Бүгүн биз эки маанилүү теманы карайбыз: DHCP Snooping жана "демейки эмес" Native VLANлар. Сабакка өтүүдөн мурун мен сизди башка YouTube каналыбызга кирүүгө чакырам, анда эс тутумуңузду кантип жакшыртуу боюнча видеону көрө аласыз. Мен сизге бул каналга жазылууну сунуштайм, анткени биз ал жерде өзүн өзү өркүндөтүү боюнча көптөгөн пайдалуу кеңештерди жарыялайбыз.
Бул сабак ICND1.7 темасынын 1.7b жана 2c бөлүмчөлөрүн изилдөөгө арналган. DHCP Snooping менен баштоодон мурун, мурунку сабактардагы кээ бир ойлорду эстеп көрөлү. Жаңылбасам, биз DHCP жөнүндө 6 жана 24-күндө билдик. Ал жерде DHCP сервери тарабынан IP даректерди ыйгаруу жана тиешелүү билдирүүлөрдү алмашуу боюнча маанилүү маселелер талкууланды.
Адатта, Акыркы Колдонуучу тармакка киргенде, ал тармакка бардык тармактык түзмөктөр "уга турган" берүү сурамын жөнөтөт. Эгер ал түздөн-түз DHCP серверине туташкан болсо, анда сурам түздөн-түз серверге барат. Тармакта өткөргүч түзүлүштөр - роутер жана коммутаторлор бар болсо, серверге суроо-талап алар аркылуу өтөт. Сурамды алгандан кийин, DHCP сервери колдонуучуга жооп берет, ал ага IP дарегин алуу өтүнүчүн жөнөтөт, андан кийин сервер мындай даректи колдонуучунун түзмөгүнө берет. Кадимки шарттарда IP дарегин алуу жараяны ушундай болот. Диаграммадагы мисалга ылайык, Акыркы колдонуучу 192.168.10.10 дарегин жана 192.168.10.1 шлюз дарегин алат. Андан кийин колдонуучу бул шлюз аркылуу Интернетке кире алат же башка тармактык түзүлүштөр менен байланыша алат.
Чыныгы DHCP серверинен тышкары тармакта алдамчы DHCP сервери бар деп коёлу, башкача айтканда, чабуулчу жөн эле DHCP серверин өзүнүн компьютерине орнотот. Бул учурда, колдонуучу тармакка киргенден кийин, ошондой эле роутер жана коммутатор чыныгы серверге жөнөтүүчү уктуруу билдирүүсүн жөнөтөт.
Бирок, бузуку сервер тармакты да "угуйт" жана трансляциялык билдирүүнү алып, чыныгы DHCP серверинин ордуна колдонуучуга өзүнүн сунушу менен жооп берет. Аны алгандан кийин колдонуучу өз макулдугун берет, анын натыйжасында ал чабуулчудан 192.168.10.2 IP дарегин жана 192.168.10.95 шлюз дарегин алат.
IP даректи алуу процесси DORA деп кыскартылып, 4 этаптан турат: Ачылыш, Сунуш, Сураныч жана Ыраазычылык. Көрүнүп тургандай, чабуулчу түзмөккө тармак даректеринин жеткиликтүү диапазонундагы мыйзамдуу IP дарегин берет, бирок 192.168.10.1 чыныгы шлюз дарегинин ордуна, аны 192.168.10.95 жасалма дареги менен "тайып" салат. башкача айтканда, өзүнүн компьютеринин дареги.
Андан кийин, Интернетке багытталган бардык акыркы колдонуучу трафик чабуулчунун компьютери аркылуу өтөт. Чабуулчу аны андан ары багыттайт жана колдонуучу бул байланыш ыкмасынан эч кандай айырманы сезбейт, анткени ал дагы эле Интернетке кире алат.
Ошол сыяктуу эле, Интернеттен кайтарылган трафик чабуулчунун компьютери аркылуу колдонуучуга агып кетет. Бул көбүнчө Ортодогу адам (MiM) чабуулу деп аталат. Колдонуучунун бардык трафиги хакердин компьютери аркылуу өтөт, ал жөнөткөн же кабыл алган нерселердин баарын окуй алат. Бул DHCP тармактарында орун алышы мүмкүн болгон чабуулдун бир түрү.
