Í dag munum við skoða tvö mikilvæg efni: DHCP Snooping og „non-default“ Native VLANs. Áður en þú heldur áfram í kennslustundina býð ég þér að heimsækja aðra YouTube rásina okkar þar sem þú getur horft á myndband um hvernig þú getur bætt minni þitt. Ég mæli með því að þú gerist áskrifandi að þessari rás, þar sem við birtum fullt af gagnlegum ráðum til að bæta sjálfan þig þar.
Þessi lexía er helguð rannsókn á undirköflum 1.7b og 1.7c í ICND2 efninu. Áður en við byrjum að nota DHCP Snooping skulum við muna nokkur atriði úr fyrri kennslustundum. Ef mér skjátlast ekki þá lærðum við um DHCP á degi 6 og 24. Þar voru rædd mikilvæg atriði varðandi úthlutun IP-tala á vegum DHCP miðlara og skipti á samsvarandi skilaboðum.
Venjulega, þegar endir notandi skráir sig inn á net, sendir hann útsendingarbeiðni til netsins sem "heyrast" af öllum nettækjum. Ef það er beintengt við DHCP miðlara fer beiðnin beint á netþjóninn. Ef það eru sendingartæki á netinu - beinar og rofar - þá fer beiðnin til netþjónsins í gegnum þau. Eftir að hafa fengið beiðnina svarar DHCP-þjónninn notandanum sem sendir honum beiðni um að fá IP-tölu, eftir það gefur þjónninn út slíkt heimilisfang í tæki notandans. Svona fer ferlið við að fá IP-tölu fram við venjulegar aðstæður. Samkvæmt dæminu á skýringarmyndinni mun notandi fá heimilisfangið 192.168.10.10 og heimilisfang gáttarinnar 192.168.10.1. Eftir þetta mun notandinn geta nálgast internetið í gegnum þessa gátt eða átt samskipti við önnur nettæki.
Gerum ráð fyrir að til viðbótar við alvöru DHCP þjóninn sé sviksamlegur DHCP þjónn á netinu, það er að árásarmaðurinn setur einfaldlega upp DHCP þjón á tölvunni sinni. Í þessu tilviki sendir notandinn, eftir að hafa farið inn á netið, einnig útsendingarskilaboð sem leið og rofi mun senda til raunverulegs netþjóns.
Hins vegar „hlustar“ fantur netþjónn líka á netið og, eftir að hafa fengið útsendingarskilaboðin, mun hann svara notandanum með sínu eigin tilboði í stað alvöru DHCP netþjónsins. Eftir að hafa fengið það mun notandinn veita samþykki sitt, sem leiðir til þess að hann mun fá IP-tölu frá árásarmanninum 192.168.10.2 og gáttarvistfangið 192.168.10.95.
Ferlið við að fá IP tölu er skammstafað sem DORA og samanstendur af 4 stigum: Uppgötvun, tilboð, beiðni og viðurkenning. Eins og þú sérð mun árásarmaðurinn gefa tækinu löglegt IP-tölu sem er á tiltæku sviði netfönga, en í stað raunverulegs gáttarvistfangs 192.168.10.1 mun hann „renna“ því með fölsuðu heimilisfangi 192.168.10.95, það er heimilisfangið á eigin tölvu hans.
Eftir þetta mun öll notendaumferð sem beint er á internetið fara í gegnum tölvu árásarmannsins. Árásarmaðurinn mun beina því áfram og notandinn mun ekki finna fyrir neinum mun á þessari samskiptaaðferð, þar sem hann mun enn hafa aðgang að internetinu.
Á sama hátt mun skilaumferð frá internetinu streyma til notandans í gegnum tölvu árásarmannsins. Þetta er það sem almennt er kallað Man in the Middle (MiM) árás. Öll notendaumferð mun fara í gegnum tölvu tölvuþrjótans sem mun geta lesið allt sem hann sendir eða tekur á móti. Þetta er ein tegund af árás sem getur átt sér stað á DHCP netum.
