Այսօր մենք կդիտարկենք երկու կարևոր թեմա՝ DHCP Snooping և «ոչ լռելյայն» Native VLAN-ներ: Նախքան դասին անցնելը, հրավիրում եմ ձեզ այցելել մեր մյուս YouTube ալիքը, որտեղ կարող եք դիտել տեսանյութ, թե ինչպես բարելավել ձեր հիշողությունը: Խորհուրդ եմ տալիս բաժանորդագրվել այս ալիքին, քանի որ մենք այնտեղ տեղադրում ենք շատ օգտակար խորհուրդներ ինքնակատարելագործման համար:
Այս դասը նվիրված է ICND1.7 թեմայի 1.7b և 2c ենթաբաժինների ուսումնասիրությանը: Նախքան DHCP Snooping-ը սկսելը, եկեք հիշենք որոշ կետեր նախորդ դասերից: Եթե չեմ սխալվում, DHCP-ի մասին իմացանք 6-րդ և 24-րդ օրը։ Այնտեղ քննարկվեցին DHCP սերվերի կողմից IP հասցեների հատկացման և համապատասխան հաղորդագրությունների փոխանակման հետ կապված կարևոր հարցեր։
Սովորաբար, երբ վերջնական օգտատերը մուտք է գործում ցանց, նա հեռարձակման հարցում է ուղարկում ցանցին, որը «լսվում է» բոլոր ցանցային սարքերի կողմից: Եթե այն ուղղակիորեն միացված է DHCP սերվերին, ապա հարցումն անմիջապես գնում է սերվեր: Եթե ցանցում կան փոխանցման սարքեր՝ երթուղիչներ և անջատիչներ, ապա սերվերին ուղղված հարցումն անցնում է դրանց միջոցով: Հարցումը ստանալուց հետո DHCP սերվերը պատասխանում է օգտատիրոջը, ով նրան դիմում է ուղարկում IP հասցե ստանալու համար, որից հետո սերվերը նման հասցե է տալիս օգտագործողի սարքին: Այսպես է տեղի ունենում IP հասցեի ստացման գործընթացը նորմալ պայմաններում։ Դիագրամի օրինակի համաձայն՝ Վերջնական օգտվողը կստանա 192.168.10.10 հասցեն և 192.168.10.1 դարպասի հասցեն: Դրանից հետո օգտատերը կկարողանա մուտք գործել ինտերնետ այս դարպասի միջոցով կամ շփվել այլ ցանցային սարքերի հետ:
Ենթադրենք, որ բացի իրական DHCP սերվերից, ցանցում կա խարդախ DHCP սերվեր, այսինքն՝ հարձակվողն իր համակարգչի վրա ուղղակի տեղադրում է DHCP սերվեր։ Այս դեպքում օգտատերը, մտնելով ցանց, ուղարկում է նաև հեռարձակման հաղորդագրություն, որը երթուղիչն ու անջատիչը կփոխանցեն իրական սերվերին։
Այնուամենայնիվ, խարդախ սերվերը նույնպես «լսում է» ցանցը և, ստանալով հեռարձակման հաղորդագրությունը, իրական DHCP սերվերի փոխարեն օգտատիրոջը կպատասխանի իր առաջարկով: Ստանալով այն՝ օգտատերը կտա իր համաձայնությունը, ինչի արդյունքում հարձակվողից կստանա IP հասցե 192.168.10.2 և 192.168.10.95 դարպասի հասցե:
IP հասցե ստանալու գործընթացը կրճատված է որպես DORA և բաղկացած է 4 փուլից՝ Հայտնաբերում, Առաջարկ, Հարցում և Հաստատում։ Ինչպես տեսնում եք, հարձակվողը սարքին կտա օրինական IP հասցե, որը գտնվում է ցանցային հասցեների հասանելի տիրույթում, սակայն իրական դարպասի 192.168.10.1 հասցեի փոխարեն նա «կսայթաքի» այն կեղծ հասցեով 192.168.10.95, այսինքն՝ սեփական համակարգչի հասցեն։
