An-diugh bheir sinn sùil air dà chuspair cudromach: DHCP Snooping agus VLAN Dùthchasach “neo-àbhaisteach”. Mus gluais thu air adhart chun leasan, tha mi a’ toirt cuireadh dhut tadhal air an t-sianal YouTube eile againn far am faic thu bhidio air mar as urrainn dhut do chuimhne adhartachadh. Tha mi a’ moladh gun fo-sgrìobh thu don t-sianal seo, oir bidh sinn a’ postadh tòrr mholaidhean feumail airson fèin-leasachadh an sin.
Tha an leasan seo gu sònraichte airson sgrùdadh air fo-roinnean 1.7b agus 1.7c den chuspair ICND2. Mus tòisich sinn le DHCP Snooping, cuimhnichidh sinn cuid de phuingean bho leasanan roimhe. Mura h-eil mi ceàrr, dh’ ionnsaich sinn mu DHCP ann an Latha 6 agus Latha 24. An sin, chaidh cùisean cudromach a dheasbad a thaobh sònrachadh sheòlaidhean IP leis an t-seirbheisiche DHCP agus iomlaid teachdaireachdan co-fhreagarrach.
Mar as trice, nuair a logas Cleachdaiche Deireannach air lìonra, bidh e a’ cur iarrtas craolaidh chun lìonra a bhios “air a chluinntinn” leis a h-uile inneal lìonraidh. Ma tha e ceangailte gu dìreach ri frithealaiche DHCP, thèid an t-iarrtas gu dìreach chun t-seirbheisiche. Ma tha innealan tar-chuir air an lìonra - routers agus suidsichean - bidh an t-iarrtas chun fhrithealaiche a ’dol troimhe. Às deidh dhaibh an t-iarrtas fhaighinn, bidh am frithealaiche DHCP a’ freagairt don neach-cleachdaidh, a chuireas thuige iarrtas airson seòladh IP fhaighinn, às deidh sin bidh am frithealaiche a’ cur a leithid de sheòladh gu inneal an neach-cleachdaidh. Seo mar a tha am pròiseas airson seòladh IP fhaighinn a’ tachairt fo chumhachan àbhaisteach. A rèir an eisimpleir san dealbh, gheibh an cleachdaiche deireannach an seòladh 192.168.10.10 agus an seòladh geata 192.168.10.1. Às deidh seo, bidh e comasach don neach-cleachdaidh faighinn chun eadar-lìn tron gheata seo no conaltradh le innealan lìonra eile.
Gabhaidh sinn ris, a bharrachd air an fhìor fhrithealaiche DHCP, gu bheil frithealaiche DHCP meallta air an lìonra, is e sin, gu bheil an neach-ionnsaigh dìreach a ’stàladh frithealaiche DHCP air a’ choimpiutair aige. Anns a ’chùis seo, bidh an neach-cleachdaidh, an dèidh a dhol a-steach don lìonra, cuideachd a’ cur teachdaireachd craolaidh, a chuireas an router agus an tionndadh air adhart chun fhìor fhrithealaiche.
Ach, bidh am frithealaiche meallta cuideachd “ag èisteachd” ris an lìonra, agus, às deidh dha an teachdaireachd craolaidh fhaighinn, freagraidh e don neach-cleachdaidh leis an tairgse aige fhèin an àite an fhìor fhrithealaiche DHCP. Às deidh dha fhaighinn, bheir an neach-cleachdaidh a chead, agus mar thoradh air an sin gheibh e seòladh IP bhon neach-ionnsaigh 192.168.10.2 agus seòladh geata 192.168.10.95.
Tha am pròiseas airson seòladh IP fhaighinn air a ghiorrachadh mar DORA agus tha 4 ìrean ann: Lorg, Tairgse, Iarrtas agus Aithneachadh. Mar a chì thu, bheir an neach-ionnsaigh seòladh IP laghail don inneal a tha anns an raon de sheòlaidhean lìonra a tha rim faighinn, ach an àite an fhìor sheòladh geata 192.168.10.1, bidh e “sleamhnachadh” le seòladh meallta 192.168.10.95, 's e sin, seòladh a' choimpiutair aige fhèin.