Önnur tegund árásar er kölluð Denial of Service (DoS), eða „þjónustuneitun“. Hvað gerist? Tölva tölvuþrjótans virkar ekki lengur sem DHCP þjónn, hún er nú bara árásartæki. Það sendir Discovery beiðni til raunverulegs DHCP netþjóns og fær tilboðsskilaboð sem svar, sendir síðan beiðni til netþjónsins og fær IP tölu frá honum. Tölva árásarmannsins gerir þetta á nokkurra millisekúndna fresti, í hvert sinn sem hún fær nýtt IP-tölu.
Það fer eftir stillingum, raunverulegur DHCP netþjónn hefur hóp af hundruðum eða nokkur hundruð lausum IP tölum. Tölva tölvuþrjótans mun fá IP-tölur .1, .2, .3 og svo framvegis þar til vistföngin eru algjörlega uppurin. Eftir þetta mun DHCP-þjónninn ekki geta veitt IP-tölur til nýrra viðskiptavina á netinu. Ef nýr notandi fer inn á netið mun hann ekki geta fengið ókeypis IP tölu. Þetta er tilgangurinn með DoS árás á DHCP netþjón: að koma í veg fyrir að hann gefi út IP tölur til nýrra notenda.
Til að vinna gegn slíkum árásum er hugtakið DHCP Snooping notað. Þetta er OSI lag XNUMX aðgerð sem virkar eins og ACL og virkar aðeins á rofa. Til að skilja DHCP Snooping þarftu að íhuga tvö hugtök: Traust tengi á traustum rofa og ótraust ótraust tengi fyrir önnur nettæki.
Traust höfn leyfa hvers kyns DHCP skilaboðum að fara í gegnum. Ótraust höfn eru höfn sem viðskiptavinir eru tengdir við og DHCP Snooping gerir það að verkum að öllum DHCP skilaboðum sem koma frá þessum höfnum verður hent.
Ef við rifjum upp DORA ferlið koma skilaboð D frá biðlara til netþjóns og skilaboð O koma frá netþjóni til viðskiptavinar. Næst eru skilaboð R send frá biðlaranum til netþjónsins og miðlarinn sendir skilaboð A til biðlarans.
Skilaboð D og R frá ótryggðum höfnum eru samþykkt og skilaboðum eins og O og A er hent. Þegar DHCP Snooping aðgerðin er virkjuð eru öll skiptitengi sjálfkrafa talin óörugg. Þessa aðgerð er hægt að nota bæði fyrir rofann í heild sinni og fyrir einstök VLAN. Til dæmis, ef VLAN10 er tengt við tengi, geturðu aðeins virkjað þennan eiginleika fyrir VLAN10, og þá verður tengi þess ótraust.
Þegar þú kveikir á DHCP Snooping þarftu, sem kerfisstjóri, að fara í rofastillingarnar og stilla tengin á þann hátt að einungis þær portar sem tæki sem líkjast þjóninum eru tengd við eru talin ótraust. Þetta þýðir hvers konar netþjóna, ekki bara DHCP.
Til dæmis, ef annar rofi, leið eða raunverulegur DHCP netþjónn er tengdur við tengi, þá er þessi tengi stillt sem traust. Eftirstöðvar rofatennanna sem notendatæki eða þráðlausir aðgangsstaðir eru tengdir við verða að vera stillt sem óörugg. Þess vegna tengist hvaða tæki eins og aðgangsstaður sem notendur eru tengdir við rofann í gegnum ótraust tengi.
Ef tölva árásarmannsins sendir skilaboð af gerðinni O og A í rofann verður þeim lokað, það er að segja að slík umferð kemst ekki í gegnum ótrausta tengið. Svona kemur DHCP Snooping í veg fyrir þær tegundir árása sem fjallað er um hér að ofan.
Að auki býr DHCP Snooping til DHCP binditöflur. Eftir að viðskiptavinurinn hefur fengið IP tölu frá þjóninum verður þetta heimilisfang, ásamt MAC vistfangi tækisins sem fékk það, slegið inn í DHCP Snooping töfluna. Þessir tveir eiginleikar verða tengdir óöruggu tenginu sem viðskiptavinurinn er tengdur við.
Þetta hjálpar til dæmis við að koma í veg fyrir DoS árás. Ef viðskiptavinur með tiltekið MAC vistfang hefur þegar fengið IP tölu, hvers vegna ætti það þá að krefjast nýs IP tölu? Í þessu tilviki verður komið í veg fyrir allar tilraunir til slíkrar athafnar strax eftir að hafa athugað færsluna í töflunni.
