Hodie duo argumenta momenti spectabimus: DHCP Snooping et "non-default" Nativum VLANs. Priusquam ad lectionem movendam, te invitamus ut alium canalem YouTube nostrum visitare possis ubi inspicere potes ut memoriam tuam emendare possis. Commendo ut huic canali subscribas, ut multum utiles apicibus ad sui emendationem ibi posuimus.
Haec lectio in studio sectionum 1.7b et 1.7c argumenti ICND2 vacat. Antequam incipias cum DHCP Snooping, quaedam puncta ex praemissis lectionibus meminerimus. Si, ni fallor, didicimus DHCP circa diem VI et diem XXIIII. Ibi quaestiones magni momenti de inscriptionibus IP DHCP a servo DHCP tractatae sunt de permutatione nuntiorum correspondentium.
Typice, cum Finis User ligna in retiaculum, petitionem iaci emittit ad retiaculum, quod "auditum" est ab omnibus retis machinis. Si directe cohaereat servo DHCP, petitio directe ad servo accedit. Si machinae tradendae sunt in retis - iter et virgas - tunc petitio servo per eas vadit. Accepta petitione, servo DHCP respondet usori, qui ei mittit petitionem ut IP oratio habeatur, post quod server talem electronicam machinam usoris exit. Ita est processus obtinendi IP oratio sub condicionibus normalibus. Secundum exemplum in schemate, Finis User inscriptionem accipiet 192.168.10.10 et inscriptio porta 192.168.10.1. Postea usor per hanc portam adire poterit vel cum aliis retis machinis communicare.
Demus praeter realem DHCP cultorem fraudulentum DHCP esse in retis servo, id est, oppugnatorem simpliciter, DHCP servo suo computatrum instituendo. Hoc in casu, utentis, cum reticulum ingressus, etiam nuntium iaci emittit, quod iter itineris et transibit ad verum servo.
Sed improbus server etiam "auscultat" retiacula, et, nuntio radiophonico accepto, usori respondebit cum suo oblato pro reali DHCP servo. Usor accepto consensum dabit, ex qua IP oratio ab oppugnante accipiet 192.168.10.2 et electronica porta 192.168.10.95.
Processus obtinendi IP oratio compendiatur pro DORA et consistit in 4 gradibus: Inventio, Offer, Petitio et Agnitio. Ut videre potes, oppugnator fabricam IP inscriptionem legalem dabit quae in electronica retis in promptu est, sed loco portae verae electronicae 192.168.10.1, "labi" eam cum inscriptione ficta 192.168.10.95; id est, oratio ipsius computatrum.
Post haec, omnia negotiatio finis-usoris directa ad Interreti per computatrum oppugnatoris transibit. Percussor ulterius eam redibit, nec ullam differentiam sentiet cum hac communicationis ratione, cum adhuc interreti accedere poterit.
Eodem modo negotiatio a Interreti reditus ad usuram per computatrum inimicus fluet. Hoc est quod vulgo Hominem in Medio (MiM) impetu appellatum est. Omnes commercii usoris transibunt per computatorium piraticae, qui legere poterit omnia quae mittit vel accipit. Hoc unum genus est impetus, qui locum habere potest in retiacula DHCP.
Alterum genus oppugnationis appellatur negatio servitii (DoS), vel Β« negatio servitii Β». Quid accidit? Computatrum piratici non amplius agit ut DHCP server, nunc solum machinam oppugnans. Inventionis petitionem mittit servo DHCP verum, et nuntium oblatum accipit respondens, rogationem mittit servo et inde IP inscriptionem accipit. Computatorium oppugnatoris hoc facit singulis paucis milliseconds, omni tempore novam IP inscriptionem accipientem.
Secundum occasus, verus DHCP cultor piscinam centenariorum vel plurium centum inscriptionum IP vacantium habet. Computatorium piraticum IP inscriptionum .1, .2, .3 accipiet, et sic porro donec piscinae inscriptionum omnino defatigantur. Post haec, DHCP cultor non poterit IP inscriptiones praebere novis clientibus in ornatum. Si novus usor reticulum ingreditur, liberum IP inscriptionem obtinere non poterit. Hoc punctum est impetus DoS in servo DHCP: impedire ne id ferat IP inscriptiones ad novos usores.
Contra tales impetus, notio DHCP Snooping adhibetur. Haec munus stratum OSI XNUMX est quod sicut ACL agit et solum in virgas operatur. Ad intelligendum DHCP Snooping, duos conceptus debes considerare: portus confiditorum transibit creditorum et intrusorum portuum aliis retis machinis.
portus crediti nullum genus nuntium DHCP transire sinunt. Portus crediti sunt portus clientes annexi, et DHCP Snooping id facit ut nuntii DHCP ab illis portubus venientes abiiciantur.
Si processus DORA meminimus, nuntius D ab cliente venit ad server, et nuntius O venit a servo ad clientem. Deinde nuntius R e clienti servo mittitur, et servo nuntium A clienti mittit.