Դրանից հետո ինտերնետին ուղղված ողջ վերջնական օգտագործողի տրաֆիկը կանցնի հարձակվողի համակարգչով: Հարձակվողը կվերահղի այն հետագա, և օգտատերը որևէ տարբերություն չի զգա հաղորդակցման այս եղանակով, քանի որ նա դեռ կկարողանա մուտք գործել ինտերնետ:
Նույն կերպ, ինտերնետից հետադարձ տրաֆիկը հոսելու է դեպի օգտվողը հարձակվողի համակարգչի միջոցով: Սա այն է, ինչ սովորաբար կոչվում է «Մարդը միջինում» (MiM) հարձակումը: Օգտատիրոջ ողջ տրաֆիկը կանցնի հաքերի համակարգչով, ով կկարողանա կարդալ այն ամենը, ինչ նա ուղարկում կամ ստանում է։ Սա հարձակումներից մեկն է, որը կարող է տեղի ունենալ DHCP ցանցերում:
Հարձակման երկրորդ տեսակը կոչվում է ծառայության մերժում (DoS) կամ «ծառայության մերժում»: Ինչ է կատարվում? Հաքերների համակարգիչն այլևս չի գործում որպես DHCP սերվեր, այն այժմ պարզապես հարձակվող սարք է։ Այն ուղարկում է Discovery հարցում իրական DHCP սերվերին և ի պատասխան ստանում Առաջարկի հաղորդագրություն, այնուհետև հարցում է ուղարկում սերվերին և դրանից ստանում IP հասցե։ Հարձակվողի համակարգիչը դա անում է ամեն մի քանի միլիվայրկյանը՝ ամեն անգամ ստանալով նոր IP հասցե:
Կախված պարամետրերից, իրական DHCP սերվերն ունի հարյուրավոր կամ մի քանի հարյուր թափուր IP հասցեների լողավազան: Հաքերի համակարգիչը կստանա IP հասցեներ .1, .2, .3 և այլն, մինչև հասցեների ֆոնդը ամբողջությամբ սպառվի: Դրանից հետո DHCP սերվերը չի կարողանա IP հասցեներ տրամադրել ցանցի նոր հաճախորդներին: Եթե նոր օգտվողը մտնի ցանց, նա չի կարողանա անվճար IP հասցե ստանալ։ Սա DHCP սերվերի վրա DoS հարձակման կետն է՝ թույլ չտալ, որ այն IP հասցեներ տրամադրի նոր օգտվողներին:
Նման հարձակումներին դիմակայելու համար օգտագործվում է DHCP Snooping հասկացությունը: Սա OSI շերտ XNUMX ֆունկցիա է, որը գործում է ACL-ի պես և աշխատում է միայն անջատիչների վրա: DHCP Snooping-ը հասկանալու համար դուք պետք է հաշվի առնեք երկու հասկացություն՝ Trusted switch-ի վստահելի պորտեր և այլ ցանցային սարքերի համար անվստահելի անվստահելի նավահանգիստներ:
Վստահելի նավահանգիստները թույլ են տալիս անցնել ցանկացած տեսակի DHCP հաղորդագրություն: Անվստահելի նավահանգիստները այն նավահանգիստներն են, որոնց միացված են հաճախորդները, և DHCP Snooping-ը այնպես է դարձնում, որ այդ նավահանգիստներից եկող ցանկացած DHCP հաղորդագրություն չեղարկվի:
Եթե հիշենք DORA գործընթացը, ապա D հաղորդագրությունը գալիս է հաճախորդից սերվեր, իսկ O հաղորդագրությունը սերվերից հաճախորդին: Հաջորդը, R հաղորդագրություն է ուղարկվում հաճախորդից սերվերին, իսկ սերվերը ուղարկում է A հաղորդագրություն հաճախորդին:
