シスコ トレーニング 200-125 CCNA v3.0。 41 日目: DHCP スヌーピングとデフォルト以外のネイティブ VLAN

今日は、DHCP スヌーピングと「非デフォルト」ネイティブ VLAN という XNUMX つの重要なトピックについて説明します。 レッスンに進む前に、他の YouTube チャンネルにアクセスして、記憶力を向上させる方法に関するビデオをご覧ください。 自己改善に役立つヒントをたくさん投稿しているので、このチャンネルに登録することをお勧めします。

このレッスンでは、ICND1.7 トピックのサブセクション 1.7b と 2c を学習します。 DHCP スヌーピングを始める前に、前のレッスンのいくつかのポイントを思い出してください。 私の記憶が間違っていなければ、DHCP については 6 日目と 24 日目で学びました。 そこでは、DHCP サーバーによる IP アドレスの割り当てと、対応するメッセージの交換に関する重要な問題が議論されました。

通常、エンド ユーザーがネットワークにログオンすると、ブロードキャスト リクエストがネットワークに送信され、すべてのネットワーク デバイスがそれを「受信」します。 DHCP サーバーに直接接続されている場合、リクエストはサーバーに直接送信されます。 ネットワーク上に送信デバイス (ルーターやスイッチ) がある場合、サーバーへのリクエストはそれらを経由します。 リクエストを受信した DHCP サーバーは、ユーザーに応答して IP アドレスを取得するリクエストを送信し、その後、サーバーはそのようなアドレスをユーザーのデバイスに発行します。 通常の状況では、このようにして IP アドレスを取得するプロセスが行われます。 図の例によれば、エンド ユーザーはアドレス 192.168.10.10 とゲートウェイ アドレス 192.168.10.1 を受け取ります。 その後、ユーザーはこのゲートウェイを介してインターネットにアクセスしたり、他のネットワーク デバイスと通信したりできるようになります。

本物の DHCP サーバーに加えて、ネットワーク上に不正な DHCP サーバーが存在すると仮定します。つまり、攻撃者は自分のコンピュータに DHCP サーバーをインストールしただけです。 この場合、ネットワークに入ったユーザーはブロードキャスト メッセージも送信し、ルーターとスイッチはそれを実サーバーに転送します。

ただし、不正サーバーもネットワークを「リッスン」し、ブロードキャスト メッセージを受信すると、実際の DHCP サーバーの代わりに独自のオファーでユーザーに応答します。 これを受け取ったユーザーは同意することになり、その結果、攻撃者から IP アドレス 192.168.10.2 とゲートウェイ アドレス 192.168.10.95 を受け取ることになります。

IP アドレスを取得するプロセスは DORA と略され、検出、オファー、要求、確認の 4 つの段階で構成されます。 ご覧のとおり、攻撃者はネットワーク アドレスの利用可能な範囲内にある正当な IP アドレスをデバイスに与えますが、実際のゲートウェイ アドレス 192.168.10.1 の代わりに、偽のアドレス 192.168.10.95 を「すり抜け」ます。つまり、自分のコンピュータのアドレスです。

この後、インターネットに向けられたすべてのエンドユーザー トラフィックは攻撃者のコンピュータを通過します。 攻撃者はさらにリダイレクトしますが、ユーザーは引き続きインターネットにアクセスできるため、この通信方法と何の違いも感じません。

同様に、インターネットからの戻りトラフィックは、攻撃者のコンピュータを経由してユーザーに流れます。 これは一般に中間者 (MiM) 攻撃と呼ばれるものです。 すべてのユーザー トラフィックはハッカーのコンピュータを通過し、ハッカーは送受信するすべてのものを読み取ることができます。 これは、DHCP ネットワーク上で発生する可能性のある攻撃の XNUMX つのタイプです。

XNUMX 番目のタイプの攻撃は、サービス拒否 (DoS)、または「サービス拒否」と呼ばれます。 何が起こるのですか？ ハッカーのコンピュータはもはや DHCP サーバーとして機能せず、単なる攻撃デバイスとなっています。 実際の DHCP サーバーに Discovery リクエストを送信し、応答として Offer メッセージを受信した後、サーバーにリクエストを送信して、そこから IP アドレスを受け取ります。 攻撃者のコンピュータはこれを数ミリ秒ごとに実行し、そのたびに新しい IP アドレスを受信します。

