Tänään tarkastelemme kahta tärkeää aihetta: DHCP Snooping ja "ei-oletus" alkuperäiset VLANit. Ennen kuin siirryt oppitunnille, kutsun sinut vierailemaan toisella YouTube-kanavallamme, jossa voit katsoa videon muistisi parantamisesta. Suosittelen tilaamaan tämän kanavan, sillä julkaisemme siellä paljon hyödyllisiä vinkkejä itsensä kehittämiseen.
Tämä oppitunti on omistettu ICND1.7-aiheen alakohtien 1.7b ja 2c tutkimiselle. Ennen kuin aloitamme DHCP Snoopingin käytön, muistetaan joitain kohtia aiemmilta oppitunneilta. Jos en erehdy, opimme DHCP:stä päivänä 6 ja päivänä 24. Siellä keskusteltiin tärkeistä asioista DHCP-palvelimen IP-osoitteiden jakamisesta ja vastaavien viestien vaihdosta.
Yleensä kun loppukäyttäjä kirjautuu verkkoon, se lähettää verkkoon yleislähetyspyynnön, jonka kaikki verkkolaitteet "kuulevat". Jos se on kytketty suoraan DHCP-palvelimeen, pyyntö menee suoraan palvelimelle. Jos verkossa on siirtolaitteita - reitittimiä ja kytkimiä - pyyntö palvelimelle kulkee niiden kautta. Pyynnön saatuaan DHCP-palvelin vastaa käyttäjälle, joka lähettää hänelle pyynnön saada IP-osoite, jonka jälkeen palvelin antaa sellaisen osoitteen käyttäjän laitteelle. Näin IP-osoitteen saaminen tapahtuu normaaleissa olosuhteissa. Kaavion esimerkin mukaan Loppukäyttäjä saa osoitteen 192.168.10.10 ja yhdyskäytävän osoitteen 192.168.10.1. Tämän jälkeen käyttäjä voi käyttää Internetiä tämän yhdyskäytävän kautta tai kommunikoida muiden verkkolaitteiden kanssa.
Oletetaan, että verkossa on todellisen DHCP-palvelimen lisäksi vilpillinen DHCP-palvelin, eli hyökkääjä yksinkertaisesti asentaa DHCP-palvelimen tietokoneelleen. Tässä tapauksessa verkkoon tullessaan käyttäjä lähettää myös yleislähetysviestin, jonka reititin ja kytkin välittävät edelleen oikealle palvelimelle.
Rogue-palvelin kuitenkin myös "kuuntelee" verkkoa, ja vastaanotettuaan lähetysviestin vastaa käyttäjälle omalla tarjouksellaan todellisen DHCP-palvelimen sijaan. Saatuaan sen käyttäjä antaa suostumuksensa, jonka seurauksena hän saa IP-osoitteen hyökkääjältä 192.168.10.2 ja yhdyskäytävän osoitteen 192.168.10.95.
IP-osoitteen hankintaprosessi on lyhennetty nimellä DORA, ja se koostuu neljästä vaiheesta: Discovery, Offer, Request ja Acknowledgement. Kuten näette, hyökkääjä antaa laitteelle laillisen IP-osoitteen, joka on käytettävissä olevien verkko-osoitteiden alueella, mutta todellisen yhdyskäytävän osoitteen 4 sijasta hän "liistaa" sen väärällä osoitteella 192.168.10.1, eli oman tietokoneensa osoite.
Tämän jälkeen kaikki Internetiin ohjattu loppukäyttäjäliikenne kulkee hyökkääjän tietokoneen kautta. Hyökkääjä ohjaa sen edelleen, ja käyttäjä ei tunne mitään eroa tällä viestintämenetelmällä, koska hän voi silti käyttää Internetiä.
Samalla tavalla Internetin paluuliikenne virtaa käyttäjälle hyökkääjän tietokoneen kautta. Tätä kutsutaan yleisesti MiM-hyökkäykseksi (Man in the Middle). Kaikki käyttäjäliikenne kulkee hakkerin tietokoneen läpi, joka pystyy lukemaan kaiken lähettämänsä tai vastaanottamansa. Tämä on yksi hyökkäystyyppi, joka voi tapahtua DHCP-verkoissa.
Toista hyökkäystyyppiä kutsutaan palvelunestoiksi (DoS) tai "palvelunestoksi". Mitä tapahtuu? Hakkerin tietokone ei enää toimi DHCP-palvelimena, vaan se on vain hyökkäävä laite. Se lähettää Discovery-pyynnön todelliselle DHCP-palvelimelle ja vastaanottaa tarjousviestin vastauksena, lähettää sitten Pyynnön palvelimelle ja vastaanottaa IP-osoitteen. Hyökkääjän tietokone tekee tämän muutaman millisekunnin välein ja saa joka kerta uuden IP-osoitteen.
