Aujourd'hui, nous aborderons deux sujets importants : la surveillance DHCP et les VLAN natifs « non par défaut ». Avant de passer à la leçon, je vous invite à visiter notre autre chaîne YouTube où vous pourrez regarder une vidéo sur la façon d'améliorer votre mémoire. Je vous recommande de vous abonner à cette chaîne, car nous y publions de nombreux conseils utiles pour vous améliorer.
Cette leçon est consacrée à l'étude des sous-sections 1.7b et 1.7c du sujet ICND2. Avant de commencer avec DHCP Snooping, rappelons quelques points des leçons précédentes. Si je ne me trompe pas, nous avons découvert DHCP au cours des jours 6 et 24. Des questions importantes y ont été abordées concernant l'attribution des adresses IP par le serveur DHCP et l'échange des messages correspondants.
Généralement, lorsqu'un utilisateur final se connecte à un réseau, il envoie une requête de diffusion au réseau qui est « entendue » par tous les périphériques réseau. S'il est directement connecté à un serveur DHCP, alors la requête va directement au serveur. S'il existe des dispositifs de transmission sur le réseau - routeurs et commutateurs - alors la requête adressée au serveur passe par eux. Après avoir reçu la demande, le serveur DHCP répond à l'utilisateur, qui lui envoie une demande pour obtenir une adresse IP, après quoi le serveur délivre une telle adresse à l'appareil de l'utilisateur. C'est ainsi que se déroule le processus d'obtention d'une adresse IP dans des conditions normales. Selon l'exemple du diagramme, l'utilisateur final recevra l'adresse 192.168.10.10 et l'adresse de passerelle 192.168.10.1. Après cela, l'utilisateur pourra accéder à Internet via cette passerelle ou communiquer avec d'autres périphériques réseau.
Supposons qu'en plus du véritable serveur DHCP, il existe un serveur DHCP frauduleux sur le réseau, c'est-à-dire que l'attaquant installe simplement un serveur DHCP sur son ordinateur. Dans ce cas, l'utilisateur, après avoir accédé au réseau, envoie également un message de diffusion, que le routeur et le commutateur transmettront au serveur réel.
Cependant, le serveur malveillant « écoute » également le réseau et, après avoir reçu le message diffusé, répondra à l'utilisateur avec sa propre offre au lieu du véritable serveur DHCP. Après l'avoir reçu, l'utilisateur donnera son consentement, à la suite duquel il recevra de l'attaquant une adresse IP 192.168.10.2 et une adresse de passerelle 192.168.10.95.
Le processus d'obtention d'une adresse IP est abrégé en DORA et comprend 4 étapes : Découverte, Offre, Demande et Accusé de réception. Comme vous pouvez le constater, l'attaquant donnera à l'appareil une adresse IP légale qui se trouve dans la plage d'adresses réseau disponible, mais au lieu de la véritable adresse de passerelle 192.168.10.1, il la « glissera » avec une fausse adresse 192.168.10.95, c'est-à-dire l'adresse de son propre ordinateur.
Après cela, tout le trafic de l’utilisateur final dirigé vers Internet passera par l’ordinateur de l’attaquant. L'attaquant le redirigera davantage et l'utilisateur ne ressentira aucune différence avec cette méthode de communication, puisqu'il pourra toujours accéder à Internet.
De la même manière, le trafic de retour d’Internet sera acheminé vers l’utilisateur via l’ordinateur de l’attaquant. C’est ce qu’on appelle communément l’attaque Man in the Middle (MiM). Tout le trafic des utilisateurs passera par l’ordinateur du pirate informatique, qui pourra lire tout ce qu’il envoie ou reçoit. Il s'agit d'un type d'attaque pouvant avoir lieu sur les réseaux DHCP.