Às deidh seo, thèid a h-uile trafaic cleachdaiche deireannach a thèid a stiùireadh chun eadar-lìn tro choimpiutair an neach-ionnsaigh. Bidh an neach-ionnsaigh ga ath-stiùireadh nas fhaide, agus cha bhith an neach-cleachdaidh a ’faireachdainn eadar-dhealachadh sam bith leis an dòigh conaltraidh seo, leis gum bi e comasach dha faighinn chun eadar-lìn fhathast.
San aon dòigh, bidh trafaic tilleadh bhon eadar-lìn a’ sruthadh chun neach-cleachdaidh tro choimpiutair an neach-ionnsaigh. Is e seo an rud ris an canar gu cumanta ionnsaigh Man in the Middle (MiM). Thèid a h-uile trafaic luchd-cleachdaidh tro choimpiutair an neach-tarraing, a bhios comasach air a h-uile dad a chuireas e no a gheibh e a leughadh. Is e seo aon seòrsa ionnsaigh a dh'fhaodas tachairt air lìonraidhean DHCP.
Is e an dàrna seòrsa ionnsaigh ris an canar diùltadh seirbheis (DoS), no “diùltadh seirbheis.” Dè thachras? Chan eil coimpiutair an neach-tarraing ag obair mar fhrithealaiche DHCP tuilleadh, chan eil ann a-nis ach inneal ionnsaigh. Bidh e a’ cur iarrtas Discovery chun fhìor fhrithealaiche DHCP agus a’ faighinn teachdaireachd Tairgse mar fhreagairt, an uairsin a’ cur Iarrtas chun t-seirbheisiche agus a’ faighinn seòladh IP bhuaithe. Bidh coimpiutair an neach-ionnsaigh a’ dèanamh seo a h-uile beagan mhillean-seconds, gach uair a’ faighinn seòladh IP ùr.
A rèir nan roghainnean, tha cruinneachadh de cheudan no ceudan de sheòlaidhean IP falamh aig frithealaiche DHCP fìor. Gheibh coimpiutair an neach-tarraing seòlaidhean IP .1, .2, .3, agus mar sin air adhart gus am bi an cruinneachadh de sheòlaidhean gu tur sgìth. Às deidh seo, cha bhith e comasach don fhrithealaiche DHCP seòlaidhean IP a thoirt do luchd-dèiligidh ùr air an lìonra. Ma thèid neach-cleachdaidh ùr a-steach don lìonra, cha bhith e comasach dha seòladh IP an-asgaidh fhaighinn. Is e seo puing ionnsaigh DoS air frithealaiche DHCP: gus casg a chuir air bho bhith a’ toirt seachad seòlaidhean IP gu luchd-cleachdaidh ùr.
Gus cuir an-aghaidh ionnsaighean mar sin, thathas a’ cleachdadh bun-bheachd DHCP Snooping. Is e seo gnìomh OSI layer XNUMX a tha ag obair mar ACL agus nach obraich ach air suidsichean. Gus DHCP Snooping a thuigsinn, feumaidh tu beachdachadh air dà bhun-bheachd: puirt earbsach tionndadh earbsach agus puirt neo-earbsach airson innealan lìonra eile.
Leigidh puirt earbsach le seòrsa sam bith de theachdaireachd DHCP a dhol troimhe. Tha puirt neo-earbsach nam puirt ris a bheil teachdaichean ceangailte, agus bidh DHCP Snooping ga dhèanamh gus an tèid teachdaireachdan DHCP sam bith a thig bho na puirt sin a thilgeil air falbh.
Ma chuimhnicheas sinn air pròiseas DORA, thig teachdaireachd D bhon neach-dèiligidh chun an fhrithealaiche, agus thig teachdaireachd O bhon fhrithealaiche chun neach-dèiligidh. An ath rud, thèid teachdaireachd R a chuir bhon neach-dèiligidh chun an fhrithealaiche, agus bidh am frithealaiche a’ cur teachdaireachd A chun neach-dèiligidh.
