امروز ما دو موضوع مهم را بررسی خواهیم کرد: DHCP Snooping و "غیر پیش فرض" VLAN های بومی. قبل از رفتن به درس، از شما دعوت میکنم از کانال یوتیوب دیگر ما دیدن کنید، جایی که میتوانید ویدیویی در مورد چگونگی بهبود حافظه خود تماشا کنید. توصیه می کنم که در این کانال مشترک شوید، زیرا ما نکات مفید زیادی را برای بهبود خود در آنجا ارسال می کنیم.
این درس به مطالعه زیربخش های 1.7b و 1.7c از مبحث ICND2 اختصاص دارد. قبل از اینکه با DHCP Snooping شروع کنیم، نکاتی را از درس های قبلی به خاطر بسپاریم. اگر اشتباه نکنم در روز 6 و روز 24 با DHCP آشنا شدیم. در آنجا موضوعات مهمی در مورد تخصیص آدرس های IP توسط سرور DHCP و تبادل پیام های مربوطه مورد بحث قرار گرفت.
به طور معمول، هنگامی که یک کاربر نهایی به یک شبکه وارد می شود، یک درخواست پخش را به شبکه ارسال می کند که توسط همه دستگاه های شبکه "شنیده می شود". اگر مستقیماً به سرور DHCP متصل باشد، درخواست مستقیماً به سرور می رود. اگر دستگاه های انتقال در شبکه وجود دارد - روترها و سوئیچ ها - درخواست به سرور از طریق آنها انجام می شود. پس از دریافت درخواست، سرور DHCP به کاربر پاسخ می دهد و او درخواستی برای دریافت یک آدرس IP برای او ارسال می کند و پس از آن سرور چنین آدرسی را برای دستگاه کاربر صادر می کند. به این صورت است که فرآیند دریافت آدرس IP در شرایط عادی انجام می شود. طبق مثال در نمودار، کاربر نهایی آدرس 192.168.10.10 و آدرس دروازه 192.168.10.1 را دریافت می کند. پس از این، کاربر می تواند از طریق این دروازه به اینترنت دسترسی داشته باشد یا با سایر دستگاه های شبکه ارتباط برقرار کند.
بیایید فرض کنیم که علاوه بر سرور DHCP واقعی، یک سرور DHCP تقلبی نیز در شبکه وجود دارد، یعنی مهاجم به سادگی یک سرور DHCP را روی رایانه خود نصب می کند. در این حالت کاربر پس از ورود به شبکه پیام پخشی را نیز ارسال می کند که روتر و سوئیچ آن را به سرور واقعی ارسال می کند.
با این حال، سرور سرکش نیز به شبکه "گوش می دهد" و با دریافت پیام پخش، به جای سرور واقعی DHCP با پیشنهاد خود به کاربر پاسخ می دهد. پس از دریافت آن، کاربر رضایت خود را اعلام می کند، در نتیجه یک آدرس IP از مهاجم 192.168.10.2 و یک آدرس دروازه 192.168.10.95 دریافت می کند.
فرآیند دریافت آدرس IP به اختصار DORA و شامل 4 مرحله کشف، پیشنهاد، درخواست و تایید است. همانطور که می بینید، مهاجم یک آدرس IP قانونی به دستگاه می دهد که در محدوده آدرس های شبکه موجود است، اما به جای آدرس دروازه واقعی 192.168.10.1، آن را با یک آدرس جعلی 192.168.10.95 "لغزش" می کند. یعنی آدرس کامپیوتر خودش.
پس از این، تمام ترافیک کاربر نهایی که به اینترنت هدایت می شود از رایانه مهاجم عبور می کند. مهاجم آن را بیشتر هدایت می کند و کاربر با این روش ارتباطی تفاوتی احساس نمی کند، زیرا همچنان می تواند به اینترنت دسترسی داشته باشد.
به همین ترتیب، ترافیک برگشتی از اینترنت از طریق رایانه مهاجم به کاربر منتقل می شود. این همان چیزی است که معمولاً به آن حمله Man in the Middle (MiM) می گویند. تمام ترافیک کاربر از طریق رایانه هکر عبور می کند، که می تواند هر چیزی را که ارسال یا دریافت می کند، بخواند. این یک نوع حمله است که می تواند در شبکه های DHCP انجام شود.
نوع دوم حمله Denial of Service (DoS) یا "انکار سرویس" نامیده می شود. چه اتفاقی می افتد؟ رایانه هکر دیگر به عنوان یک سرور DHCP عمل نمی کند، بلکه اکنون فقط یک دستگاه مهاجم است. یک درخواست Discovery را به سرور DHCP واقعی ارسال می کند و در پاسخ یک پیام Offer دریافت می کند، سپس یک درخواست به سرور ارسال می کند و یک آدرس IP از آن دریافت می کند. رایانه مهاجم این کار را هر چند میلی ثانیه انجام می دهد و هر بار یک آدرس IP جدید دریافت می کند.