Le deuxième type d’attaque est appelé Denial of Service (DoS), ou « déni de service ». Ce qui se produit? L'ordinateur du pirate informatique ne fait plus office de serveur DHCP, il s'agit désormais simplement d'un appareil attaquant. Il envoie une requête de découverte au serveur DHCP réel et reçoit un message d'offre en réponse, puis envoie une requête au serveur et en reçoit une adresse IP. L'ordinateur de l'attaquant le fait toutes les quelques millisecondes, recevant à chaque fois une nouvelle adresse IP.
Selon les paramètres, un vrai serveur DHCP dispose d'un pool de centaines ou de plusieurs centaines d'adresses IP vacantes. L'ordinateur du pirate recevra les adresses IP .1, .2, .3, et ainsi de suite jusqu'à épuisement complet du pool d'adresses. Après cela, le serveur DHCP ne pourra plus fournir d'adresses IP aux nouveaux clients sur le réseau. Si un nouvel utilisateur entre sur le réseau, il ne pourra pas obtenir d'adresse IP gratuite. C’est tout l’intérêt d’une attaque DoS sur un serveur DHCP : l’empêcher de délivrer des adresses IP à de nouveaux utilisateurs.
Pour contrer de telles attaques, le concept de DHCP Snooping est utilisé. Il s'agit d'une fonction OSI de couche XNUMX qui agit comme une ACL et ne fonctionne que sur les commutateurs. Pour comprendre la surveillance DHCP, vous devez prendre en compte deux concepts : les ports approuvés d'un commutateur approuvé et les ports non approuvés pour d'autres périphériques réseau.
Les ports de confiance permettent le passage de tout type de message DHCP. Les ports non approuvés sont les ports auxquels les clients sont connectés, et DHCP Snooping fait en sorte que tous les messages DHCP provenant de ces ports soient rejetés.
Si l'on rappelle le processus DORA, le message D vient du client vers le serveur, et le message O vient du serveur vers le client. Ensuite, un message R est envoyé du client au serveur, et le serveur envoie un message A au client.
Les messages D et R provenant de ports non sécurisés sont acceptés et les messages comme O et A sont rejetés. Lorsque la fonction DHCP Snooping est activée, tous les ports du commutateur sont considérés par défaut comme non sécurisés. Cette fonction peut être utilisée aussi bien pour le commutateur dans son ensemble que pour des VLAN individuels. Par exemple, si le VLAN10 est connecté à un port, vous pouvez activer cette fonctionnalité uniquement pour le VLAN10, et son port ne sera alors plus fiable.
Lorsque vous activez DHCP Snooping, vous, en tant qu'administrateur système, devrez accéder aux paramètres du commutateur et configurer les ports de manière à ce que seuls les ports auxquels des périphériques similaires au serveur sont connectés soient considérés comme non fiables. Cela signifie tout type de serveur, pas seulement DHCP.
Par exemple, si un autre commutateur, routeur ou véritable serveur DHCP est connecté à un port, alors ce port est configuré comme approuvé. Les ports de commutateur restants auxquels les appareils des utilisateurs finaux ou les points d'accès sans fil sont connectés doivent être configurés comme non sécurisés. Par conséquent, tout périphérique tel qu'un point d'accès auquel les utilisateurs sont connectés se connecte au commutateur via un port non approuvé.
Si l'ordinateur de l'attaquant envoie des messages de type O et A au commutateur, ils seront bloqués, c'est-à-dire que ce trafic ne pourra pas passer par le port non approuvé. C'est ainsi que DHCP Snooping empêche les types d'attaques évoqués ci-dessus.
De plus, DHCP Snooping crée des tables de liaison DHCP. Une fois que le client a reçu une adresse IP du serveur, cette adresse, ainsi que l'adresse MAC de l'appareil qui l'a reçue, seront saisies dans le tableau DHCP Snooping. Ces deux caractéristiques seront associées au port non sécurisé auquel le client est connecté.
Cela permet, par exemple, d'empêcher une attaque DoS. Si un client avec une adresse MAC donnée a déjà reçu une adresse IP, pourquoi devrait-il exiger une nouvelle adresse IP ? Dans ce cas, toute tentative d'une telle activité sera empêchée immédiatement après vérification de l'entrée dans le tableau.