Անապահով նավահանգիստներից D և R հաղորդագրություններն ընդունվում են, իսկ O և A հաղորդագրությունները մերժվում են: Երբ DHCP Snooping ֆունկցիան միացված է, անջատիչի բոլոր պորտերը լռելյայն համարվում են անապահով: Այս ֆունկցիան կարող է օգտագործվել ինչպես անջատիչի, այնպես էլ առանձին VLAN-ների համար: Օրինակ, եթե VLAN10-ը միացված է պորտին, կարող եք միացնել այս հնարավորությունը միայն VLAN10-ի համար, և այնուհետև դրա միացքը կդառնա անվստահելի:
Երբ միացնում եք DHCP Snooping-ը, դուք՝ որպես համակարգի ադմինիստրատոր, պետք է մտնեք անջատիչի կարգավորումներ և կարգավորեք նավահանգիստները այնպես, որ անվստահելի համարվեն միայն այն նավահանգիստները, որոնց միացված են սերվերին նման սարքերը: Սա նշանակում է ցանկացած տեսակի սերվեր, ոչ միայն DHCP:
Օրինակ, եթե մեկ այլ անջատիչ, երթուղիչ կամ իրական DHCP սերվեր միացված է պորտին, ապա այս նավահանգիստը կազմաձևվում է որպես վստահելի: Մնացած անջատիչ պորտերը, որոնց միացված են վերջնական օգտագործողի սարքերը կամ անլար մուտքի կետերը, պետք է կազմաձևվեն որպես անապահով: Հետևաբար, ցանկացած սարք, ինչպիսին է մուտքի կետը, որին միացված են օգտվողները, միանում է անջատիչին անվստահելի պորտի միջոցով:
Եթե հարձակվողի համակարգիչը O և A տիպի հաղորդագրություններ ուղարկի անջատիչին, ապա դրանք կարգելափակվեն, այսինքն՝ նման տրաֆիկը չի կարողանա անցնել անվստահելի պորտով։ Ահա թե ինչպես է DHCP Snooping-ը կանխում վերը քննարկված հարձակումների տեսակները:
Բացի այդ, DHCP Snooping-ը ստեղծում է DHCP պարտադիր աղյուսակներ: Այն բանից հետո, երբ հաճախորդը սերվերից կստանա IP հասցե, այս հասցեն, այն ստացած սարքի MAC հասցեի հետ միասին, մուտքագրվելու է DHCP Snooping աղյուսակում: Այս երկու բնութագրերը կապված կլինեն անապահով պորտի հետ, որին միացված է հաճախորդը:
Սա օգնում է, օրինակ, կանխել DoS հարձակումը: Եթե տվյալ MAC հասցեով հաճախորդն արդեն ստացել է IP հասցե, ապա ինչո՞ւ պետք է նոր IP հասցե պահանջի: Այս դեպքում նման գործունեության ցանկացած փորձ կկանխվի աղյուսակի գրառումը ստուգելուց անմիջապես հետո:
Հաջորդ բանը, որ մենք պետք է քննարկենք, Nodefault կամ «ոչ լռելյայն» Native VLAN-ներն են: Մենք բազմիցս անդրադարձել ենք VLAN-ների թեմային՝ այս ցանցերին նվիրելով 4 տեսադաս։ Եթե մոռացել եք, թե ինչ է սա, խորհուրդ եմ տալիս վերանայել այս դասերը:
Մենք գիտենք, որ Cisco անջատիչների մեջ լռելյայն Native VLAN-ը VLAN1 է: Կան հարձակումներ, որոնք կոչվում են VLAN Hopping: Ենթադրենք, որ դիագրամում պատկերված համակարգիչը միացված է առաջին անջատիչին լռելյայն բնիկ VLAN1 ցանցով, իսկ վերջին անջատիչը միացված է համակարգչին VLAN10 ցանցով: Անջատիչների միջև տեղադրվում է բեռնախցիկ:
Սովորաբար, երբ առաջին համակարգչից տրաֆիկը հասնում է անջատիչին, նա գիտի, որ այն նավահանգիստը, որին միացված է այս համակարգիչը, VLAN1-ի մի մասն է: Այնուհետև այս տրաֆիկը գնում է դեպի բեռնախցիկ երկու անջատիչների միջև, և առաջին փոխարկիչը մտածում է այսպես. հասնում է երկրորդ անջատիչին:
