Oggi affronteremo due argomenti importanti: lo snooping DHCP e le VLAN native “non predefinite”. Prima di passare alla lezione ti invito a visitare l'altro nostro canale YouTube dove potrai guardare un video su come migliorare la tua memoria. Ti consiglio di iscriverti a questo canale, poiché lì pubblichiamo molti suggerimenti utili per l'auto-miglioramento.
Questa lezione è dedicata allo studio delle sottosezioni 1.7b e 1.7c dell'argomento ICND2. Prima di iniziare con lo snooping DHCP, ricordiamo alcuni punti delle lezioni precedenti. Se non sbaglio, abbiamo appreso dell'esistenza del DHCP nei giorni 6 e 24. Lì sono state discusse questioni importanti riguardanti l'assegnazione degli indirizzi IP da parte del server DHCP e lo scambio dei relativi messaggi.
In genere, quando un utente finale accede a una rete, invia una richiesta di trasmissione alla rete che viene "ascoltata" da tutti i dispositivi di rete. Se è connesso direttamente a un server DHCP, la richiesta va direttamente al server. Se sulla rete sono presenti dispositivi di trasmissione - router e switch - la richiesta al server li attraversa. Dopo aver ricevuto la richiesta, il server DHCP risponde all'utente, che gli invia una richiesta per ottenere un indirizzo IP, dopodiché il server rilascia tale indirizzo al dispositivo dell'utente. Ecco come avviene il processo per ottenere un indirizzo IP in condizioni normali. Secondo l'esempio nel diagramma, l'utente finale riceverà l'indirizzo 192.168.10.10 e l'indirizzo gateway 192.168.10.1. Successivamente, l'utente potrà accedere a Internet tramite questo gateway o comunicare con altri dispositivi di rete.
Supponiamo che oltre al vero server DHCP, sulla rete sia presente un server DHCP fraudolento, ovvero che l'aggressore installi semplicemente un server DHCP sul suo computer. In questo caso l'utente, entrato nella rete, invia anche un messaggio broadcast, che il router e lo switch inoltreranno al real server.
Tuttavia, il server canaglia “ascolta” anche la rete e, dopo aver ricevuto il messaggio broadcast, risponderà all'utente con la propria offerta al posto del vero server DHCP. Dopo averlo ricevuto, l'utente darà il suo consenso, a seguito del quale riceverà dall'aggressore un indirizzo IP 192.168.10.2 e un indirizzo gateway 192.168.10.95.
Il processo per ottenere un indirizzo IP è abbreviato in DORA e si compone di 4 fasi: Scoperta, Offerta, Richiesta e Riconoscimento. Come potete vedere, l'aggressore darà al dispositivo un indirizzo IP legale che rientra nell'intervallo disponibile di indirizzi di rete, ma invece del vero indirizzo gateway 192.168.10.1, gli "inserirà" un indirizzo falso 192.168.10.95, cioè l'indirizzo del proprio computer.
Successivamente, tutto il traffico degli utenti finali diretto a Internet passerà attraverso il computer dell’aggressore. L'aggressore lo reindirizzerà ulteriormente e l'utente non noterà alcuna differenza con questo metodo di comunicazione, poiché potrà comunque accedere a Internet.
Allo stesso modo, il traffico di ritorno da Internet arriverà all’utente attraverso il computer dell’aggressore. Questo è quello che viene comunemente chiamato attacco Man in the Middle (MiM). Tutto il traffico degli utenti passerà attraverso il computer dell'hacker, che sarà in grado di leggere tutto ciò che invia o riceve. Questo è un tipo di attacco che può avvenire sulle reti DHCP.
Il secondo tipo di attacco è chiamato Denial of Service (DoS), o “denial of service”. Che succede? Il computer dell'hacker non funge più da server DHCP, ma è semplicemente un dispositivo di attacco. Invia una richiesta di rilevamento al server DHCP reale e riceve in risposta un messaggio di offerta, quindi invia una richiesta al server e riceve da esso un indirizzo IP. Il computer dell'aggressore lo fa ogni pochi millisecondi, ricevendo ogni volta un nuovo indirizzo IP.
A seconda delle impostazioni, un vero server DHCP dispone di un pool di centinaia o diverse centinaia di indirizzi IP liberi. Il computer dell'hacker riceverà gli indirizzi IP .1, .2, .3 e così via fino all'esaurimento completo del pool di indirizzi. Successivamente, il server DHCP non sarà in grado di fornire indirizzi IP ai nuovi client sulla rete. Se un nuovo utente entra nella rete, non potrà ottenere un indirizzo IP gratuito. Questo è lo scopo di un attacco DoS a un server DHCP: impedirgli di rilasciare indirizzi IP a nuovi utenti.
Per contrastare tali attacchi viene utilizzato il concetto di DHCP Snooping. Questa è una funzione OSI di livello XNUMX che agisce come un ACL e funziona solo sugli switch. Per comprendere lo snooping DHCP, è necessario considerare due concetti: porte attendibili di uno switch attendibile e porte non attendibili non attendibili per altri dispositivi di rete.
Le porte attendibili consentono il passaggio di qualsiasi tipo di messaggio DHCP. Le porte non attendibili sono porte a cui sono connessi i client e lo snooping DHCP fa in modo che tutti i messaggi DHCP provenienti da tali porte vengano scartati.
Se ricordiamo il processo DORA, il messaggio D arriva dal client al server e il messaggio O arriva dal server al client. Successivamente, un messaggio R viene inviato dal client al server e il server invia un messaggio A al client.