La prochaine chose dont nous devons discuter concerne les VLAN natifs sans défaut, ou « non par défaut ». Nous avons abordé à plusieurs reprises le thème des VLAN, en consacrant 4 leçons vidéo à ces réseaux. Si vous avez oublié ce que c'est, je vous conseille de revoir ces leçons.
Nous savons que dans les commutateurs Cisco, le VLAN natif par défaut est le VLAN1. Il existe des attaques appelées VLAN Hopping. Supposons que l'ordinateur dans le diagramme soit connecté au premier commutateur par le réseau natif par défaut VLAN1 et que le dernier commutateur soit connecté à l'ordinateur par le réseau VLAN10. Une ligne réseau est établie entre les commutateurs.
Généralement, lorsque le trafic du premier ordinateur arrive au commutateur, celui-ci sait que le port auquel cet ordinateur est connecté fait partie du VLAN1. Ensuite, ce trafic va vers le tronc entre les deux commutateurs, et le premier commutateur pense comme ceci : « ce trafic provient du VLAN natif, je n'ai donc pas besoin de le baliser », et transfère le trafic non balisé le long du tronc, ce qui arrive au deuxième interrupteur.
Le commutateur 2, ayant reçu du trafic non balisé, pense ainsi : "Puisque ce trafic n'est pas balisé, cela signifie qu'il appartient au VLAN1, donc je ne peux pas l'envoyer via le VLAN10." Par conséquent, le trafic envoyé par le premier ordinateur ne peut pas atteindre le deuxième ordinateur.
En réalité, c'est ainsi que cela devrait se produire : le trafic VLAN1 ne doit pas entrer dans le VLAN10. Imaginons maintenant que derrière le premier ordinateur se trouve un attaquant qui crée une trame avec la balise VLAN10 et l'envoie au commutateur. Si vous vous souvenez du fonctionnement du VLAN, vous savez que si le trafic balisé atteint le commutateur, il ne fait rien avec la trame, mais la transmet simplement plus loin le long du tronc. En conséquence, le deuxième commutateur recevra du trafic avec une balise créée par l'attaquant, et non par le premier commutateur.
Cela signifie que vous remplacez le VLAN natif par autre chose que le VLAN1.
Puisque le deuxième commutateur ne sait pas qui a créé la balise VLAN10, il envoie simplement le trafic au deuxième ordinateur. C’est ainsi que se produit une attaque VLAN Hopping, lorsqu’un attaquant pénètre dans un réseau qui lui était initialement inaccessible.
Pour empêcher de telles attaques, vous devez créer des VLAN aléatoires, ou des VLAN aléatoires, par exemple VLAN999, VLAN666, VLAN777, etc., qui ne peuvent pas du tout être utilisés par un attaquant. En même temps, nous accédons aux ports trunk des commutateurs et les configurons pour qu'ils fonctionnent, par exemple, avec Native VLAN666. Dans ce cas, nous modifions le VLAN natif pour les ports tronc de VLAN1 à VLAN66, c'est-à-dire que nous utilisons n'importe quel réseau autre que VLAN1 comme VLAN natif.
Les ports des deux côtés du tronc doivent être configurés sur le même VLAN, sinon nous recevrons une erreur de non-concordance de numéro de VLAN.
Après cette configuration, si un hacker décide de mener une attaque VLAN Hopping, il n’y parviendra pas, car le VLAN1 natif n’est attribué à aucun des ports trunk des commutateurs. Il s'agit de la méthode de protection contre les attaques en créant des VLAN natifs autres que ceux par défaut.
Merci de rester avec nous. Vous aimez nos articles ? Vous voulez voir du contenu plus intéressant ? Soutenez-nous en passant une commande ou en recommandant à vos amis, 30 % de réduction pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme, que nous avons inventé pour vous : (disponible avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher ? Ici seulement aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99$ ! En savoir plus
Source: habr.com