Кол салуунун экинчи түрү Кызматтан баш тартуу (DoS) же “кызмат көрсөтүүдөн баш тартуу” деп аталат. Эмне болот? Хакердин компьютери мындан ары DHCP серверинин милдетин аткарбайт, ал жөн гана чабуулчу түзүлүш болуп калды. Ал чыныгы DHCP серверине Discovery өтүнүчүн жөнөтөт жана жооп катары Сунуш кабарын алат, андан кийин серверге Сурам жөнөтөт жана андан IP дарегин алат. Чабуулчунун компьютери муну бир нече миллисекунд сайын жасайт, ар бир жолу жаңы IP дарегин алат.
Орнотууларга жараша, чыныгы DHCP серверинде жүздөгөн же бир нече жүз бош IP даректери бар. Хакердин компьютери IP даректерин .1, .2, .3 ж.б. даректер бассейни толук түгөнгөнгө чейин алат. Андан кийин, DHCP сервери тармактагы жаңы кардарларга IP даректерди бере албайт. Эгерде жаңы колдонуучу тармакка кирсе, ал бекер IP дарегин ала албайт. Бул DHCP серверине DoS чабуулунун максаты: анын жаңы колдонуучуларга IP даректерин берүүсүнө жол бербөө.
Мындай чабуулдарга каршы туруу үчүн DHCP Snooping концепциясы колдонулат. Бул ACL сыяктуу иштеген жана өчүргүчтөр менен гана иштеген OSI катмарынын XNUMX функциясы. DHCP Snooping түшүнүү үчүн эки түшүнүктү карап чыгышыңыз керек: Ишенимдүү которуштуруунун ишенимдүү порттору жана башка тармак түзмөктөрү үчүн ишенимсиз Ишенимсиз порттор.
Ишенимдүү порттор DHCP билдирүүлөрүнүн каалаган түрү аркылуу өтүүгө мүмкүндүк берет. Ишенимсиз порттор - бул кардарлар туташкан порттор жана DHCP Snooping бул порттордон келген бардык DHCP билдирүүлөрү жок кылынгандай кылат.
DORA процессин эстесек, D билдирүүсү кардардан серверге, ал эми О билдирүүсү серверден кардарга келет. Андан кийин R билдирүүсү кардардан серверге жөнөтүлөт, ал эми сервер кардарга А билдирүүсүн жөнөтөт.
Корголбогон порттордон D жана R билдирүүлөрү кабыл алынат жана O жана A сыяктуу билдирүүлөр жокко чыгарылат. DHCP Snooping функциясы иштетилгенде, бардык коммутатор порттору демейки боюнча кооптуу деп эсептелет. Бул функцияны бүтүндөй коммутатор үчүн да, жеке VLAN үчүн да колдонсо болот. Мисалы, VLAN10 портуна туташкан болсо, бул функцияны VLAN10 үчүн гана иштете аласыз, андан кийин анын порту ишенимсиз болуп калат.
DHCP Snooping иштетилгенде, сиз системанын администратору катары коммутатор орнотууларына кирип, портторду серверге окшош түзүлүштөр туташтырылган порттор гана ишенимсиз деп эсептегидей кылып конфигурациялашыңыз керек болот. Бул DHCP гана эмес, сервердин бардык түрүн билдирет.
Мисалы, башка которгуч, роутер же чыныгы DHCP сервери портко туташкан болсо, анда бул порт ишенимдүү катары конфигурацияланат. Акыркы колдонуучу түзмөктөрү же зымсыз кирүү чекиттери туташтырылган калган коммутатор порттору кооптуу деп конфигурацияланышы керек. Демек, колдонуучулар туташкан кирүү чекити сыяктуу ар кандай түзмөк которгучка ишенимсиз порт аркылуу туташат.
Эгерде чабуулчунун компьютери коммутаторго О жана А тибиндеги билдирүүлөрдү жөнөтсө, алар бөгөттөлөт, башкача айтканда, мындай трафик ишенимсиз порт аркылуу өтө албайт. Ушундайча DHCP Snooping жогоруда талкууланган чабуулдардын түрлөрүн алдын алат.
Кошумча, DHCP Snooping DHCP милдеттүү таблицаларын түзөт. Кардар серверден IP дарегин алгандан кийин, бул дарек аны кабыл алган түзүлүштүн MAC дареги менен бирге DHCP Snooping таблицасына киргизилет. Бул эки мүнөздөмө кардар туташкан кооптуу порт менен байланыштуу болот.
Бул, мисалы, DoS чабуулун алдын алууга жардам берет. Эгерде берилген MAC дареги бар кардар буга чейин IP дарегин алган болсо, анда эмне үчүн ал жаңы IP даректи талап кылышы керек? Бул учурда, таблицадагы жазууну текшергенден кийин дароо мындай аракетке бөгөт коюлат.
