Gaur bi gai garrantzitsu aztertuko ditugu: DHCP Snooping eta VLAN natiboak "ez lehenetsiak". Ikasgaiari jarraitu aurretik, gure YouTube-ko beste kanala bisitatzera gonbidatzen zaitut, non zure memoria hobetzeko bideo bat ikus dezakezun. Kanal honetara harpidetzea gomendatzen dizut, auto-hobekuntzarako aholku baliagarri asko argitaratzen baititugu bertan.
Ikasgai hau ICND1.7 gaiaren 1.7b eta 2c azpiatalen azterketari eskainia dago. DHCP Snooping-ekin hasi aurretik, gogora ditzagun aurreko ikasgaietako puntu batzuk. Oker ez banago, DHCPri buruz ikasi genuen 6. egunean eta 24. egunean. Bertan, gai garrantzitsuak eztabaidatu ziren DHCP zerbitzariak IP helbideak esleitzeari eta dagozkien mezuen trukeari buruz.
Normalean, azken erabiltzaile bat sare batean saioa hasten denean, sareko gailu guztiek "entzuten" duten igorpen-eskaera bidaltzen du sarera. DHCP zerbitzari batera zuzenean konektatuta badago, eskaera zuzenean zerbitzarira doa. Sarean transmisio-gailuak badaude -bideratzaileak eta etengailuak-, zerbitzariari egindako eskaera horietatik pasatzen da. Eskaera jaso ondoren, DHCP zerbitzariak erabiltzaileari erantzuten dio, eta honek IP helbide bat lortzeko eskaera bidaltzen dio, ondoren zerbitzariak helbide hori igortzen dio erabiltzailearen gailuari. Horrela gertatzen da IP helbidea lortzeko prozesua baldintza normaletan. Diagramako adibidearen arabera, azken erabiltzaileak 192.168.10.10 helbidea eta 192.168.10.1 atebide helbidea jasoko ditu. Horren ondoren, erabiltzaileak atebide honen bidez Internetera sartzeko edo sareko beste gailu batzuekin komunikatzeko aukera izango du.
Demagun benetako DHCP zerbitzariaz gain, sarean iruzurrezko DHCP zerbitzari bat dagoela, hau da, erasotzaileak DHCP zerbitzari bat instalatzen duela besterik gabe bere ordenagailuan. Kasu honetan, erabiltzaileak, sarean sartuta, difusio-mezu bat ere bidaltzen du, bideratzaileak eta konmutatzaileak benetako zerbitzarira birbidaltzeko.
Hala ere, zerbitzari maltzurrak sarea ere "entzuten" du, eta, igorpen-mezua jasota, erabiltzaileari bere eskaintzarekin erantzungo dio benetako DHCP zerbitzariaren ordez. Jasotakoan, erabiltzaileak bere baimena emango du, eta horren ondorioz 192.168.10.2 erasotzailearen IP helbide bat eta 192.168.10.95 atebide helbidea jasoko ditu.
IP helbidea lortzeko prozesua DORA gisa laburtua da eta 4 fase ditu: Aurkikuntza, Eskaintza, Eskaera eta Aitorpena. Ikus dezakezunez, erasotzaileak sare-helbideen barrutian dagoen legezko IP helbide bat emango dio gailuari, baina 192.168.10.1 benetako atebide-helbidearen ordez, 192.168.10.95 helbide faltsu batekin "larritu" egingo du, hau da, bere ordenagailuaren helbidea.
Horren ostean, Internetera zuzendutako azken erabiltzailearen trafiko guztia erasotzailearen ordenagailutik igaroko da. Erasotzaileak gehiago birbideratuko du, eta erabiltzaileak ez du inolako alderik sentituko komunikazio-metodo honekin, oraindik Internetera sartzeko aukera izango baitu.
Modu berean, Internetetik itzultzeko trafikoa erasotzailearen ordenagailutik erabiltzailearengana joango da. Hau da Man in the Middle (MiM) erasoa deitu ohi dena. Erabiltzaileen trafiko guztia hacker-aren ordenagailutik pasatuko da, eta hark bidaltzen edo jasotzen duen guztia irakurri ahal izango du. DHCP sareetan gerta daitekeen eraso mota bat da.
