Hoy veremos dos temas importantes: DHCP Snooping y VLAN nativas "no predeterminadas". Antes de pasar a la lección, te invito a visitar nuestro otro canal de YouTube donde podrás ver un video sobre cómo mejorar tu memoria. Te recomiendo que te suscribas a este canal, ya que allí publicamos muchos consejos útiles para la superación personal.
Esta lección está dedicada al estudio de las subsecciones 1.7b y 1.7c del tema ICND2. Antes de comenzar con DHCP Snooping, recordemos algunos puntos de lecciones anteriores. Si no me equivoco, aprendimos sobre DHCP en los días 6 y 24. Allí se discutieron cuestiones importantes sobre la asignación de direcciones IP por parte del servidor DHCP y el intercambio de mensajes correspondientes.
Normalmente, cuando un usuario final inicia sesión en una red, envía una solicitud de transmisión a la red que es "escuchada" por todos los dispositivos de la red. Si está conectado directamente a un servidor DHCP, la solicitud va directamente al servidor. Si hay dispositivos de transmisión en la red (enrutadores y conmutadores), la solicitud al servidor pasa a través de ellos. Una vez recibida la solicitud, el servidor DHCP responde al usuario, quien le envía una solicitud para obtener una dirección IP, después de lo cual el servidor envía dicha dirección al dispositivo del usuario. Así es como se produce el proceso de obtención de una dirección IP en condiciones normales. Según el ejemplo del diagrama, el usuario final recibirá la dirección 192.168.10.10 y la dirección de puerta de enlace 192.168.10.1. Después de esto, el usuario podrá acceder a Internet a través de esta puerta de enlace o comunicarse con otros dispositivos de red.
Supongamos que además del servidor DHCP real, hay un servidor DHCP fraudulento en la red, es decir, el atacante simplemente instala un servidor DHCP en su computadora. En este caso, el usuario, al ingresar a la red, también envía un mensaje de difusión, que el enrutador y el conmutador reenviarán al servidor real.
Sin embargo, el servidor fraudulento también “escucha” la red y, al recibir el mensaje de difusión, responderá al usuario con su propia oferta en lugar del servidor DHCP real. Una vez recibido, el usuario dará su consentimiento, como resultado de lo cual recibirá del atacante una dirección IP 192.168.10.2 y una dirección de puerta de enlace 192.168.10.95.
El proceso de obtención de una dirección IP se abrevia como DORA y consta de 4 etapas: Descubrimiento, Oferta, Solicitud y Acuse de recibo. Como puede ver, el atacante le dará al dispositivo una dirección IP legal que se encuentra en el rango de direcciones de red disponibles, pero en lugar de la dirección de puerta de enlace real 192.168.10.1, la "deslizará" con una dirección falsa 192.168.10.95. es decir, la dirección de su propia computadora.
Después de esto, todo el tráfico del usuario final dirigido a Internet pasará a través de la computadora del atacante. El atacante lo redirigirá aún más y el usuario no sentirá ninguna diferencia con este método de comunicación, ya que aún podrá acceder a Internet.
De la misma manera, el tráfico de retorno de Internet fluirá hacia el usuario a través de la computadora del atacante. Esto es lo que comúnmente se llama el ataque Man in the Middle (MiM). Todo el tráfico del usuario pasará por el ordenador del hacker, quien podrá leer todo lo que envíe o reciba. Este es un tipo de ataque que puede tener lugar en redes DHCP.
El segundo tipo de ataque se llama Denegación de Servicio (DoS) o “denegación de servicio”. ¿Lo que sucede? El ordenador del hacker ya no actúa como servidor DHCP, sino que ahora es sólo un dispositivo atacante. Envía una solicitud de descubrimiento al servidor DHCP real y recibe un mensaje de oferta en respuesta, luego envía una solicitud al servidor y recibe una dirección IP de él. La computadora del atacante hace esto cada pocos milisegundos y cada vez recibe una nueva dirección IP.
Dependiendo de la configuración, un servidor DHCP real tiene un grupo de cientos o varios cientos de direcciones IP vacías. La computadora del hacker recibirá las direcciones IP .1, .2, .3, y así sucesivamente hasta que el conjunto de direcciones se agote por completo. Después de esto, el servidor DHCP no podrá proporcionar direcciones IP a nuevos clientes en la red. Si un nuevo usuario ingresa a la red, no podrá obtener una dirección IP gratuita. Este es el objetivo de un ataque DoS en un servidor DHCP: evitar que emita direcciones IP a nuevos usuarios.
Para contrarrestar este tipo de ataques se utiliza el concepto de DHCP Snooping. Esta es una función OSI de capa XNUMX que actúa como una ACL y solo funciona en conmutadores. Para comprender el DHCP Snooping, debe considerar dos conceptos: puertos confiables de un conmutador confiable y puertos no confiables para otros dispositivos de red.
Los puertos confiables permiten el paso de cualquier tipo de mensaje DHCP. Los puertos que no son de confianza son puertos a los que están conectados los clientes, y DHCP Snooping hace que cualquier mensaje DHCP proveniente de esos puertos sea descartado.
Si recordamos el proceso DORA, el mensaje D viene del cliente al servidor y el mensaje O viene del servidor al cliente. A continuación, se envía un mensaje R desde el cliente al servidor y el servidor envía un mensaje A al cliente.
