Îro em ê li du mijarên girîng binêrin: DHCP Snooping û VLAN-ên Native "ne-default". Berî ku hûn biçin dersê, ez we vedixwînim ku hûn biçin ser kanala meya YouTube-ê ya din ku hûn dikarin vîdyoyek li ser ka meriv çawa bîranîna xwe baştir dike temaşe bikin. Ez pêşniyar dikim ku hûn bibin aboneya vê kanalê, ji ber ku em li wir gelek serişteyên kêrhatî ji bo xwe-pêşkeftinê dişînin.
Ev ders ji bo lêkolîna beşên 1.7b û 1.7c yên mijara ICND2 ve girêdayî ye. Berî ku em dest bi DHCP Snooping bikin, em çend xalên ji dersên berê bi bîr bînin. Ger ez ne şaş bim, em di Roja 6 û Roja 24 de li ser DHCP fêr bûn. Li wir, mijarên girîng di derbarê destnîşankirina navnîşanên IP-ê ji hêla servera DHCP û pevguhertina peyamên têkildar de hatin nîqaş kirin.
Bi gelemperî, dema ku Bikarhênerek Dawî têkeve torê, ew daxwaznameyek weşanê dişîne torê ku ji hêla hemî amûrên torê ve "bihîstin". Ger ew rasterast bi serverek DHCP ve girêdayî ye, wê hingê daxwaz rasterast diçe serverê. Ger li ser torê amûrên veguheztinê hebin - router û guhêrbar - wê hingê daxwaza serverê bi wan re derbas dibe. Piştî wergirtina daxwazê, servera DHCP bersivê dide bikarhêner, ku jê re daxwazek ji bo bidestxistina navnîşana IP-yê dişîne, piştî ku server navnîşanek weha ji cîhaza bikarhêner re dide. Bi vî rengî pêvajoya wergirtina navnîşana IP-ê di bin şert û mercên normal de pêk tê. Li gorî mînaka di diagramê de, Bikarhêner Dawî dê navnîşana 192.168.10.10 û navnîşana dergehê 192.168.10.1 bistîne. Piştî vê yekê, bikarhêner dê bikaribe bi riya vê dergehê xwe bigihîne Înternetê an jî bi amûrên torê yên din re têkilî daynin.
Ka em bihesibînin ku ji bilî servera DHCP ya rastîn, li ser torê serverek DHCP-ya xapînok heye, ango êrîşkar bi tenê serverek DHCP-ê li ser komputera xwe saz dike. Di vê rewşê de, bikarhêner, ku têkeve torê, di heman demê de peyamek weşanê jî dişîne, ku router û guhêrbar dê berbi servera rastîn ve bişîne.
Lêbelê, servera xapînok jî "guh dide" torê, û piştî ku peyama weşanê wergirt, dê li şûna servera DHCP-a rastîn bi pêşniyara xwe bersivê bide bikarhêner. Bi wergirtina wê, bikarhêner dê razîbûna xwe bide, di encamê de ew ê navnîşek IP-yê ji êrîşkar 192.168.10.2 û navnîşek dergehek 192.168.10.95 bistîne.
Pêvajoya bidestxistina navnîşana IP-ê bi kurteya DORA tê binavkirin û ji 4 qonaxan pêk tê: Vedîtin, Pêşniyar, Daxwaz û Pejirandin. Wekî ku hûn dibînin, êrîşkar dê navnîşek IP-ya qanûnî ya ku di nav rêza berdest a navnîşanên torê de ye bide cîhazê, lê li şûna navnîşana dergehê rastîn 192.168.10.1, ew ê wê bi navnîşanek sexte 192.168.10.95 "xapîne". ango navnîşana komputera xwe.
Piştî vê yekê, hemî seyrûsefera bikarhênerê dawî ya ku berbi Înternetê ve hatî rêve kirin dê di komputera êrîşkar re derbas bibe. Êrîşkar dê wê bêtir rêve bike, û bikarhêner dê bi vê awayê ragihandinê re ti cûdahiyek hîs neke, ji ber ku ew ê hîn jî bikaribe bigihîje Înternetê.
Bi heman rengî, seyrûsefera vegerê ya ji Înternetê dê bi navgîniya komputera êrîşkar ve biherike bikarhêner. Ya ku bi gelemperî jê re tê gotin Êrîşa Mirovê Navîn (MiM) ye. Hemî seyrûsefera bikarhêner dê ji komputera hacker derbas bibe, yê ku dê bikaribe her tiştê ku dişîne an distîne bixwîne. Ev yek celeb êrîşek e ku dikare li ser torên DHCP pêk were.
Cureya duyemîn a êrîşê jê re dibêjin Denial of Service (DoS), an jî "înkarkirina karûbarê". Çi dibe? Komputera hacker êdî ne wekî serverek DHCP tevdigere, ew naha tenê amûrek êrîşkar e. Ew daxwazek Discovery ji servera DHCP-a rastîn re dişîne û di bersivê de peyamek Pêşniyarê distîne, dûv re Daxwazek ji serverê re dişîne û navnîşek IP-yê jê distîne. Komputera êrîşkar her çend milî çirkeyan carekê vê yekê dike, her carê navnîşanek IP-ya nû distîne.