Asetuksista riippuen todellisessa DHCP-palvelimessa on satojen tai useiden satojen vapaita IP-osoitteita. Hakkerin tietokone vastaanottaa IP-osoitteita .1, .2, .3 ja niin edelleen, kunnes osoitevarasto on täysin käytetty. Tämän jälkeen DHCP-palvelin ei pysty antamaan IP-osoitteita verkon uusille asiakkaille. Jos verkkoon tulee uusi käyttäjä, hän ei voi saada ilmaista IP-osoitetta. Tämä on DoS-hyökkäyksen tarkoitus DHCP-palvelimeen: estää sitä antamasta IP-osoitteita uusille käyttäjille.
Tällaisten hyökkäysten torjumiseksi käytetään DHCP Snooping -konseptia. Tämä on OSI-kerroksen XNUMX toiminto, joka toimii kuten ACL ja toimii vain kytkimillä. Ymmärtääksesi DHCP Snoopingia, sinun on otettava huomioon kaksi käsitettä: Trusted-kytkimen luotetut portit ja muiden verkkolaitteiden epäluotetut portit.
Luotetut portit sallivat minkä tahansa tyyppisten DHCP-viestien kulkemisen. Epäluotetut portit ovat portteja, joihin asiakkaat ovat yhteydessä, ja DHCP Snooping tekee sen niin, että kaikki näistä porteista tulevat DHCP-viestit hylätään.
Jos muistamme DORA-prosessin, viesti D tulee asiakkaalta palvelimelle ja viesti O tulee palvelimelta asiakkaalle. Seuraavaksi asiakkaalta lähetetään sanoma R palvelimelle ja palvelin lähettää viestin A asiakkaalle.
Viestit D ja R suojaamattomista porteista hyväksytään, ja viestit, kuten O ja A, hylätään. Kun DHCP Snooping -toiminto on käytössä, kaikki kytkimen portit katsotaan oletusarvoisesti suojaamattomiksi. Tätä toimintoa voidaan käyttää sekä kytkimelle kokonaisuutena että yksittäisille VLAN-verkoille. Jos esimerkiksi VLAN10 on kytketty porttiin, voit ottaa tämän ominaisuuden käyttöön vain VLAN10:lle, jolloin sen portista tulee epäluotettava.
Kun otat DHCP Snoopingin käyttöön, sinun on järjestelmänvalvojana mentävä kytkimen asetuksiin ja määritettävä portit siten, että vain ne portit, joihin palvelimen kaltaiset laitteet on kytketty, katsotaan epäluotetuksi. Tämä tarkoittaa mitä tahansa palvelintyyppiä, ei vain DHCP:tä.
Jos esimerkiksi toinen kytkin, reititin tai todellinen DHCP-palvelin on kytketty porttiin, tämä portti on määritetty luotetuksi. Muut kytkinportit, joihin loppukäyttäjälaitteet tai langattomat tukiasemat on kytketty, on määritettävä suojaamattomiksi. Siksi mikä tahansa laite, kuten tukiasema, johon käyttäjät ovat yhteydessä, muodostaa yhteyden kytkimeen epäluotettavan portin kautta.
Jos hyökkääjän tietokone lähettää kytkimelle O- ja A-tyypin viestejä, ne estetään, eli tällainen liikenne ei pääse kulkemaan epäluotettavan portin kautta. Näin DHCP Snooping estää yllä mainitut hyökkäykset.
Lisäksi DHCP Snooping luo DHCP-sidostaulukoita. Kun asiakas vastaanottaa IP-osoitteen palvelimelta, tämä osoite ja sen vastaanottaneen laitteen MAC-osoite syötetään DHCP Snooping -taulukkoon. Nämä kaksi ominaisuutta liitetään suojaamattomaan porttiin, johon asiakas on kytketty.
Tämä auttaa esimerkiksi estämään DoS-hyökkäyksen. Jos asiakas jolla on annettu MAC-osoite on jo saanut IP-osoitteen, miksi sen pitäisi vaatia uutta IP-osoitetta? Tässä tapauksessa kaikki tällaisen toiminnan yritykset estetään välittömästi taulukon merkinnän tarkistamisen jälkeen.
Seuraava asia, josta meidän on keskusteltava, ovat ei-oletusarvoiset tai "ei-oletus" alkuperäiset VLAN-verkot. Olemme toistuvasti koskettaneet VLAN-aihetta ja omistaneet 4 videotuntia näille verkoille. Jos olet unohtanut, mikä tämä on, suosittelen sinua tarkistamaan nämä oppitunnit.