Bigarren eraso motari Zerbitzuaren ukapena (DoS) edo "zerbitzuaren ukapena" deitzen zaio. Zer gertatzen da? Hackerraren ordenagailuak ez du jada DHCP zerbitzari gisa jokatzen, erasotzaile gailu bat besterik ez da. Aurkikuntza eskaera bat bidaltzen du benetako DHCP zerbitzariari eta Eskaintza mezu bat jasotzen du erantzunez, gero Eskaera bat bidaltzen dio zerbitzariari eta IP helbide bat jasotzen du bertatik. Erasotzailearen ordenagailuak milisegundo batzuetan behin egiten du, IP helbide berri bat jasotzen duen bakoitzean.
Ezarpenen arabera, benetako DHCP zerbitzari batek hutsik dauden ehunka edo hainbat IP helbide ditu. Hackerraren ordenagailuak .1, .2, .3 eta abar IP helbideak jasoko ditu helbide multzoa guztiz agortu arte. Horren ondoren, DHCP zerbitzariak ezin izango dizkie IP helbideak eman sareko bezero berriei. Erabiltzaile berri bat sarera sartzen bada, ezin izango du doako IP helbiderik lortu. Hau da DHCP zerbitzari baten aurkako DoS eraso baten puntua: erabiltzaile berriei IP helbideak igortzea saihestea.
Horrelako erasoei aurre egiteko, DHCP Snooping kontzeptua erabiltzen da. Hau OSI geruza XNUMX funtzio bat da, ACL bat bezala jokatzen duena eta etengailuetan bakarrik funtzionatzen duena. DHCP Snooping ulertzeko, bi kontzeptu kontuan hartu behar dituzu: Konfiantzazko etengailu baten ataka fidagarriak eta beste sareko gailu batzuen ataka fidagarriak.
Portu fidagarriek edozein motatako DHCP mezu pasatzen uzten dute. Konfiantzarik gabeko atakak bezeroak konektatuta dauden portuak dira, eta DHCP Snooping-ek portu horietatik datozen DHCP mezuak baztertu egingo ditu.
DORA prozesua gogoratzen badugu, D mezua bezerotik zerbitzarira dator, eta O mezua zerbitzaritik bezerora. Ondoren, R mezu bat bidaltzen zaio bezerotik zerbitzariari, eta zerbitzariak A mezu bat bidaltzen dio bezeroari.
Segurtasunik gabeko ataketatik D eta R mezuak onartzen dira, eta O eta A bezalako mezuak baztertzen dira. DHCP Snooping funtzioa gaituta dagoenean, switch-ataka guztiak segurutzat hartzen dira lehenespenez. Funtzio hau etengailu osorako zein banakako VLANetarako erabil daiteke. Adibidez, VLAN10 ataka batera konektatuta badago, funtzio hau gaitu dezakezu VLAN10erako soilik, eta orduan bere ataka fidagarri bihurtuko da.
DHCP Snooping gaitzen duzunean, zuk, sistema-administratzaile gisa, etengailuaren ezarpenetara sartu eta atakak konfiguratu beharko dituzu zerbitzariaren antzeko gailuak konektatzen dituzten atakak soilik fidagarritzat jotzen ez diren moduan. Horrek edozein zerbitzari mota esan nahi du, ez DHCP bakarrik.
Adibidez, beste switch, bideratzaile edo benetako DHCP zerbitzari bat ataka batera konektatuta badago, ataka hori fidagarri gisa konfiguratuta dago. Azken erabiltzailearen gailuak edo haririk gabeko sarbide-puntuak konektatuta dauden gainerako switch-atak seguru ez bezala konfiguratu behar dira. Hori dela eta, erabiltzaileak konektatuta dauden sarbide-puntu bat bezalako edozein gailu etengailura konektatzen da konfiantzarik gabeko ataka baten bidez.
Erasotzailearen ordenagailuak etengailura O eta A motako mezuak bidaltzen baditu, blokeatu egingo dira, hau da, trafiko hori ezin izango da fidagarria ez den atakatik igaro. Horrela DHCP Snooping-ek goian aipaturiko eraso motak saihesten ditu.
Gainera, DHCP Snooping-ek DHCP lotura-taulak sortzen ditu. Bezeroak zerbitzaritik IP helbide bat jaso ondoren, helbide hori, jaso duen gailuaren MAC helbidearekin batera, DHCP Snooping taulan sartuko da. Bi ezaugarri hauek bezeroa konektatuta dagoen ataka seguruarekin lotuko dira.
Horrek, adibidez, DoS eraso bat saihesten laguntzen du. MAC helbide jakin bat duen bezero batek IP helbide bat jaso badu dagoeneko, zergatik behar du IP helbide berri bat? Kasu honetan, jarduera hori egiten saiatzea saihestuko da taulako sarrera egiaztatu eta berehala.