Bi mîhengan ve girêdayî, serverek DHCP-ya rastîn hewzek ji sedan an çend sed navnîşanên IP-ya vala heye. Komputera hacker dê navnîşanên IP-ê .1, .2, .3, û hwd werbigire heya ku hewza navnîşanan bi tevahî xilas bibe. Piştî vê yekê, servera DHCP dê nikaribe navnîşanên IP-ê ji xerîdarên nû yên li ser torê re peyda bike. Ger bikarhênerek nû têkeve torê, ew ê nikaribe navnîşanek IP-ya belaş bistîne. Ev xala êrîşa DoS-ê ya li ser serverek DHCP ye: ji bo ku ew nehêle navnîşanên IP-ê ji bikarhênerên nû re neşîne.
Ji bo li dijî van êrîşan, têgeha DHCP Snooping tê bikar anîn. Ev fonksiyonek OSI-ya XNUMX-yê ye ku mîna ACL-ê tevdigere û tenê li ser guhezkan dixebite. Ji bo fêmkirina DHCP Snooping, hûn hewce ne ku du têgehan bihesibînin: portên pêbawer ên guhezek pêbawer û portên nebawer ên nebawer ên ji bo amûrên torê yên din.
Portên pêbawer dihêlin ku her celeb peyama DHCP derbas bibe. Portên nebawer portên ku xerîdar pê ve girêdayî ne, û DHCP Snooping wiya dike ku her peyamên DHCP yên ku ji wan portan tên werin avêtin.
Ger em pêvajoya DORA bi bîr bînin, peyama D ji xerîdar ji serverê re, û peyama O ji serverê ji xerîdar re tê. Dûv re, peyamek R ji xerîdar ji serverê re tê şandin, û server jî peyamek A ji xerîdar re dişîne.
Peyamên D û R yên ji benderên ne ewledar têne pejirandin, û peyamên mîna O û A têne avêtin. Dema ku fonksiyona DHCP Snooping çalak e, hemî portên veguherînê ji hêla xwerû ve neewle têne hesibandin. Ev fonksiyon hem ji bo veguheztinê bi tevahî hem jî ji bo VLAN-ên kesane dikare were bikar anîn. Mînakî, heke VLAN10 bi portek ve girêdayî be, hûn dikarin vê taybetmendiyê tenê ji bo VLAN10 çalak bikin, û wê hingê porta wê bêbawer bibe.
Gava ku hûn DHCP Snooping çalak bikin, hûn, wekî rêvebirê pergalê, neçar in ku biçin nav mîhengên guheztinê û benderan bi vî rengî mîheng bikin ku tenê portên ku cîhazên mîna serverê pê ve girêdayî ne nebawer têne hesibandin. Ev tê wateya her celeb server, ne tenê DHCP.
Mînakî, heke guhêrbar, router an serverek DHCP-ya rastîn bi portek ve girêdayî be, wê hingê ev port wekî pêbawer tête mîheng kirin. Portên guhezbar ên mayî yên ku cîhazên bikarhênerê dawî an xalên gihîştina bêtêl pê ve girêdayî ne, divê wekî neewle werin mîheng kirin. Ji ber vê yekê, her amûrek wekî xalek gihîştinê ya ku bikarhêner pê ve girêdayî ne bi navgînek nebawer ve bi guheztinê ve girêdide.
Ger komputera êrîşkar peyamên tîpa O û A bişîne ser guhêzbarê, ew ê werin asteng kirin, ango seyrûsefera wusa dê nikaribe di porta nebawer re derbas bibe. Bi vî rengî DHCP Snooping cûreyên êrîşên ku li jor hatine nîqaş kirin asteng dike.
Wekî din, DHCP Snooping tabloyên girêdana DHCP diafirîne. Piştî ku xerîdar navnîşek IP-ê ji serverê werdigire, ev navnîş, digel navnîşana MAC ya cîhaza ku ew wergirtiye, dê têkevin tabloya DHCP Snooping. Van her du taybetmendiyan dê bi porta neewle ya ku xerîdar pê ve girêdayî ye ve girêdayî bin.
Ev ji bo nimûne, ji bo pêşîlêgirtina êrîşek DoS-ê dibe alîkar. Ger xerîdarek bi navnîşana MAC-a diyarkirî berê navnîşek IP-yê wergirtibe, wê hingê çima pêdivî ye ku ew navnîşek IP-ya nû hewce bike? Di vê rewşê de, her hewldanek çalakiyek wusa dê yekser piştî kontrolkirina têketina tabloyê were asteng kirin.