Gabhar ri teachdaireachdan D agus R bho phuirt neo-thèarainte, agus thèid teachdaireachdan mar O agus A a thilgeil air falbh. Nuair a tha gnìomh DHCP Snooping air a chomasachadh, thathas den bheachd gu bheil a h-uile port suidse neo-thèarainte gu bunaiteach. Faodar an gnìomh seo a chleachdadh an dà chuid airson an tionndadh gu h-iomlan agus airson VLANn fa leth. Mar eisimpleir, ma tha VLAN10 ceangailte ri port, chan urrainn dhut am feart seo a chomasachadh ach airson VLAN10, agus an uairsin bidh am port aige neo-earbsach.
Nuair a bheir thu comas do DHCP Snooping, feumaidh tu fhèin, mar rianadair siostaim, a dhol a-steach do na roghainnean suidse agus na puirt a rèiteachadh ann an dòigh nach eilear a’ meas ach na puirt ris a bheil innealan coltach ris an fhrithealaiche ceangailte gun earbsa. Tha seo a’ ciallachadh seòrsa sam bith de fhrithealaiche, chan e dìreach DHCP.
Mar eisimpleir, ma tha tionndadh eile, router no frithealaiche DHCP fìor ceangailte ri port, tha am port seo air a rèiteachadh mar earbsa. Feumaidh na puirt suidse a tha air fhàgail ris a bheil innealan cleachdaiche deireannach no puingean inntrigidh gun uèir ceangailte a bhith air an rèiteachadh mar neo-chinnteach. Mar sin, bidh inneal sam bith leithid àite inntrigidh ris a bheil luchd-cleachdaidh ceangailte a’ ceangal ris an suidse tro phort neo-earbsach.
Ma chuireas coimpiutair an neach-ionnsaigh teachdaireachdan de sheòrsa O agus A chun suidse, thèid am bacadh, is e sin, cha bhith e comasach don trafaic sin a dhol tron phort gun earbsa. Seo mar a tha DHCP Snooping a 'cur casg air na seòrsaichean ionnsaighean a chaidh a dheasbad gu h-àrd.
A bharrachd air an sin, bidh DHCP Snooping a’ cruthachadh bùird ceangail DHCP. Às deidh don neach-dèiligidh seòladh IP fhaighinn bhon t-seirbheisiche, thèid an seòladh seo, còmhla ri seòladh MAC an inneal a fhuair e, a chuir a-steach don chlàr DHCP Snooping. Bidh an dà fheart seo co-cheangailte ris a’ phort mì-chinnteach ris a bheil an neach-dèiligidh ceangailte.
Bidh seo a’ cuideachadh, mar eisimpleir, gus casg a chuir air ionnsaigh DoS. Ma tha neach-dèiligidh le seòladh MAC sònraichte air seòladh IP fhaighinn mu thràth, carson a tha feum air seòladh IP ùr? Anns a 'chùis seo, thèid oidhirp sam bith air a leithid de ghnìomhachd a chasg sa bhad an dèidh sgrùdadh a dhèanamh air an inntrigeadh sa chlàr.
Is e an ath rud air am feum sinn beachdachadh air Nondefault, no VLAN Dùthchasach “neo-àbhaisteach”. Tha sinn air suathadh a-rithist air cuspair VLANn, a’ toirt seachad leasanan bhidio 4 dha na lìonraidhean sin. Ma tha thu air dìochuimhneachadh dè a tha seo, tha mi a 'toirt comhairle dhut ath-sgrùdadh a dhèanamh air na leasanan sin.
Tha fios againn gur e VLAN1 an VLAN Dùthchasach bunaiteach ann an Cisco. Tha ionnsaighean ann ris an canar VLAN Hopping. Gabhamaid ris gu bheil an coimpiutair san dealbh ceangailte ris a 'chiad tionndadh leis an lìonra dùthchasach bunaiteach VLAN1, agus tha an tionndadh mu dheireadh ceangailte ris a' choimpiutair leis an lìonra VLAN10. Tha stoc air a stèidheachadh eadar na suidsichean.
Mar as trice, nuair a ruigeas trafaic bhon chiad choimpiutair an suidse, tha fios aige gu bheil am port ris a bheil an coimpiutair seo ceangailte mar phàirt de VLAN1. An ath rud, bidh an trafaic seo a’ dol chun stoc eadar an dà suidse, agus tha a’ chiad suidse a’ smaoineachadh mar seo: “Thàinig an trafaic seo bhon VLAN Dùthchasach, agus mar sin chan fheum mi tagadh a dhèanamh air,” agus air adhart trafaic gun tagadh air feadh an stoc, a tha a’ tighinn chun dàrna tionndadh.