Epistulae D et R ab incertis portubus accipiuntur, et nuntii sicut O et A abiciuntur. Cum munus DHCP Snooping possit, omnes portus transitum per defaltam incertus aestimantur. Hoc munus tam pro toto quam pro singulis VLANs adhiberi potest. Exempli gratia, si VLAN10 cum portu coniungitur, hoc pluma tantum VLAN10 efficere potes, et portus eius intrusus fiet.
Cum DHCP Snooping possis, tu, ut ratio administratoris, in occasus transitum ire debebis et portus configurare ita ut soli portus, quibus machinae similes servo coniunguntur, suspectae putentur. Hoc significat quodlibet genus servo, non solum DHCP.
Exempli gratia, si alius switch, iter vel verus DHCP servo cum portu iungitur, hic portus sicut creditus configuratur. Reliquae portus transitum ad quas machinis usorum vel accessus wireless vel puncta connexa sunt, in incerto configurari debent. Quaevis ergo machinalis talis ut aditus punctus cui utentes connectuntur nectuntur ad transitum per portum trepidum.
Si computatrale oppugnatoris mittit nuntiis generis O et A ad transitum, obstruentur, id est, talis negotiatio per portum trepidum transire non poterit. Hoc modo DHCP Snooping genera impugnationum superius discussarum impedit.
Accedit, DHCP Snooping mensas ligaturas DHCP creat. Post clientem electronicam IP a servo accipit, haec inscriptio, una cum MAC inscriptione technicae quae accepit, DHCP in tabulam Snaooping ingredietur. Hae duae notae coniunctae erunt cum portu incerto cui cliens iungitur.
Hoc iuvat, exempli gratia, ne impetum DoS. Si client cum inscriptionem datam MAC inscriptionem IP iam accepisset, cur novam IP inscriptionem requirere debet? Quo in casu, quivis conatus talis actionis impedietur statim post recognitionem ingressum in mensa.
Proxima res discutienda est Nondefault, vel "non-default" Nativus VLANs. Argumentum VLANs sæpe attigimus, 4 lectiones video his reticulis incumbere. Si quid hoc oblitus es, has lectiones recensere censeo.
Scimus in Cisco permutat defectionem Nativus VLAN esse VLAN1. Impetus vocantur VLAN Hopping. Ponamus computatrum in schemate coniungi cum primo switch per defaltam retis nativa VLAN1, et ultimum transitum cum retis VLAN10 computanti iungitur. Truncus inter virgas constat.
De more, cum negotiatio a primo computatro ad transitum pervenerit, scit portum, cui haec computatura coniungitur, partem VLAN1. Deinde, haec negotiatio ad truncum inter duas virgas accedit, et primum transitum sic cogitat: "negotio haec a Native VLAN venit, ut non opus sit ut tag illud", ac deinceps sine fructu per truncum, quod ad alterum transitum advenit.
Switch 2 , mercatura incondita accepta sic cogitat: "cum negotiatio haec inexpedita sit, significat VLAN1 pertinere, ideo VLAN10 mittere non possum." Quam ob rem, negotiatio a primo computatro missa ad secundum computatorium attingere non potest.
Reapse sic est quomodo acciderit - VLAN1 negotiatio VLAN10. Nunc fingamus post primum computatorem oppugnatorem esse qui replo VLAN10 tag creat et ad transitum mittit. Si meministi quomodo opera VLAN, tunc scis quod si tagged commercium transitum attingit, nihil agit cum corpore, sed simpliciter transmittit in truncum. Quam ob rem secunda commutatio commercium cum tag quod ab oppugnatore creatum est accipiet et non primum transitum.
Hoc significat quod cum alio quam VLAN1 repones Nativum VLAN.
Cum altera commutatio nescit quis VLAN10 tag creaverit, simpliciter ad secundum computatorium negotium mittit. Ita fit oppugnatio VLAN Hopping, cum oppugnator reticulumque initio ei inaccessum penetrat.
Ad eiusmodi impetus prohibendos, debes Random VLAN, vel temere VLANs creare, exempli gratia VLAN999, VLAN666, VLAN777, etc., quae ab oppugnatore omnino adhiberi non possunt. Eodem tempore ad truncum portus virgarum imus et eas ad operandum conformamus, exempli gratia, cum Native VLAN666. In hoc casu mutamus Nativum VLAN pro trunco ββportuum ab VLAN1 ad VLAN66, hoc est, quavis retia praeter VLAN1 ut Native VLAN utimur.
Portus trunci ex utraque parte eidem VLAN configurari debent, alioquin errorem numerum VLAN mismatch accipiemus.
Post hoc institutum, si Piratica oppugnationem VLAN Hopping explere voluerit, non succedet, quia indigena VLAN1 nullis trunci portibus virgarum assignatur. Haec est ratio defendendi contra oppugnationes VLANs non-default indigenas creando.
Gratias tibi ago pro manendo nobiscum. Placetne tibi vasa nostra? Vis videre plus interesting contentus? Suscipe nos ponendo ordinem vel commendando amicos; 30% discount pro usoribus Habr in singulari analogo de servientibus ingressuri, quod a nobis pro vobis est inventum: (praesto cum RAID1 et RAID10, usque ad 24 coros et usque ad 40GB DDR4).
Dell R730xd 2 temporibus vilius? Tantum hic in Belgio! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - from $99! Read about
Source: www.habr.com