I messaggi D e R provenienti da porte non protette vengono accettati e i messaggi come O e A vengono scartati. Quando la funzione Snooping DHCP è abilitata, tutte le porte dello switch sono considerate non sicure per impostazione predefinita. Questa funzione può essere utilizzata sia per lo switch nel suo insieme che per le singole VLAN. Ad esempio, se la VLAN10 è connessa a una porta, è possibile abilitare questa funzionalità solo per la VLAN10 e la relativa porta diventerà non attendibile.
Quando abiliti lo snooping DHCP, tu, come amministratore di sistema, dovrai accedere alle impostazioni dello switch e configurare le porte in modo tale che solo le porte a cui sono collegati dispositivi simili al server siano considerate non attendibili. Ciò significa qualsiasi tipo di server, non solo DHCP.
Ad esempio, se a una porta è collegato un altro switch, router o server DHCP reale, questa porta sarà configurata come attendibile. Le restanti porte dello switch a cui sono connessi i dispositivi degli utenti finali o i punti di accesso wireless devono essere configurate come non sicure. Pertanto, qualsiasi dispositivo come un punto di accesso a cui sono connessi gli utenti si connette allo switch tramite una porta non attendibile.
Se il computer dell'aggressore invia messaggi di tipo O e A allo switch, questi verranno bloccati, ovvero tale traffico non potrà passare attraverso la porta non attendibile. Questo è il modo in cui lo snooping DHCP previene i tipi di attacchi discussi sopra.
Inoltre, lo snooping DHCP crea tabelle di associazione DHCP. Dopo che il client ha ricevuto un indirizzo IP dal server, questo indirizzo, insieme all'indirizzo MAC del dispositivo che lo ha ricevuto, verrà inserito nella tabella Snooping DHCP. Queste due caratteristiche saranno associate alla porta non sicura a cui è connesso il client.
Ciò aiuta, ad esempio, a prevenire un attacco DoS. Se un client con un determinato indirizzo MAC ha già ricevuto un indirizzo IP, perché dovrebbe richiedere un nuovo indirizzo IP? In questo caso, qualsiasi tentativo di tale attività verrà impedito immediatamente dopo aver verificato la voce nella tabella.
La prossima cosa di cui dobbiamo discutere sono le VLAN native non predefinite o "non predefinite". Abbiamo più volte toccato il tema delle VLAN, dedicando a queste reti 4 video lezioni. Se hai dimenticato di cosa si tratta, ti consiglio di rivedere queste lezioni.
Sappiamo che negli switch Cisco la VLAN nativa predefinita è VLAN1. Esistono attacchi chiamati VLAN Hopping. Supponiamo che il computer nel diagramma sia collegato al primo switch tramite la rete nativa predefinita VLAN1 e che l'ultimo switch sia collegato al computer tramite la rete VLAN10. Viene stabilito un trunk tra gli switch.
In genere, quando il traffico dal primo computer arriva allo switch, sa che la porta a cui è connesso questo computer fa parte della VLAN1. Successivamente, questo traffico va al trunk tra i due switch e il primo switch ragiona in questo modo: "questo traffico proviene dalla VLAN nativa, quindi non ho bisogno di taggarlo" e inoltra il traffico senza tag lungo il trunk, che arriva al secondo interruttore.
Lo Switch 2, avendo ricevuto traffico senza tag, la pensa così: "poiché questo traffico non è taggato, significa che appartiene alla VLAN1, quindi non posso inviarlo su VLAN10". Di conseguenza, il traffico inviato dal primo computer non può raggiungere il secondo computer.
In realtà, dovrebbe accadere così: il traffico VLAN1 non dovrebbe entrare nella VLAN10. Ora immaginiamo che dietro il primo computer ci sia un malintenzionato che crea un frame con il tag VLAN10 e lo invia allo switch. Se ricordi come funziona la VLAN, allora sai che se il traffico taggato raggiunge lo switch, non fa nulla con il frame, ma lo trasmette semplicemente ulteriormente lungo il trunk. Di conseguenza, il secondo switch riceverà il traffico con un tag creato dall'aggressore e non dal primo switch.
Ciò significa che stai sostituendo la VLAN nativa con qualcosa di diverso da VLAN1.
Poiché il secondo switch non sa chi ha creato il tag VLAN10, invia semplicemente il traffico al secondo computer. Ecco come si verifica un attacco VLAN Hopping, quando un utente malintenzionato penetra in una rete che inizialmente gli era inaccessibile.
Per prevenire tali attacchi, è necessario creare VLAN casuali, o VLAN casuali, ad esempio VLAN999, VLAN666, VLAN777, ecc., che non possono essere utilizzate da un utente malintenzionato. Allo stesso tempo, andiamo alle porte trunk degli switch e li configuriamo per funzionare, ad esempio, con Native VLAN666. In questo caso, modifichiamo la VLAN nativa per le porte trunk da VLAN1 a VLAN66, ovvero utilizziamo qualsiasi rete diversa da VLAN1 come VLAN nativa.
Le porte su entrambi i lati del trunk devono essere configurate sulla stessa VLAN, altrimenti riceveremo un errore di mancata corrispondenza del numero VLAN.
Dopo questa configurazione, se un hacker decide di effettuare un attacco VLAN Hopping, non avrà successo, perché la VLAN1 nativa non è assegnata a nessuna delle porte trunk degli switch. Questo è il metodo di protezione dagli attacchi creando VLAN native non predefinite.
Grazie per stare con noi. Ti piacciono i nostri articoli? Vuoi vedere contenuti più interessanti? Sostienici effettuando un ordine o raccomandando agli amici, Sconto del 30% per gli utenti Habr su un analogo unico di server entry-level, che è stato inventato da noi per te: (disponibile con RAID1 e RAID10, fino a 24 core e fino a 40 GB DDR4).
Dell R730xd 2 volte più economico? Solo qui In Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $99! Leggi
Fonte: habr.com