Hari ini kita akan melihat dua topik penting: DHCP Snooping dan Native VLAN “non-default”. Sebelum melanjutkan ke pelajaran, saya mengundang Anda untuk mengunjungi saluran YouTube kami yang lain di mana Anda dapat menonton video tentang cara meningkatkan daya ingat Anda. Saya menyarankan Anda berlangganan saluran ini, karena kami memposting banyak tips berguna untuk pengembangan diri di sana.
Pelajaran ini dikhususkan untuk mempelajari subbagian 1.7b dan 1.7c topik ICND2. Sebelum kita memulai DHCP Snooping, mari kita ingat beberapa poin dari pelajaran sebelumnya. Kalau tidak salah, kita belajar tentang DHCP di Hari ke 6 dan Hari ke 24. Di sana, isu-isu penting dibahas mengenai penetapan alamat IP oleh server DHCP dan pertukaran pesan terkait.
Biasanya, ketika Pengguna Akhir masuk ke suatu jaringan, ia mengirimkan permintaan siaran ke jaringan yang “didengar” oleh semua perangkat jaringan. Jika terhubung langsung ke server DHCP, maka permintaan langsung masuk ke server. Jika ada perangkat transmisi di jaringan - router dan switch - maka permintaan ke server melewatinya. Setelah menerima permintaan tersebut, server DHCP merespons pengguna, yang mengiriminya permintaan untuk mendapatkan alamat IP, setelah itu server mengeluarkan alamat tersebut ke perangkat pengguna. Beginilah proses mendapatkan alamat IP terjadi dalam kondisi normal. Berdasarkan contoh pada diagram, Pengguna Akhir akan menerima alamat 192.168.10.10 dan alamat gateway 192.168.10.1. Setelah ini, pengguna akan dapat mengakses Internet melalui gateway ini atau berkomunikasi dengan perangkat jaringan lainnya.
Mari kita asumsikan bahwa selain server DHCP yang sebenarnya, ada server DHCP palsu di jaringan, yaitu penyerang cukup menginstal server DHCP di komputernya. Dalam hal ini, pengguna, setelah memasuki jaringan, juga mengirimkan pesan siaran, yang akan diteruskan oleh router dan switch ke server sebenarnya.
Namun, server jahat juga “mendengarkan” jaringan, dan, setelah menerima pesan siaran, akan menanggapi pengguna dengan tawarannya sendiri, bukan dengan server DHCP yang sebenarnya. Setelah menerimanya, pengguna akan memberikan persetujuannya, sebagai akibatnya ia akan menerima alamat IP dari penyerang 192.168.10.2 dan alamat gateway 192.168.10.95.
Proses mendapatkan alamat IP disingkat DORA dan terdiri dari 4 tahap: Penemuan, Penawaran, Permintaan, dan Pengakuan. Seperti yang Anda lihat, penyerang akan memberikan perangkat alamat IP resmi yang berada dalam kisaran alamat jaringan yang tersedia, tetapi alih-alih alamat gateway asli 192.168.10.1, ia akan “menyelipkannya” dengan alamat palsu 192.168.10.95, yaitu alamat komputernya sendiri.
Setelah ini, semua lalu lintas pengguna akhir yang diarahkan ke Internet akan melewati komputer penyerang. Penyerang akan mengarahkannya lebih jauh, dan pengguna tidak akan merasakan perbedaan apa pun dengan metode komunikasi ini, karena ia masih dapat mengakses Internet.
Dengan cara yang sama, lalu lintas balik dari Internet akan mengalir ke pengguna melalui komputer penyerang. Inilah yang biasa disebut dengan serangan Man in the Middle (MiM). Semua lalu lintas pengguna akan melewati komputer peretas, yang akan dapat membaca semua yang dia kirim atau terima. Ini adalah salah satu jenis serangan yang dapat terjadi pada jaringan DHCP.