Tiştê din ku divê em nîqaş bikin Nondefault, an VLAN-yên Xwecihî "ne-default" e. Me gelek caran dest li ser mijara VLAN-ê kiriye, 4 dersên vîdyoyê ji van toran re veqetandine. Ger we ji bîr kiriye ev çi ye, ez ji we re şîret dikim ku hûn van dersan binirxînin.
Em dizanin ku di guheztinên Cisco de VLAN-ya xwecî ya xwerû VLAN1 e. Êrîşên bi navê VLAN Hopping hene. Ka em bihesibînin ku komputera di diagramê de ji hêla tora xwemalî ya xwerû VLAN1 ve bi guheztina yekem ve girêdayî ye, û veguheztina paşîn ji hêla tora VLAN10 ve bi komputerê ve girêdayî ye. Kulîlkek di navbera guhêran de tê damezrandin.
Bi gelemperî, gava ku seyrûsefera ji komputera yekem digihîje guheztinê, ew dizane ku porta ku ev komputer pê ve girêdayî ye beşek ji VLAN1 e. Dûv re, ev seyrûsefer di navbera her du guhêrbaran de diçe, û guhertoya yekem bi vî rengî difikire: "ev seyrûsefer ji VLAN-ya xwecihî hat, ji ber vê yekê ne hewce ye ku ez wê etîket bikim," û seyrûsefera bêtagkirî bi dirêjahiya çolê re, ku digihîje guheztina duyemîn.
Switch 2, ku seyrûsefera netegkirî wergirtiye, bi vî rengî difikire: "ji ber ku ev seyrûsefer nenaskirî ye, ev tê vê wateyê ku ew aîdî VLAN1 e, ji ber vê yekê ez nikarim li ser VLAN10 bişînim." Wekî encamek, seyrûsefera ku ji hêla komputera yekem ve hatî şandin nikare bigihîje komputera duyemîn.
Di rastiyê de, divê bi vî rengî çêbibe - seyrûsefera VLAN1 divê nekeve VLAN10. Naha em bifikirin ku li pişt komputera yekem êrîşkarek heye ku bi etîketa VLAN10 çarçoveyek diafirîne û wê dişîne guhêrbar. Ger tê bîra we ka VLAN çawa dixebite, wê hingê hûn dizanin ku ger seyrûsefera etîketkirî bigihîje guhêrbar, ew tiştek bi çarçovê re nake, lê tenê wê li ser çolê bêtir vediguhezîne. Wekî encamek, veguherîna duyemîn dê seyrûseferek bi tagek ku ji hêla êrîşkar ve hatî afirandin, û ne ji hêla veguheztina yekem ve, bistîne.
Ev tê vê wateyê ku hûn VLAN-a xwecihî bi tiştek din ji bilî VLAN1 diguhezînin.
Ji ber ku guhêrbara duyemîn nizane kî etîketa VLAN10 afirandiye, ew bi tenê seyrûseferê dişîne komputera duyemîn. Bi vî rengî êrîşek VLAN Hopping çêdibe, dema ku êrîşkar derbasî tora ku di destpêkê de ji wî re negihîştî bû, diqewime.
Ji bo pêşîgirtina li van êrîşan, hûn hewce ne ku hûn VLAN-ya Random, an VLAN-yên rasthatî biafirînin, mînakî VLAN999, VLAN666, VLAN777, hwd., ku ji hêla êrîşkerek qet nayê bikar anîn. Di heman demê de, em diçin benderên stûyê guhêrkan û wan mîheng dikin ku, mînakî, bi Native VLAN666 re bixebitin. Di vê rewşê de, em VLAN-a xwecihî ya ji bo portên trunk-ê ji VLAN1-ê berbi VLAN66-ê diguhezînin, ango, em ji bilî VLAN1-ê wekî VLAN-a Native tu torê bikar tînin.
Pêdivî ye ku portên li her du aliyên qulikê li heman VLAN-ê werin mîheng kirin, wekî din em ê xeletiyek hevahengiya hejmara VLAN-ê bistînin.
Piştî vê sazkirinê, heke hackerek biryar bide ku êrîşek VLAN Hopping pêk bîne, ew ê bi ser nekeve, ji ber ku VLAN1-ya xwecihî ji yek ji portên guhêzbar ên guhezkan re nayê veqetandin. Ev rêbaza parastina li dijî êrîşan e ku bi afirandina VLAN-ên xwemalî yên ne-default.
Spas ji bo ku hûn bi me re bimînin. Ma hûn ji gotarên me hez dikin? Ma hûn dixwazin naveroka balkêştir bibînin? Piştgiriya me bikin bi danîna fermanek an pêşniyarkirina hevalan, 30% erzanî ji bo bikarhênerên Habr li ser analogek bêhempa ya pêşkêşkerên asta têketinê, ku ji hêla me ve ji bo we hatî vedîtin: (bi RAID1 û RAID10, heta 24 core û heya 40 GB DDR4 peyda dibe).
Dell R730xd 2 car erzantir? Tenê li vir li Hollanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ji $99! Li ser bixwînin
Source: www.habr.com