Անջատիչ 2-ը, ստանալով չպիտակավորված տրաֆիկ, մտածում է այսպես. «քանի որ այս տրաֆիկը պիտակավորված չէ, նշանակում է, որ այն պատկանում է VLAN1-ին, ուստի ես չեմ կարող այն ուղարկել VLAN10-ով»: Արդյունքում, առաջին համակարգչի կողմից ուղարկված տրաֆիկը չի կարող հասնել երկրորդ համակարգչին:
Իրականում դա այդպես պետք է լինի. VLAN1 տրաֆիկը չպետք է մտնի VLAN10: Հիմա եկեք պատկերացնենք, որ առաջին համակարգչի հետևում կա հարձակվող, ով VLAN10 թեգով շրջանակ է ստեղծում և ուղարկում անջատիչին։ Եթե հիշում եք, թե ինչպես է աշխատում VLAN-ը, ապա գիտեք, որ եթե պիտակավորված տրաֆիկը հասնում է անջատիչին, այն ոչինչ չի անում շրջանակի հետ, այլ պարզապես այն փոխանցում է բեռնախցիկի երկայնքով: Արդյունքում, երկրորդ անջատիչը կստանա թրաֆիկ պիտակով, որը ստեղծվել է հարձակվողի կողմից, այլ ոչ թե առաջին անջատիչի կողմից:
Սա նշանակում է, որ դուք փոխարինում եք Native VLAN-ը այլ բանով, քան VLAN1-ը:
Քանի որ երկրորդ անջատիչը չգիտի, թե ով է ստեղծել VLAN10 թեգը, այն պարզապես ուղարկում է տրաֆիկը երկրորդ համակարգչին: Ահա թե ինչպես է տեղի ունենում VLAN Hopping գրոհը, երբ հարձակվողը թափանցում է ցանց, որն ի սկզբանե անհասանելի էր նրա համար։
Նման հարձակումները կանխելու համար պետք է ստեղծել Random VLAN, կամ պատահական VLAN-ներ, օրինակ VLAN999, VLAN666, VLAN777 և այլն, որոնք ընդհանրապես չեն կարող օգտագործել հարձակվողը։ Միևնույն ժամանակ, մենք գնում ենք անջատիչների միջքաղաքային նավահանգիստները և կարգավորում դրանք աշխատելու համար, օրինակ, Native VLAN666-ի հետ: Այս դեպքում մենք փոխում ենք Native VLAN-ը միջքաղաքային նավահանգիստների համար VLAN1-ից VLAN66-ի, այսինքն՝ մենք օգտագործում ենք ցանկացած այլ ցանց, բացի VLAN1-ից, որպես Native VLAN:
Բեռնախցիկի երկու կողմերում գտնվող պորտերը պետք է կազմաձևվեն նույն VLAN-ով, հակառակ դեպքում մենք կստանանք VLAN համարի անհամապատասխանության սխալ:
Այս կարգավորումից հետո, եթե հաքերը որոշի իրականացնել VLAN Hopping գրոհ, նա հաջողության չի հասնի, քանի որ բնիկ VLAN1-ը նշանակված չէ անջատիչների միջքաղաքային պորտերից որևէ մեկին: Սա հարձակումներից պաշտպանվելու մեթոդ է՝ ստեղծելով ոչ լռելյայն բնիկ VLAN-ներ:
Շնորհակալություն մեզ հետ մնալու համար: Ձեզ դուր են գալիս մեր հոդվածները: Ցանկանու՞մ եք տեսնել ավելի հետաքրքիր բովանդակություն: Աջակցեք մեզ՝ պատվիրելով կամ խորհուրդ տալով ընկերներին, 30% զեղչ Habr-ի օգտատերերի համար մուտքի մակարդակի սերվերների եզակի անալոգի վրա, որը ստեղծվել է մեր կողմից ձեզ համար. (հասանելի է RAID1 և RAID10-ով, մինչև 24 միջուկով և մինչև 40 ԳԲ DDR4):
Dell R730xd 2 անգամ ավելի էժան? Միայն այստեղ Նիդեռլանդներում! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99-ից: Կարդացեք մասին
Source: www.habr.com