بسته به تنظیمات، یک سرور DHCP واقعی مجموعه ای از صدها یا چند صد آدرس IP خالی دارد. کامپیوتر هکر آدرس های IP 1، .2، .3 و غیره را دریافت می کند تا زمانی که مجموعه آدرس ها به طور کامل تمام شود. پس از این، سرور DHCP قادر به ارائه آدرس IP به مشتریان جدید در شبکه نخواهد بود. اگر کاربر جدیدی وارد شبکه شود، نمی تواند یک آدرس IP رایگان دریافت کند. این هدف حمله DoS به سرور DHCP است: جلوگیری از صدور آدرس IP برای کاربران جدید.
برای مقابله با چنین حملاتی از مفهوم DHCP Snooping استفاده می شود. این یک تابع لایه XNUMX OSI است که مانند ACL عمل می کند و فقط روی سوئیچ ها کار می کند. برای درک DHCP Snooping، باید دو مفهوم را در نظر بگیرید: پورت های قابل اعتماد سوئیچ Trusted و پورت های غیرقابل اعتماد غیرقابل اعتماد برای سایر دستگاه های شبکه.
پورت های قابل اعتماد به هر نوع پیام DHCP اجازه عبور می دهند. پورتهای غیرقابل اعتماد پورتهایی هستند که کلاینتها به آنها متصل هستند و DHCP Snooping باعث میشود هر پیام DHCP از آن پورتها نادیده گرفته شود.
اگر فرآیند DORA را به خاطر بیاوریم، پیام D از مشتری به سرور و پیام O از سرور به مشتری می آید. سپس یک پیام R از مشتری به سرور ارسال می شود و سرور یک پیام A را برای مشتری ارسال می کند.
پیامهای D و R از پورتهای ناامن پذیرفته میشوند و پیامهایی مانند O و A کنار گذاشته میشوند. هنگامی که عملکرد DHCP Snooping فعال است، تمام پورت های سوئیچ به طور پیش فرض ناامن در نظر گرفته می شوند. این تابع هم برای کل سوئیچ و هم برای VLANهای مجزا قابل استفاده است. به عنوان مثال، اگر VLAN10 به یک پورت متصل است، می توانید این ویژگی را فقط برای VLAN10 فعال کنید و سپس پورت آن غیرقابل اعتماد می شود.
هنگامی که DHCP Snooping را فعال می کنید، به عنوان یک مدیر سیستم، باید به تنظیمات سوئیچ بروید و پورت ها را به گونه ای پیکربندی کنید که فقط پورت هایی که دستگاه های مشابه سرور به آنها متصل هستند غیرقابل اعتماد تلقی شوند. این به معنای هر نوع سرور است، نه فقط DHCP.
به عنوان مثال، اگر سوییچ، روتر یا سرور واقعی DHCP دیگری به یک پورت متصل باشد، این پورت به عنوان قابل اعتماد پیکربندی می شود. درگاههای سوئیچ باقیمانده که دستگاههای کاربر نهایی یا نقاط دسترسی بیسیم به آنها متصل هستند، باید بهعنوان ناامن پیکربندی شوند. بنابراین، هر دستگاهی مانند نقطه دسترسی که کاربران به آن متصل هستند، از طریق یک پورت غیرقابل اعتماد به سوئیچ متصل می شود.
اگر رایانه مهاجم پیام هایی از نوع O و A را به سوییچ ارسال کند، آنها مسدود می شوند، یعنی چنین ترافیکی نمی تواند از پورت نامعتبر عبور کند. به این ترتیب DHCP Snooping از انواع حملاتی که در بالا توضیح داده شد جلوگیری می کند.
علاوه بر این، DHCP Snooping جداول اتصال DHCP را ایجاد می کند. پس از اینکه کلاینت یک آدرس IP از سرور دریافت کرد، این آدرس به همراه آدرس MAC دستگاهی که آن را دریافت کرده است در جدول DHCP Snooping وارد می شود. این دو مشخصه با پورت ناامنی که کلاینت به آن متصل است مرتبط خواهد بود.
به عنوان مثال، این به جلوگیری از حمله DoS کمک می کند. اگر یک کلاینت با یک آدرس MAC معین قبلاً یک آدرس IP دریافت کرده است، پس چرا باید به یک آدرس IP جدید نیاز داشته باشد؟ در این صورت بلافاصله پس از بررسی ورودی جدول از هرگونه تلاش برای انجام چنین فعالیتی جلوگیری می شود.