Биз талкуулашыбыз керек болгон кийинки нерсе - Default, же "демейки эмес" Native VLANлар. Биз VLAN темасына бир нече жолу токтолуп, бул тармактарга 4 видеосабак арнадык. Эгер бул эмне экенин унутуп калсаңыз, мен сизге бул сабактарды карап чыгууну сунуштайм.
Биз Cisco которуштурууларында демейки Native VLAN VLAN1 экенин билебиз. VLAN Hopping деп аталган чабуулдар бар. Диаграммадагы компьютер биринчи которгучка демейки түпнуска тармагы VLAN1, ал эми акыркы коммутатор компьютерге VLAN10 тармагы аркылуу туташкан деп коёлу. Өткөргүчтөрдүн ортосунда магистралдык орнотулган.
Адатта, биринчи компьютерден трафик коммутаторго келгенде, ал бул компьютер туташтырылган порт VLAN1дин бир бөлүгү экенин билет. Андан кийин, бул трафик эки которгучтун ортосундагы магистральга барат жана биринчи которгуч мындай деп ойлойт: "бул трафик Native VLANдан келди, андыктан мен аны белгилөөнүн кереги жок" жана трафикти магистралдык бойлото белгиленбеген трафикти багыттайт, бул экинчи которгучка келет.
Которуу 2, белгиленбеген трафикти кабыл алып, мындай деп ойлойт: "бул трафик белгиленбегендиктен, ал VLAN1ге таандык дегенди билдирет, ошондуктан мен аны VLAN10 аркылуу жөнөтө албайм." Натыйжада, биринчи компьютер жөнөткөн трафик экинчи компьютерге жете албайт.
Чындыгында, бул ушундай болушу керек - VLAN1 трафиги VLAN10го кирбеши керек. Эми биринчи компьютердин артында VLAN10 теги менен кадрды түзүп, аны коммутаторго жөнөткөн чабуулчу бар экенин элестетип көрөлү. Эгерде сиз VLAN кантип иштээрин эстеп жатсаңыз, анда тег коюлган трафик которгучка жетсе, ал кадр менен эч нерсе кылбай, аны жөн гана магистраль боюнча андан ары өткөрөрүн билесиз. Натыйжада, экинчи коммутатор биринчи которгуч эмес, чабуулчу тарабынан түзүлгөн теги менен трафикти алат.
Бул Native VLANды VLAN1ден башка нерсеге алмаштырып жатканыңызды билдирет.
Экинчи которгуч VLAN10 тегин ким жаратканын билбегендиктен, ал жөн гана трафикти экинчи компьютерге жөнөтөт. VLAN Hopping чабуулу чабуулчу башында ага жеткиликсиз болгон тармакка киргенде ушундай болот.
Мындай чабуулдарды болтурбоо үчүн Random VLAN же туш келди VLAN түзүшүңүз керек, мисалы VLAN999, VLAN666, VLAN777 ж.б., аларды чабуулчу такыр колдоно албайт. Ошол эле учурда биз коммутаторлордун магистралдык портторуна барып, аларды, мисалы, Native VLAN666 менен иштөө үчүн конфигурациялайбыз. Бул учурда, магистралдык порттор үчүн Native VLANды VLAN1ден VLAN66га алмаштырабыз, башкача айтканда, Native VLAN катары VLAN1ден башка каалаган тармакты колдонобуз.
Магистральдын эки тарабындагы порттор бир эле VLANга конфигурацияланышы керек, антпесе VLAN номеринин дал келбегендиги катасын алабыз.
Бул орнотуудан кийин, эгер хакер VLAN Hopping чабуулун ишке ашырууну чечсе, анда ал ийгиликке жете албайт, анткени жергиликтүү VLAN1 өчүргүчтөрдүн магистралдык портторунун бирине да дайындалган эмес. Бул демейки эмес жергиликтүү VLANдарды түзүү аркылуу чабуулдардан коргоо ыкмасы.
Биз менен болгонуңуз үчүн рахмат. Биздин макалалар сизге жагабы? Көбүрөөк кызыктуу мазмунду көргүңүз келеби? Буйрутма берүү же досторуңузга сунуштоо менен бизди колдоңуз, Habr колдонуучулары үчүн биз сиз үчүн ойлоп тапкан баштапкы деңгээлдеги серверлердин уникалдуу аналогуна 30% арзандатуу: (RAID1 жана RAID10 менен жеткиликтүү, 24 өзөккө чейин жана 40 ГБ DDR4 чейин).
Dell R730xd 2 эсе арзанбы? Бул жерде гана Нидерландыда! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 доллардан! Жөнүндө окуу
Source: www.habr.com