Tha Switch 2, às deidh dha trafaic gun tagadh fhaighinn, a’ smaoineachadh mar seo: “leis nach eil an trafaic seo air a chomharrachadh, tha e a’ ciallachadh gur ann le VLAN1 a tha e, agus mar sin chan urrainn dhomh a chuir thairis air VLAN10. ” Mar thoradh air an sin, chan urrainn dha trafaic a chuir a’ chiad choimpiutair an dàrna coimpiutair a ruighinn.
Ann an da-rìribh, seo mar a bu chòir dha tachairt - cha bu chòir do thrafaig VLAN1 faighinn a-steach do VLAN10. A-nis smaoinichidh sinn gu bheil neach-ionnsaigh air cùl a’ chiad choimpiutair a chruthaicheas frèam leis an taga VLAN10 agus a chuireas chun suidse e. Ma chuimhnicheas tu mar a tha VLAN ag obair, tha fios agad ma ruigeas trafaic tagaichean an suidse, nach dèan e dad leis an fhrèam, ach dìreach ga chuir air adhart nas fhaide air adhart air an stoc. Mar thoradh air an sin, gheibh an dàrna tionndadh trafaic le tag a chaidh a chruthachadh leis an neach-ionnsaigh, agus chan ann leis a’ chiad suidse.
Tha seo a’ ciallachadh gu bheil thu a’ cur rudeigin eile seach VLAN1 an àite an VLAN Dùthchasach.
Leis nach eil fios aig an dàrna tionndadh cò chruthaich an taga VLAN10, bidh e dìreach a’ cur trafaic chun dàrna coimpiutair. Seo mar a thachras ionnsaigh VLAN Hopping, nuair a thèid neach-ionnsaigh a-steach do lìonra nach robh furasta faighinn thuige an toiseach.
Gus casg a chuir air ionnsaighean mar sin, feumaidh tu VLAN air thuaiream, no VLAN air thuaiream, a chruthachadh, mar eisimpleir VLAN999, VLAN666, VLAN777, msaa, nach urrainn neach-ionnsaigh a chleachdadh idir. Aig an aon àm, bidh sinn a 'dol gu prìomh phuirt nan suidsichean agus gan rèiteachadh gus obrachadh, mar eisimpleir, le Native VLAN666. Anns a 'chùis seo, bidh sinn ag atharrachadh an VLAN Dùthchasach airson prìomh phuirt bho VLAN1 gu VLAN66, is e sin, bidh sinn a' cleachdadh lìonra sam bith a bharrachd air VLAN1 mar an VLAN Dùthchasach.
Feumaidh na puirt air gach taobh den stoc a bhith air an rèiteachadh leis an aon VLAN, air neo gheibh sinn mearachd mì-fhreagarrachd àireamh VLAN.
Às deidh an stèidheachadh seo, ma cho-dhùnas neach-tarraing ionnsaigh VLAN Hopping a dhèanamh, cha bhith e soirbheachail, oir chan eil VLAN1 dùthchasach air a shònrachadh do phrìomh phuirt nan suidsichean. Is e seo an dòigh air dìon an aghaidh ionnsaighean le bhith a’ cruthachadh VLANan dùthchasach neo-àbhaisteach.
Tapadh leibh airson fuireach còmhla rinn. An toil leat na h-artaigilean againn? A bheil thu airson susbaint nas inntinniche fhaicinn? Thoir taic dhuinn le bhith a’ cur òrdugh no a’ moladh do charaidean, Lasachadh de 30% airson luchd-cleachdaidh Habr air analog sònraichte de luchd-frithealaidh ìre inntrigidh, a chaidh a chruthachadh leinn dhut: (ri fhaighinn le RAID1 agus RAID10, suas ri 24 cores agus suas ri 40GB DDR4).
Dell R730xd 2 uair nas saoire? A-mhàin an seo anns an Òlaind! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - bho $99! Leugh mu dheidhinn
Source: www.habr.com