Það næsta sem við þurfum að ræða er Nondefault, eða „non-default“ Native VLAN. Við höfum ítrekað komið inn á efnið VLAN og helgað 4 myndbandsnámskeiðum þessum netum. Ef þú hefur gleymt hvað þetta er ráðlegg ég þér að fara yfir þessar lexíur.
Við vitum að í Cisco rofum er sjálfgefið Native VLAN VLAN1. Það eru árásir sem kallast VLAN Hopping. Gerum ráð fyrir að tölvan á skýringarmyndinni sé tengd við fyrsta rofann með sjálfgefnu innfæddu neti VLAN1 og síðasti rofinn sé tengdur við tölvuna með VLAN10 netinu. Stofn er komið á milli rofa.
Venjulega, þegar umferð frá fyrstu tölvunni kemur að rofanum, veit það að tengið sem þessi tölva er tengd við er hluti af VLAN1. Næst fer þessi umferð í stofninn á milli rofana tveggja og fyrsti rofinn hugsar svona: „þessi umferð kom frá Native VLAN, svo ég þarf ekki að merkja hana,“ og áframsendur ómerkta umferð eftir skottinu, sem kemur á seinni rofann.
Rofi 2, sem hefur fengið ómerkta umferð, hugsar svona: „þar sem þessi umferð er ómerkt þýðir það að hún tilheyrir VLAN1, svo ég get ekki sent hana yfir VLAN10. Þar af leiðandi getur umferð sem fyrri tölvan sendir ekki náð til annarar tölvunnar.
Í raun og veru ætti þetta að gerast - VLAN1 umferð ætti ekki að komast inn í VLAN10. Nú skulum við ímynda okkur að á bak við fyrstu tölvuna sé árásarmaður sem býr til ramma með VLAN10 merkinu og sendir hann á rofann. Ef þú manst hvernig VLAN virkar, þá veistu að ef merkt umferð nær rofanum, þá gerir það ekkert við rammann, heldur sendir það einfaldlega lengra eftir skottinu. Fyrir vikið mun seinni rofinn taka á móti umferð með merki sem var búið til af árásarmanninum, en ekki af fyrsta rofanum.
Þetta þýðir að þú ert að skipta út Native VLAN fyrir eitthvað annað en VLAN1.
Þar sem seinni rofinn veit ekki hver bjó til VLAN10 merkið sendir hann einfaldlega umferð á seinni tölvuna. Svona á VLAN Hopping árás sér stað þegar árásarmaður kemst inn í net sem var upphaflega óaðgengilegt fyrir hann.
Til að koma í veg fyrir slíkar árásir þarftu að búa til Random VLAN, eða random VLAN, til dæmis VLAN999, VLAN666, VLAN777 o.s.frv., sem árásarmaður getur alls ekki notað. Á sama tíma förum við í stofntengi rofana og stillum þá til að virka til dæmis með Native VLAN666. Í þessu tilviki breytum við Native VLAN fyrir trunk tengi úr VLAN1 í VLAN66, það er að segja við notum hvaða net sem er annað en VLAN1 sem Native VLAN.
Gáttin á báðum hliðum skottinu verða að vera stillt á sama VLAN, annars munum við fá VLAN númer mismatch villa.
Eftir þessa uppsetningu, ef tölvuþrjótur ákveður að framkvæma VLAN Hopping árás, mun hann ekki ná árangri, vegna þess að innfæddur VLAN1 er ekki úthlutað neinum stofntengi rofana. Þetta er aðferðin til að vernda gegn árásum með því að búa til innfædd VLAN sem ekki eru sjálfgefin.
Þakka þér fyrir að vera hjá okkur. Líkar þér við greinarnar okkar? Viltu sjá meira áhugavert efni? Styðjið okkur með því að leggja inn pöntun eða mæla með því við vini, 30% afsláttur fyrir Habr notendur á einstökum hliðstæðum upphafsþjónum, sem var fundið upp af okkur fyrir þig: (fáanlegt með RAID1 og RAID10, allt að 24 kjarna og allt að 40GB DDR4).
Dell R730xd 2 sinnum ódýrari? Aðeins hér í Hollandi! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - frá $99! Lestu um
Heimild: www.habr.com