設定に応じて、実際の DHCP サーバーには数百または数百の空き IP アドレスのプールがあります。 ハッカーのコンピュータは、アドレスのプールが完全になくなるまで、IP アドレス .1、.2、.3 などを受け取ります。 これ以降、DHCP サーバーはネットワーク上の新しいクライアントに IP アドレスを提供できなくなります。 新しいユーザーがネットワークに参入した場合、無料の IP アドレスを取得することはできません。 これが DHCP サーバーに対する DoS 攻撃のポイントです。つまり、DHCP サーバーが新しいユーザーに IP アドレスを発行できないようにすることです。

このような攻撃に対抗するために、DHCP スヌーピングの概念が使用されます。 これは、ACL のように機能し、スイッチ上でのみ動作する OSI レイヤ XNUMX 機能です。 DHCP スヌーピングを理解するには、信頼できるスイッチの信頼できるポートと、他のネットワーク デバイスの信頼できない信頼できないポートという XNUMX つの概念を考慮する必要があります。

信頼されたポートでは、あらゆる種類の DHCP メッセージの通過が許可されます。 信頼できないポートはクライアントが接続されているポートであり、DHCP スヌーピングにより、これらのポートからの DHCP メッセージはすべて破棄されます。

DORA プロセスを思い出すと、メッセージ D はクライアントからサーバーに送信され、メッセージ O はサーバーからクライアントに送信されます。 次に、メッセージ R がクライアントからサーバーに送信され、サーバーはメッセージ A をクライアントに送信します。

セキュリティで保護されていないポートからのメッセージ D および R は受け入れられ、O や A などのメッセージは破棄されます。 DHCP スヌーピング機能が有効になっている場合、デフォルトではすべてのスイッチ ポートが安全でないとみなされます。 この機能は、スイッチ全体と個々の VLAN の両方に使用できます。 たとえば、VLAN10 がポートに接続されている場合、この機能を VLAN10 に対してのみ有効にすると、そのポートは信頼されなくなります。

DHCP スヌーピングを有効にする場合、システム管理者はスイッチ設定に移動し、サーバーと同様のデバイスが接続されているポートのみが信頼できないとみなされるようにポートを構成する必要があります。 これは、DHCP だけでなく、あらゆる種類のサーバーを意味します。
たとえば、別のスイッチ、ルーター、または実際の DHCP サーバーがポートに接続されている場合、このポートは信頼できるポートとして設定されます。 エンドユーザー デバイスまたはワイヤレス アクセス ポイントが接続されている残りのスイッチ ポートは、安全でないものとして設定する必要があります。 したがって、ユーザーが接続されているアクセス ポイントなどのデバイスは、信頼されていないポートを介してスイッチに接続します。

攻撃者のコンピュータがタイプ O および A のメッセージをスイッチに送信した場合、それらはブロックされます。つまり、そのようなトラフィックは信頼できないポートを通過できなくなります。 このようにして、DHCP スヌーピングは上記のタイプの攻撃を防止します。

さらに、DHCP スヌーピングは DHCP バインディング テーブルを作成します。 クライアントがサーバーから IP アドレスを受信すると、このアドレスは、それを受信したデバイスの MAC アドレスとともに DHCP スヌーピング テーブルに入力されます。 これら XNUMX つの特性は、クライアントが接続されている安全でないポートに関連付けられます。

これは、たとえば DoS 攻撃の防止に役立ちます。 特定の MAC アドレスを持つクライアントがすでに IP アドレスを受け取っている場合、なぜ新しい IP アドレスが必要なのでしょうか? この場合、そのようなアクティビティの試みは、テーブル内のエントリをチェックした直後に阻止されます。
次に説明する必要があるのは、デフォルト以外の、つまり「デフォルトではない」ネイティブ VLAN です。 私たちは VLAN のトピックについて繰り返し触れ、これらのネットワークに関する 4 つのビデオ レッスンを提供してきました。 これが何であるかを忘れた場合は、これらのレッスンを復習することをお勧めします。