مورد بعدی که باید در مورد آن بحث کنیم، Nondefault یا Native VLAN های "غیر پیش فرض" است. ما بارها و بارها به موضوع VLAN پرداخته ایم و 4 درس ویدیویی را به این شبکه ها اختصاص داده ایم. اگر فراموش کرده اید که این چیست، به شما توصیه می کنم این درس ها را مرور کنید.
می دانیم که در سوئیچ های سیسکو، VLAN پیش فرض Native VLAN1 است. حملاتی به نام VLAN Hopping وجود دارد. فرض کنید کامپیوتر موجود در نمودار توسط شبکه بومی پیش فرض VLAN1 به سوئیچ اول وصل شده است و آخرین سوئیچ توسط شبکه VLAN10 به کامپیوتر متصل است. یک تنه بین سوئیچ ها ایجاد می شود.
به طور معمول، هنگامی که ترافیک از اولین رایانه به سوییچ می رسد، می داند که پورتی که این رایانه به آن متصل است، بخشی از VLAN1 است. در مرحله بعد، این ترافیک به سمت ترانک بین دو سوئیچ می رود و سوئیچ اول به این صورت فکر می کند: "این ترافیک از Native VLAN آمده است، بنابراین نیازی به تگ کردن آن نیست" و ترافیک بدون برچسب را در امتداد ترانک فوروارد می کند. به سوئیچ دوم می رسد.
سوئیچ 2، با دریافت ترافیک بدون برچسب، به این صورت فکر می کند: "از آنجایی که این ترافیک بدون برچسب است، به این معنی است که متعلق به VLAN1 است، بنابراین من نمی توانم آن را از طریق VLAN10 ارسال کنم." در نتیجه ترافیک ارسال شده توسط کامپیوتر اول نمی تواند به کامپیوتر دوم برسد.
در واقعیت، اینگونه باید اتفاق بیفتد - ترافیک VLAN1 نباید وارد VLAN10 شود. حالا بیایید تصور کنیم که پشت اولین کامپیوتر یک مهاجم وجود دارد که با تگ VLAN10 یک فریم ایجاد کرده و به سوییچ ارسال می کند. اگر به یاد داشته باشید که VLAN چگونه کار می کند، پس می دانید که اگر ترافیک برچسب گذاری شده به سوییچ برسد، کاری با فریم انجام نمی دهد، بلکه آن را به سادگی در طول ترانک انتقال می دهد. در نتیجه سوئیچ دوم ترافیکی را با برچسبی دریافت می کند که توسط مهاجم ایجاد شده است و نه توسط سوئیچ اول.
این بدان معناست که شما Native VLAN را با چیزی غیر از VLAN1 جایگزین می کنید.
از آنجایی که سوئیچ دوم نمی داند چه کسی تگ VLAN10 را ایجاد کرده است، به سادگی ترافیک را به رایانه دوم ارسال می کند. حمله VLAN Hopping به این صورت اتفاق میافتد، زمانی که مهاجم به شبکهای نفوذ میکند که در ابتدا برای او غیرقابل دسترسی بود.
برای جلوگیری از چنین حملاتی باید Random VLAN یا VLAN های تصادفی مثلا VLAN999، VLAN666، VLAN777 و غیره ایجاد کنید که به هیچ وجه توسط مهاجم قابل استفاده نیست. در همان زمان به پورت های ترانک سوئیچ ها می رویم و آنها را پیکربندی می کنیم تا مثلاً با Native VLAN666 کار کنند. در این حالت ما Native VLAN پورت های Trunk را از VLAN1 به VLAN66 تغییر می دهیم، یعنی از هر شبکه ای غیر از VLAN1 به عنوان Native VLAN استفاده می کنیم.
پورت های دو طرف ترانک باید روی همان VLAN پیکربندی شوند، در غیر این صورت خطای عدم تطابق شماره VLAN را دریافت خواهیم کرد.
پس از این تنظیمات، اگر یک هکر تصمیم به انجام یک حمله VLAN Hopping داشته باشد، موفق نخواهد شد، زیرا VLAN1 بومی به هیچ یک از پورت های ترانک سوئیچ ها اختصاص داده نشده است. این روش محافظت در برابر حملات با ایجاد VLAN های بومی غیر پیش فرض است.
از اینکه با ما ماندید متشکرم آیا مقالات ما را دوست دارید؟ آیا می خواهید مطالب جالب تری ببینید؟ با ثبت سفارش یا معرفی به دوستان از ما حمایت کنید 30٪ تخفیف برای کاربران Habr در آنالوگ منحصر به فرد سرورهای سطح ورودی که توسط ما برای شما اختراع شده است: (در دسترس با RAID1 و RAID10، حداکثر 24 هسته و حداکثر 40 گیگابایت DDR4).
Dell R730xd 2 برابر ارزان تر است؟ فقط اینجا در هلند! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - از 99 دلار! در مورد بخوانید
منبع: www.habr.com