Jenis serangan kedua disebut Denial of Service (DoS), atau “denial of service.” Apa yang terjadi? Komputer peretas tidak lagi bertindak sebagai server DHCP, melainkan hanya sebagai perangkat penyerang. Ia mengirimkan permintaan Penemuan ke server DHCP sebenarnya dan menerima pesan Penawaran sebagai tanggapan, kemudian mengirimkan Permintaan ke server dan menerima alamat IP darinya. Komputer penyerang melakukan ini setiap beberapa milidetik, setiap kali menerima alamat IP baru.
Tergantung pada pengaturannya, server DHCP sebenarnya memiliki kumpulan ratusan atau beberapa ratus alamat IP kosong. Komputer peretas akan menerima alamat IP .1, .2, .3, dan seterusnya hingga kumpulan alamat benar-benar habis. Setelah ini, server DHCP tidak akan dapat memberikan alamat IP kepada klien baru di jaringan. Jika pengguna baru memasuki jaringan, dia tidak akan bisa mendapatkan alamat IP gratis. Inilah inti serangan DoS pada server DHCP: untuk mencegahnya mengeluarkan alamat IP ke pengguna baru.
Untuk melawan serangan tersebut, konsep DHCP Snooping digunakan. Ini adalah fungsi OSI layer XNUMX yang bertindak seperti ACL dan hanya bekerja pada switch. Untuk memahami DHCP Snooping, Anda perlu mempertimbangkan dua konsep: port tepercaya dari switch Tepercaya dan port Tidak Tepercaya yang tidak tepercaya untuk perangkat jaringan lain.
Port tepercaya memungkinkan semua jenis pesan DHCP melewatinya. Port yang tidak tepercaya adalah port yang terhubung dengan klien, dan DHCP Snooping membuat pesan DHCP apa pun yang berasal dari port tersebut akan dibuang.
Jika kita mengingat proses DORA, pesan D datang dari klien ke server, dan pesan O datang dari server ke klien. Selanjutnya, pesan R dikirim dari klien ke server, dan server mengirimkan pesan A ke klien.
Pesan D dan R dari port yang tidak aman diterima, dan pesan seperti O dan A dibuang. Ketika fungsi DHCP Snooping diaktifkan, semua port switch dianggap tidak aman secara default. Fungsi ini dapat digunakan baik untuk switch secara keseluruhan maupun untuk VLAN individual. Misalnya, jika VLAN10 terhubung ke suatu port, Anda dapat mengaktifkan fitur ini hanya untuk VLAN10, dan port tersebut akan menjadi tidak tepercaya.
Saat Anda mengaktifkan DHCP Snooping, Anda, sebagai administrator sistem, harus masuk ke pengaturan sakelar dan mengonfigurasi port sedemikian rupa sehingga hanya port yang menghubungkan perangkat yang mirip dengan server yang dianggap tidak tepercaya. Ini berarti semua jenis server, bukan hanya DHCP.
Misalnya, jika switch lain, router, atau server DHCP asli terhubung ke suatu port, maka port ini dikonfigurasi sebagai tepercaya. Port switch lainnya yang terhubung dengan perangkat pengguna akhir atau titik akses nirkabel harus dikonfigurasi sebagai tidak aman. Oleh karena itu, perangkat apa pun seperti titik akses yang terhubung dengan pengguna akan terhubung ke switch melalui port yang tidak tepercaya.
Jika komputer penyerang mengirimkan pesan tipe O dan A ke switch, pesan tersebut akan diblokir, artinya lalu lintas tersebut tidak akan dapat melewati port yang tidak dipercaya. Beginilah cara DHCP Snooping mencegah jenis serangan yang dibahas di atas.
Selain itu, DHCP Snooping membuat tabel pengikatan DHCP. Setelah klien menerima alamat IP dari server, alamat ini, bersama dengan alamat MAC perangkat yang menerimanya, akan dimasukkan ke dalam tabel DHCP Snooping. Kedua karakteristik ini akan dikaitkan dengan port tidak aman yang terhubung dengan klien.
Hal ini membantu, misalnya, untuk mencegah serangan DoS. Jika klien dengan alamat MAC tertentu telah menerima alamat IP, lalu mengapa klien memerlukan alamat IP baru? Dalam hal ini, segala upaya aktivitas tersebut akan dicegah segera setelah memeriksa entri dalam tabel.
