Šiandien apžvelgsime dvi svarbias temas: DHCP šnipinėjimą ir „numatytuosius“ vietinius VLAN. Prieš pereinant prie pamokos, kviečiu apsilankyti kitame mūsų YouTube kanale, kuriame galėsite pažiūrėti vaizdo įrašą, kaip pagerinti atmintį. Rekomenduoju užsiprenumeruoti šį kanalą, nes jame skelbiame daug naudingų patarimų savęs tobulinimui.
Ši pamoka skirta ICND1.7 temos 1.7b ir 2c poskyrių studijoms. Prieš pradėdami naudotis DHCP šnipinėjimu, prisiminkime kai kuriuos ankstesnių pamokų dalykus. Jei neklystu, apie DHCP sužinojome 6 ir 24 dieną. Ten buvo aptarti svarbūs klausimai dėl DHCP serverio IP adresų priskyrimo ir apsikeitimo atitinkamomis žinutėmis.
Paprastai, kai galutinis vartotojas prisijungia prie tinklo, jis siunčia transliavimo užklausą tinklui, kurį „girdi“ visi tinklo įrenginiai. Jei jis yra tiesiogiai prijungtas prie DHCP serverio, tada užklausa siunčiama tiesiai į serverį. Jei tinkle yra perdavimo įrenginių - maršrutizatorių ir jungiklių, tada užklausa serveriui eina per juos. Gavęs užklausą, DHCP serveris atsako vartotojui, kuris siunčia jam prašymą gauti IP adresą, po kurio serveris tokį adresą išduoda vartotojo įrenginiui. Taip įprastomis sąlygomis vyksta IP adreso gavimo procesas. Pagal diagramos pavyzdį galutinis vartotojas gaus adresą 192.168.10.10 ir šliuzo adresą 192.168.10.1. Po to vartotojas galės prisijungti prie interneto per šį šliuzą arba bendrauti su kitais tinklo įrenginiais.
Tarkime, kad be tikrojo DHCP serverio tinkle yra ir apgaulingas DHCP serveris, tai yra, užpuolikas tiesiog įdiegia DHCP serverį savo kompiuteryje. Tokiu atveju vartotojas, patekęs į tinklą, taip pat siunčia transliacijos pranešimą, kurį maršrutizatorius ir jungiklis persiųs į tikrą serverį.
Tačiau nesąžiningas serveris taip pat „klauso“ tinklo ir, gavęs transliacijos pranešimą, atsakys vartotojui savo pasiūlymu, o ne tikruoju DHCP serveriu. Jį gavęs vartotojas duos sutikimą, dėl kurio iš užpuoliko gaus IP adresą 192.168.10.2 ir šliuzo adresą 192.168.10.95.
IP adreso gavimo procesas yra sutrumpintas kaip DORA ir susideda iš 4 etapų: atradimas, pasiūlymas, prašymas ir patvirtinimas. Kaip matote, užpuolikas suteiks įrenginiui legalų IP adresą, kuris yra prieinamame tinklo adresų diapazone, tačiau vietoj tikrojo šliuzo adreso 192.168.10.1 jis „nukreips“ jį su netikru adresu 192.168.10.95, tai yra jo paties kompiuterio adresas.
Po to visas galutinio vartotojo srautas, nukreiptas į internetą, pereis per užpuoliko kompiuterį. Užpuolikas jį nukreips toliau, o vartotojas nepajus jokio skirtumo naudojant šį ryšio būdą, nes jis vis tiek galės prisijungti prie interneto.
Tokiu pat būdu grįžtamasis srautas iš interneto pateks į vartotoją per užpuoliko kompiuterį. Tai yra tai, kas paprastai vadinama „Žmogaus viduryje“ (MiM) ataka. Visas vartotojų srautas praeis per įsilaužėlio kompiuterį, kuris galės skaityti viską, ką siunčia ar gauna. Tai vienas iš atakų tipų, galinčių įvykti DHCP tinkluose.