Cisco スイッチでは、デフォルトのネイティブ VLAN が VLAN1 であることがわかっています。 VLANホッピングと呼ばれる攻撃があります。 図のコンピュータがデフォルトのネイティブ ネットワーク VLAN1 によって最初のスイッチに接続され、最後のスイッチが VLAN10 ネットワークによってコンピュータに接続されていると仮定します。 スイッチ間にトランクが確立されます。

通常、最初のコンピュータからのトラフィックがスイッチに到着すると、このコンピュータが接続されているポートが VLAN1 の一部であることがスイッチに認識されます。 次に、このトラフィックは XNUMX つのスイッチ間のトランクに送られ、最初のスイッチは次のように考えて、「このトラフィックはネイティブ VLAN から送信されたものであるため、タグを付ける必要はありません」と考え、タグなしのトラフィックをトランクに沿って転送します。 XNUMXつ目のスイッチに到着。

タグなしトラフィックを受信したスイッチ 2 は次のように考えます。「このトラフィックはタグなしなので、VLAN1 に属していることを意味するため、VLAN10 経由で送信することはできません。」 その結果、最初のコンピューターから送信されたトラフィックは XNUMX 番目のコンピューターに到達できなくなります。

実際には、これが起こるべきです - VLAN1 トラフィックが VLAN10 に入るべきではありません。 ここで、最初のコンピュータの背後に、VLAN10 タグを持つフレームを作成し、スイッチに送信する攻撃者がいると想像してみましょう。 VLAN の仕組みを覚えていると、タグ付きトラフィックがスイッチに到達しても、フレームは何も処理されず、単にトランクに沿って送信されるだけであることがわかります。 その結果、XNUMX 番目のスイッチは、最初のスイッチではなく攻撃者によって作成されたタグを持つトラフィックを受信します。

これは、ネイティブ VLAN を VLAN1 以外のものに置き換えることを意味します。

10 番目のスイッチは誰が VLANXNUMX タグを作成したかを知らないため、トラフィックを XNUMX 番目のコンピュータに送信するだけです。 これは、攻撃者が最初はアクセスできなかったネットワークに侵入するときに、VLAN ホッピング攻撃が発生する仕組みです。

このような攻撃を防ぐには、攻撃者がまったく使用できないランダム VL​​AN、または VLAN999、VLAN666、VLAN777 などのランダム VL​​AN を作成する必要があります。 同時に、スイッチのトランク ポートに移動し、たとえばネイティブ VLAN666 で動作するように設定します。 この場合、トランク ポートのネイティブ VLAN を VLAN1 から VLAN66 に変更します。つまり、VLAN1 以外のネットワークをネイティブ VLAN として使用します。

トランクの両側のポートは同じ VLAN に設定する必要があります。そうしないと、VLAN 番号の不一致エラーが発生します。

この設定の後、ハッカーが VLAN ホッピング攻撃を実行しようとしても、ネイティブ VLAN1 がスイッチのどのトランク ポートにも割り当てられていないため、成功することはありません。 これは、デフォルト以外のネイティブ VLAN を作成することで攻撃から保護する方法です。

いつもご宿泊いただきありがとうございます。 私たちの記事が気に入っていますか? もっと興味深いコンテンツを見たいですか? 注文したり、友人に勧めたりして私たちをサポートしてください。 Habr ユーザーは、当社があなたのために発明した、エントリーレベルのサーバーに似たユニークな製品を 30% 割引でご利用いただけます。 VPS (KVM) E5-2650 v4 (6 コア) 10GB DDR4 240GB SSD 1Gbps 20 ドルからの真実、またはサーバーを共有する方法? (RAID1 および RAID10、最大 24 コア、最大 40GB DDR4 で利用可能)。

Dell R730xdは2倍安い？ ここだけ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV 199 ドルから オランダで！ Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 ドルから! について読む インフラストラクチャー企業を構築する方法730 ペニーで 5 ユーロの価値がある Dell R2650xd E4-9000 vXNUMX サーバーを使用したクラスですか?

出所： habr.com