Hal berikutnya yang perlu kita diskusikan adalah Nondefault, atau Native VLAN “non-default”. Kami telah berulang kali menyentuh topik VLAN, mencurahkan 4 video pelajaran untuk jaringan ini. Jika Anda lupa apa ini, saya menyarankan Anda untuk meninjau kembali pelajaran ini.
Kita tahu bahwa di switch Cisco, VLAN Asli default adalah VLAN1. Ada serangan yang disebut VLAN Hopping. Mari kita asumsikan bahwa komputer dalam diagram terhubung ke sakelar pertama melalui jaringan asli default VLAN1, dan sakelar terakhir terhubung ke komputer melalui jaringan VLAN10. Sebuah trunk dibuat di antara saklar-saklar.
Biasanya, ketika lalu lintas dari komputer pertama tiba di switch, ia mengetahui bahwa port yang terhubung dengan komputer ini adalah bagian dari VLAN1. Selanjutnya, lalu lintas ini menuju ke trunk di antara dua switch, dan switch pertama berpikir seperti ini: "lalu lintas ini berasal dari VLAN Asli, jadi saya tidak perlu menandainya," dan meneruskan lalu lintas yang tidak diberi tag di sepanjang trunk, yang mana tiba di saklar kedua.
Switch 2, setelah menerima lalu lintas yang tidak diberi tanda, berpikir seperti ini: "karena lalu lintas ini tidak diberi tanda, berarti itu milik VLAN1, jadi saya tidak dapat mengirimkannya melalui VLAN10." Akibatnya trafik yang dikirim komputer pertama tidak bisa sampai ke komputer kedua.
Kenyataannya, inilah yang seharusnya terjadi - lalu lintas VLAN1 tidak boleh masuk ke VLAN10. Sekarang mari kita bayangkan di belakang komputer pertama ada penyerang yang membuat frame dengan tag VLAN10 dan mengirimkannya ke switch. Jika Anda ingat cara kerja VLAN, maka Anda tahu bahwa jika lalu lintas yang diberi tag mencapai switch, ia tidak melakukan apa pun pada frame, tetapi hanya mentransmisikannya lebih jauh di sepanjang trunk. Akibatnya, saklar kedua akan menerima lalu lintas dengan tag yang dibuat oleh penyerang, dan bukan oleh saklar pertama.
Ini berarti Anda mengganti VLAN Asli dengan yang lain selain VLAN1.
Karena switch kedua tidak mengetahui siapa yang membuat tag VLAN10, switch hanya mengirimkan lalu lintas ke komputer kedua. Ini adalah bagaimana serangan VLAN Hopping terjadi ketika penyerang menembus jaringan yang awalnya tidak dapat diakses olehnya.
Untuk mencegah serangan tersebut, Anda perlu membuat Random VLAN, atau VLAN acak, misalnya VLAN999, VLAN666, VLAN777, dll, yang tidak dapat digunakan oleh penyerang sama sekali. Pada saat yang sama, kami pergi ke port utama sakelar dan mengonfigurasinya agar berfungsi, misalnya, dengan Native VLAN666. Dalam hal ini, kami mengubah VLAN Asli untuk port trunk dari VLAN1 ke VLAN66, yaitu, kami menggunakan jaringan apa pun selain VLAN1 sebagai VLAN Asli.
Port di kedua sisi trunk harus dikonfigurasi ke VLAN yang sama, jika tidak kita akan menerima kesalahan ketidakcocokan nomor VLAN.
Setelah pengaturan ini, jika seorang hacker memutuskan untuk melakukan serangan VLAN Hopping, dia tidak akan berhasil, karena VLAN1 asli tidak ditugaskan ke salah satu port utama switch. Ini adalah metode perlindungan terhadap serangan dengan membuat VLAN asli non-default.
Terima kasih untuk tetap bersama kami. Apakah Anda menyukai artikel kami? Ingin melihat konten yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikan kepada teman, Diskon 30% untuk pengguna Habr pada analog unik dari server level awal, yang kami ciptakan untuk Anda: (tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya disini di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mulai $99! Membaca tentang
Sumber: www.habr.com