Antrasis atakų tipas vadinamas paslaugų atsisakymu (DoS) arba „paslaugų atsisakymu“. Kas atsitinka? Įsilaužėlių kompiuteris nebeveikia kaip DHCP serveris, dabar tai tik atakuojantis įrenginys. Jis siunčia atradimo užklausą į tikrąjį DHCP serverį ir atsakydamas gauna pasiūlymo pranešimą, tada siunčia užklausą serveriui ir iš jo gauna IP adresą. Užpuoliko kompiuteris tai daro kas kelias milisekundes, kiekvieną kartą gaudamas naują IP adresą.
Priklausomai nuo nustatymų, tikras DHCP serveris turi šimtų ar kelių šimtų laisvų IP adresų telkinį. Įsilaužėlių kompiuteris gaus IP adresus .1, .2, .3 ir t. t., kol adresų telkinys bus visiškai išnaudotas. Po to DHCP serveris negalės suteikti IP adresų naujiems tinklo klientams. Jei į tinklą įeis naujas vartotojas, jis negalės gauti nemokamo IP adreso. Tai yra DoS atakos prieš DHCP serverį esmė: neleisti jam išduoti IP adresų naujiems vartotojams.
Norint kovoti su tokiomis atakomis, naudojama DHCP šnipinėjimo sąvoka. Tai OSI XNUMX lygio funkcija, kuri veikia kaip ACL ir veikia tik su jungikliais. Norėdami suprasti DHCP šnipinėjimą, turite atsižvelgti į dvi sąvokas: patikimus patikimo jungiklio prievadus ir nepatikimus kitų tinklo įrenginių nepatikimus prievadus.
Patikimi prievadai leidžia perduoti bet kokio tipo DHCP pranešimus. Nepatikimi prievadai yra prievadai, prie kurių yra prisijungę klientai, o DHCP Snooping leidžia tai padaryti, kad visi iš tų prievadų gaunami DHCP pranešimai būtų atmesti.
Jei prisimename DORA procesą, pranešimas D ateina iš kliento į serverį, o pranešimas O ateina iš serverio į klientą. Tada iš kliento į serverį siunčiamas pranešimas R, o serveris siunčia pranešimą A klientui.
D ir R pranešimai iš neapsaugotų prievadų priimami, o pranešimai, tokie kaip O ir A, atmetami. Kai įjungta DHCP šnipinėjimo funkcija, pagal numatytuosius nustatymus visi komutatoriaus prievadai laikomi nesaugiais. Šią funkciją galima naudoti tiek visam jungikliui, tiek atskiriems VLAN. Pavyzdžiui, jei VLAN10 prijungtas prie prievado, šią funkciją galite įjungti tik VLAN10, tada jo prievadas taps nepatikimas.
Įjungę DHCP Snooping, jūs, kaip sistemos administratorius, turėsite pereiti į jungiklio nustatymus ir sukonfigūruoti prievadus taip, kad nepatikimais būtų laikomi tik tie prievadai, prie kurių prijungti įrenginiai, panašūs į serverį. Tai reiškia bet kokio tipo serverį, ne tik DHCP.
Pavyzdžiui, jei prie prievado prijungtas kitas jungiklis, maršrutizatorius arba tikras DHCP serveris, šis prievadas sukonfigūruojamas kaip patikimas. Likę jungiklio prievadai, prie kurių prijungti galutinio vartotojo įrenginiai arba belaidžiai prieigos taškai, turi būti sukonfigūruoti kaip nesaugūs. Todėl bet koks įrenginys, pvz., prieigos taškas, prie kurio prisijungę vartotojai, jungiasi prie jungiklio per nepatikimą prievadą.
Jei užpuoliko kompiuteris į jungiklį siunčia O ir A tipo pranešimus, jie bus užblokuoti, tai yra, toks srautas negalės praeiti per nepatikimą prievadą. Taip DHCP Snooping užkerta kelią aukščiau aptartiems atakų tipams.
