipojn de atakoj diskutitaj supre.
Aldone, DHCP Snooping kreas DHCP-ligajn tabelojn. Post kiam la kliento ricevas IP-adreson de la servilo, ĉi tiu adreso, kune kun la MAC-adreso de la aparato, kiu ricevis ĝin, estos enmetitaj en la DHCP Snooping-tabelon. Ĉi tiuj du trajtoj estos asociitaj kun la nesekura haveno al kiu la kliento estas konektita.
Ĉi tio helpas, ekzemple, malhelpi DoS-atakon. Se kliento kun donita MAC-adreso jam ricevis IP-adreson, kial ĝi postulu novan IP-adreson? En ĉi tiu kazo, ajna provo ĉe tia agado estos malhelpita tuj post kontrolo de la eniro en la tabelo.
La sekva afero, kiun ni devas diskuti, estas Nedefaŭltaj, aŭ "nedefaŭltaj" Denaskaj VLANoj. Ni plurfoje tuŝis la temon de VLANoj, dediĉante 4 videolecionojn al ĉi tiuj retoj. Se vi forgesis, kio ĉi tio estas, mi konsilas al vi revizii ĉi tiujn lecionojn.
Ni scias, ke en Cisco-ŝaltiloj la defaŭlta Denaska VLAN estas VLAN1. Estas atakoj nomitaj VLAN Hopping. Ni supozu, ke la komputilo en la diagramo estas konektita al la unua ŝaltilo per la defaŭlta denaska reto VLAN1, kaj la lasta ŝaltilo estas konektita al la komputilo per la VLAN10-reto. Trunko estas establita inter la ŝaltiloj.
Tipe, kiam trafiko de la unua komputilo alvenas al la ŝaltilo, ĝi scias ke la haveno al kiu ĉi tiu komputilo estas konektita estas parto de VLAN1. Poste, ĉi tiu trafiko iras al la trunko inter la du ŝaltiloj, kaj la unua ŝaltilo pensas tiel: "ĉi tiu trafiko venis de la Denaska VLAN, do mi ne bezonas etikedi ĝin", kaj plusendas neetikeditan trafikon laŭ la trunko, kiu alvenas al la dua ŝaltilo.
Ŝaltilo 2, ricevinte neetikeditan trafikon, pensas jene: "ĉar ĉi tiu trafiko estas neetikedita, tio signifas, ke ĝi apartenas al VLAN1, do mi ne povas sendi ĝin per VLAN10." Kiel rezulto, trafiko sendita de la unua komputilo ne povas atingi la duan komputilon.
Fakte, jen kiel ĝi devus okazi - VLAN1-trafiko ne devus eniri VLAN10. Nun ni imagu, ke malantaŭ la unua komputilo estas atakanto, kiu kreas kadron kun la VLAN10-etikedo kaj sendas ĝin al la ŝaltilo. Se vi memoras kiel funkcias VLAN, tiam vi scias, ke se etikedita trafiko atingas la ŝaltilon, ĝi faras nenion kun la kadro, sed simple transdonas ĝin plu laŭ la trunko. Kiel rezulto, la dua ŝaltilo ricevos trafikon kun etikedo kiu estis kreita de la atakanto, kaj ne de la unua ŝaltilo.
Ĉi tio signifas, ke vi anstataŭigas la Denaskan VLAN per io alia ol VLAN1.
Ĉar la dua ŝaltilo ne scias kiu kreis la VLAN10-etikedon, ĝi simple sendas trafikon al la dua komputilo. Tiel okazas VLAN Hopping-atako, kiam atakanto penetras reton, kiu estis komence neatingebla por li.
Por malhelpi tiajn atakojn, vi devas krei Hazardan VLAN, aŭ hazardajn VLANojn, ekzemple VLAN999, VLAN666, VLAN777, ktp., kiuj tute ne povas esti uzataj de atakanto. Samtempe, ni iras al la trunkaj havenoj de la ŝaltiloj kaj agordas ilin por labori, ekzemple, kun Native VLAN666. En ĉi tiu kazo, ni ŝanĝas la Denaskan VLAN por trunk-havenoj de VLAN1 al VLAN66, tio estas, ni uzas ajnan reton krom VLAN1 kiel la Denaska VLAN.
La havenoj ambaŭflanke de la trunko devas esti agorditaj al la sama VLAN, alie ni ricevos eraron de miskongrua nombro de VLAN.
Post ĉi tiu aranĝo, se retpirato decidas efektivigi VLAN Hopping-atakon, li ne sukcesos, ĉar denaska VLAN1 ne estas asignita al iu ajn el la trunkhavenoj de la ŝaltiloj. Ĉi tiu estas la metodo protekti kontraŭ atakoj kreante ne-defaŭltajn indiĝenajn VLANojn.
Dankon pro restado ĉe ni. Ĉu vi ŝatas niajn artikolojn? Ĉu vi volas vidi pli interesan enhavon? Subtenu nin farante mendon aŭ rekomendante al amikoj, 30% rabato por uzantoj de Habr sur unika analogo de enirnivelaj serviloj, kiu estis inventita de ni por vi: (havebla kun RAID1 kaj RAID10, ĝis 24 kernoj kaj ĝis 40GB DDR4).
Dell R730xd 2 fojojn pli malmultekosta? Nur ĉi tie en Nederlando! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ekde $99! Legu pri
fonto: www.habr.com