Tiedämme, että Ciscon kytkimissä alkuperäinen VLAN on oletusarvoinen VLAN1. On hyökkäyksiä nimeltä VLAN Hopping. Oletetaan, että kaavion tietokone on yhdistetty ensimmäiseen kytkimeen oletusarvoisen natiiviverkon VLAN1 kautta ja viimeinen kytkin on yhdistetty tietokoneeseen VLAN10-verkon kautta. Kytkimien väliin on muodostettu runko.
Yleensä kun liikenne ensimmäisestä tietokoneesta saapuu kytkimeen, se tietää, että portti, johon tämä tietokone on kytketty, on osa VLAN1:tä. Seuraavaksi tämä liikenne menee kahden kytkimen väliseen runkoon, ja ensimmäinen kytkin ajattelee näin: "tämä liikenne tuli alkuperäisestä VLAN:ista, joten minun ei tarvitse merkitä sitä" ja välittää merkitsemättömän liikenteen runkoa pitkin, mikä saapuu toiselle kytkimelle.
Kytkin 2, saatuaan koodaamattoman liikenteen, ajattelee näin: "Koska tämä liikenne on merkitsemätöntä, se tarkoittaa, että se kuuluu VLAN1:een, joten en voi lähettää sitä VLAN10:n kautta." Tämän seurauksena ensimmäisen tietokoneen lähettämä liikenne ei tavoita toista tietokonetta.
Todellisuudessa näin sen pitäisi tapahtua - VLAN1-liikenne ei saisi päästä VLAN10:een. Kuvitellaan nyt, että ensimmäisen tietokoneen takana on hyökkääjä, joka luo kehyksen VLAN10-tunnisteella ja lähettää sen kytkimelle. Jos muistat, kuinka VLAN toimii, tiedät, että jos tunnistettu liikenne saavuttaa kytkimen, se ei tee mitään kehyksen kanssa, vaan yksinkertaisesti lähettää sen edelleen runkoa pitkin. Tämän seurauksena toinen kytkin vastaanottaa liikennettä tunnisteella, jonka hyökkääjä on luonut, ei ensimmäinen kytkin.
Tämä tarkoittaa, että korvaat alkuperäisen VLANin jollakin muulla kuin VLAN1:llä.
Koska toinen kytkin ei tiedä, kuka loi VLAN10-tunnisteen, se yksinkertaisesti lähettää liikennettä toiseen tietokoneeseen. Näin tapahtuu VLAN Hopping -hyökkäys, kun hyökkääjä tunkeutuu verkkoon, johon hän alun perin ei ollut käytettävissä.
Tällaisten hyökkäysten estämiseksi sinun on luotava satunnaisia VLAN-verkkoja, esimerkiksi VLAN999, VLAN666, VLAN777 jne., joita hyökkääjä ei voi käyttää ollenkaan. Samanaikaisesti siirrymme kytkimien runkoportteihin ja konfiguroimme ne toimimaan esimerkiksi Native VLAN666:n kanssa. Tässä tapauksessa muutamme runkoporttien alkuperäisen VLAN:n VLAN1:stä VLAN66:een, eli käytämme alkuperäisenä VLAN-verkkona mitä tahansa muuta verkkoa kuin VLAN1.
Rungon molemmilla puolilla olevat portit on määritettävä samaan VLAN-verkkoon, muuten saamme VLAN-numeron yhteensopimattomuusvirheen.
Tämän asennuksen jälkeen, jos hakkeri päättää suorittaa VLAN Hopping -hyökkäyksen, hän ei onnistu, koska alkuperäistä VLAN1:tä ei ole määritetty mihinkään kytkimien runkoportteihin. Tämä on tapa suojautua hyökkäyksiltä luomalla muita kuin oletusarvoisia alkuperäisiä VLAN-verkkoja.
Kiitos, että pysyt kanssamme. Pidätkö artikkeleistamme? Haluatko nähdä mielenkiintoisempaa sisältöä? Tue meitä tekemällä tilauksen tai suosittelemalla ystäville, 30 %:n alennus Habr-käyttäjille ainutlaatuisesta lähtötason palvelimien analogista, jonka me keksimme sinulle: (saatavana RAID1:n ja RAID10:n kanssa, jopa 24 ydintä ja jopa 40 Gt DDR4-muistia).
Dell R730xd 2 kertaa halvempi? Vain täällä Alankomaissa! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - alkaen 99 dollaria! Lukea
Lähde: will.com