Eztabaidatu behar dugun hurrengo gauza VLAN natiboak ez lehenetsiak edo "ez lehenetsiak" dira. Behin eta berriz ukitu dugu VLANen gaia, sare horiei 4 bideo ikasgai eskainiz. Hau zer den ahaztu bazaizu, ikasgai hauek berrikustea gomendatzen dizut.
Badakigu Cisco etengailuetan lehenetsitako Native VLAN VLAN1 dela. VLAN Hopping izeneko erasoak daude. Demagun diagramako ordenagailua lehen etengailura konektatuta dagoela VLAN1 sare lehenetsiaren bidez, eta azken etengailua VLAN10 sarearen bidez konektatuta dagoela. Etengailuen artean enbor bat ezartzen da.
Normalean, lehen ordenagailuko trafikoa etengailura iristen denean, badaki ordenagailu hori konektatuta dagoen ataka VLAN1-en parte dela. Jarraian, trafiko hori bi etengailuen arteko enborrerantz doa, eta lehenengo etengailuak honela pentsatzen du: "Trafiko hau VLAN natibotik etorri da, beraz, ez dut etiketatu behar" eta etiketatu gabeko trafikoa birbidaltzen du enborrean zehar, hau da. bigarren aldaketara iristen da.
Switch 2, etiketatu gabeko trafikoa jaso ondoren, honela pentsatzen du: "trafiko hau etiketatu gabe dagoenez, VLAN1ekoa dela esan nahi du, beraz, ezin dut VLAN10 bidez bidali". Ondorioz, lehen ordenagailuak bidalitako trafikoa ezin da bigarren ordenagailura iritsi.
Egia esan, horrela gertatu behar da - VLAN1 trafikoa ez litzateke VLAN10era sartu behar. Orain imajina dezagun lehen ordenagailuaren atzean erasotzaile bat dagoela, VLAN10 etiketa duen marko bat sortu eta switch-era bidaltzen duena. VLAN nola funtzionatzen duen gogoratzen baduzu, badakizu etiketatutako trafikoa etengailura iristen bada, ez duela markoarekin ezer egiten, baizik eta enborrean zehar gehiago transmititzen duela. Ondorioz, bigarren etengailuak erasotzaileak sortu duen etiketa batekin jasoko du trafikoa, eta ez lehen aldaketarekin.
Horrek esan nahi du jatorrizko VLANa VLAN1 ez den beste zerbaitekin ordezkatzen ari zarela.
Bigarren etengailuak VLAN10 etiketa nork sortu duen ez dakienez, trafikoa bigarren ordenagailura bidaltzen du. Horrela gertatzen da VLAN Hopping eraso bat, erasotzaile bat hasieran eskuraezin zen sare batean sartzen denean.
Eraso horiek saihesteko, Ausazko VLAN edo ausazko VLANak sortu behar dituzu, adibidez VLAN999, VLAN666, VLAN777, etab., erasotzaile batek inola ere erabili ezin dituenak. Aldi berean, etengailuen trunk portuetara joaten gara eta konfiguratzen ditugu lan egiteko, adibidez, Native VLAN666-rekin. Kasu honetan, enbor-atalen jatorrizko VLANa VLAN1etik VLAN66ra aldatzen dugu, hau da, VLAN1 ez den beste edozein sare erabiltzen dugu VLAN natibo gisa.
Enborraren bi alboetako atakak VLAN berean konfiguratu behar dira, bestela VLAN zenbakiaren bat ez datozen errorea jasoko dugu.
Konfigurazio honen ondoren, hacker batek VLAN Hopping eraso bat egitea erabakitzen badu, ez du lortuko, VLAN1 natiboa ez baitago konmutatzaileen trunk atakarik esleitzen. Erasoen aurka babesteko metodoa da lehenetsi gabeko VLAN natiboak sortuz.
Eskerrik asko gurekin geratzeagatik. Gustuko dituzu gure artikuluak? Eduki interesgarri gehiago ikusi nahi? Lagun iezaguzu eskaera bat eginez edo lagunei gomendatuz, % 30eko deskontua Habr erabiltzaileentzat sarrera-mailako zerbitzarien analogo berezi batean, guk zuk asmatu duguna: (RAID1 eta RAID10-ekin erabilgarri, 24 nukleoraino eta 40 GB DDR4 arte).
Dell R730xd 2 aldiz merkeagoa? Hemen bakarrik Herbehereetan! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 $-tik aurrera! Irakurri buruz
Iturria: www.habr.com