Se aceptan los mensajes D y R de puertos no seguros y los mensajes como O y A se descartan. Cuando la función DHCP Snooping está habilitada, todos los puertos del switch se consideran inseguros de forma predeterminada. Esta función se puede utilizar tanto para el conmutador en su conjunto como para VLAN individuales. Por ejemplo, si la VLAN10 está conectada a un puerto, puede habilitar esta función solo para la VLAN10 y luego su puerto dejará de ser de confianza.
Cuando habilita DHCP Snooping, usted, como administrador del sistema, tendrá que ingresar a la configuración del conmutador y configurar los puertos de tal manera que solo los puertos a los que están conectados dispositivos similares al servidor se consideren no confiables. Esto significa cualquier tipo de servidor, no sólo DHCP.
Por ejemplo, si otro conmutador, enrutador o servidor DHCP real está conectado a un puerto, entonces este puerto se configura como confiable. Los puertos de conmutador restantes a los que se conectan dispositivos de usuario final o puntos de acceso inalámbrico deben configurarse como inseguros. Por lo tanto, cualquier dispositivo, como un punto de acceso al que estén conectados los usuarios, se conecta al conmutador a través de un puerto que no es de confianza.
Si la computadora del atacante envía mensajes de tipo O y A al conmutador, serán bloqueados, es decir, dicho tráfico no podrá pasar a través del puerto que no es de confianza. Así es como DHCP Snooping previene los tipos de ataques comentados anteriormente.
Además, DHCP Snooping crea tablas de enlace DHCP. Después de que el cliente reciba una dirección IP del servidor, esta dirección, junto con la dirección MAC del dispositivo que la recibió, se ingresará en la tabla de DHCP Snooping. Estas dos características estarán asociadas al puerto inseguro al que esté conectado el cliente.
Esto ayuda, por ejemplo, a prevenir un ataque DoS. Si un cliente con una dirección MAC determinada ya recibió una dirección IP, ¿por qué debería requerir una nueva dirección IP? En este caso, se impedirá cualquier intento de realizar dicha actividad inmediatamente después de comprobar la entrada en la tabla.
Lo siguiente que debemos discutir son las VLAN nativas no predeterminadas o “no predeterminadas”. Hemos tocado repetidamente el tema de las VLAN, dedicando 4 lecciones en video a estas redes. Si has olvidado qué es esto, te aconsejo que revises estas lecciones.
Sabemos que en los conmutadores Cisco la VLAN nativa predeterminada es VLAN1. Existen ataques llamados VLAN Hopping. Supongamos que la computadora en el diagrama está conectada al primer conmutador mediante la red nativa predeterminada VLAN1, y el último conmutador está conectado a la computadora mediante la red VLAN10. Se establece una troncal entre los conmutadores.
Normalmente, cuando el tráfico de la primera computadora llega al conmutador, este sabe que el puerto al que está conectada esta computadora es parte de la VLAN1. Luego, este tráfico va al troncal entre los dos conmutadores, y el primer conmutador piensa así: "este tráfico proviene de la VLAN nativa, por lo que no necesito etiquetarlo" y reenvía el tráfico sin etiquetar a lo largo del troncal, que llega al segundo interruptor.
El conmutador 2, después de haber recibido tráfico sin etiquetar, piensa así: "dado que este tráfico no está etiquetado, significa que pertenece a la VLAN1, por lo que no puedo enviarlo a través de la VLAN10". Como resultado, el tráfico enviado por la primera computadora no puede llegar a la segunda computadora.
En realidad, así es como debería suceder: el tráfico de VLAN1 no debería ingresar a la VLAN10. Ahora imaginemos que detrás del primer ordenador hay un atacante que crea una trama con la etiqueta VLAN10 y la envía al switch. Si recuerda cómo funciona la VLAN, sabrá que si el tráfico etiquetado llega al conmutador, no hace nada con la trama, sino que simplemente la transmite a lo largo del troncal. Como resultado, el segundo conmutador recibirá tráfico con una etiqueta creada por el atacante y no por el primer conmutador.
Esto significa que está reemplazando la VLAN nativa con algo distinto a la VLAN1.
Dado que el segundo conmutador no sabe quién creó la etiqueta VLAN10, simplemente envía tráfico a la segunda computadora. Así es como se produce un ataque de salto de VLAN, cuando un atacante penetra en una red a la que inicialmente era inaccesible.
Para evitar este tipo de ataques, debe crear una VLAN aleatoria o VLAN aleatorias, por ejemplo VLAN999, VLAN666, VLAN777, etc., que un atacante no puede utilizar en absoluto. Al mismo tiempo, nos dirigimos a los puertos troncales de los conmutadores y los configuramos para que funcionen, por ejemplo, con Native VLAN666. En este caso cambiamos la VLAN Nativa para puertos troncales de VLAN1 a VLAN66, es decir, utilizamos cualquier red distinta a VLAN1 como VLAN Nativa.
Los puertos en ambos lados del troncal deben configurarse en la misma VLAN; de lo contrario, recibiremos un error de discrepancia en el número de VLAN.
Después de esta configuración, si un hacker decide llevar a cabo un ataque de salto de VLAN, no tendrá éxito, porque la VLAN1 nativa no está asignada a ninguno de los puertos troncales de los conmutadores. Este es el método de protección contra ataques mediante la creación de VLAN nativas no predeterminadas.
Gracias por estar con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más contenido interesante? Apóyanos haciendo un pedido o recomendándonos a amigos, 30% de descuento para usuarios de Habr en un análogo único de servidores de nivel de entrada, que fue inventado por nosotros para usted: (disponible con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).
Dell R730xd 2 veces más barato? Solo aqui ¡en los Paises Bajos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ¡desde $99! Leer acerca de
Fuente: habr.com