Be to, DHCP Snooping sukuria DHCP susiejimo lenteles. Klientui gavus IP adresą iš serverio, šis adresas kartu su jį gavusio įrenginio MAC adresu bus įvestas į DHCP šnipinėjimo lentelę. Šios dvi charakteristikos bus susietos su nesaugiu prievadu, prie kurio prijungtas klientas.
Tai padeda, pavyzdžiui, užkirsti kelią DoS atakai. Jei klientas su nurodytu MAC adresu jau gavo IP adresą, kodėl jam turėtų būti reikalingas naujas IP adresas? Tokiu atveju, patikrinus įrašą lentelėje, iš karto bus užkirstas kelias tokiai veiklai.
Kitas dalykas, kurį turime aptarti, yra nenumatytieji arba „nenumatytieji“ vietiniai VLAN. Ne kartą palietėme VLAN temą, šiems tinklams skirdami 4 video pamokas. Jei pamiršote, kas tai yra, patariu peržiūrėti šias pamokas.
Žinome, kad Cisco komutatoriuose numatytasis vietinis VLAN yra VLAN1. Yra atakų, vadinamų VLAN Hopping. Tarkime, kad diagramoje esantis kompiuteris yra prijungtas prie pirmojo jungiklio numatytuoju vietiniu tinklu VLAN1, o paskutinis jungiklis yra prijungtas prie kompiuterio VLAN10 tinklu. Tarp jungiklių įrengiamas kamienas.
Paprastai, kai srautas iš pirmojo kompiuterio patenka į jungiklį, jis žino, kad prievadas, prie kurio prijungtas šis kompiuteris, yra VLAN1 dalis. Tada šis srautas nukreipiamas į magistralinę dalį tarp dviejų jungiklių, o pirmasis jungiklis galvoja taip: „šis srautas atkeliavo iš vietinio VLAN, todėl man nereikia jo žymėti“ ir persiunčia nepažymėtą srautą magistralėje, kuri ateina prie antrojo jungiklio.
2 jungiklis, gavęs nepažymėtą srautą, galvoja taip: „kadangi šis srautas nepažymėtas, tai reiškia, kad jis priklauso VLAN1, todėl negaliu jo siųsti per VLAN10“. Dėl to pirmojo kompiuterio siunčiamas srautas negali pasiekti antrojo kompiuterio.
Realiai taip ir turi nutikti – VLAN1 srautas neturėtų patekti į VLAN10. Dabar įsivaizduokime, kad už pirmojo kompiuterio yra užpuolikas, kuris sukuria rėmelį su VLAN10 žyma ir siunčia jį į jungiklį. Jei prisimenate, kaip veikia VLAN, žinote, kad jei pažymėtas srautas pasiekia jungiklį, jis nieko nedaro su rėmeliu, o tiesiog perduoda jį toliau palei kamieną. Dėl to antrasis jungiklis gaus srautą su žyma, kurią sukūrė užpuolikas, o ne pirmasis jungiklis.
Tai reiškia, kad vietinį VLAN keičiate kitu nei VLAN1.
Kadangi antrasis jungiklis nežino, kas sukūrė VLAN10 žymą, jis tiesiog siunčia srautą į antrąjį kompiuterį. Taip įvyksta VLAN Hopping ataka, kai užpuolikas įsiskverbia į tinklą, kuris iš pradžių jam buvo nepasiekiamas.
Norėdami užkirsti kelią tokioms atakoms, turite sukurti atsitiktinius VLAN arba atsitiktinius VLAN, pvz., VLAN999, VLAN666, VLAN777 ir kt., kurių užpuolikas apskritai negali naudoti. Tuo pačiu metu einame į jungiklių magistralinius prievadus ir sukonfigūruojame juos veikti, pavyzdžiui, su Native VLAN666. Tokiu atveju pagrindinį prievadų vietinį VLAN pakeičiame iš VLAN1 į VLAN66, tai yra, kaip vietinį VLAN naudojame bet kurį kitą tinklą, išskyrus VLAN1.
Abiejose kamieno pusėse esantys prievadai turi būti sukonfigūruoti į tą patį VLAN, kitaip gausime VLAN numerio neatitikimo klaidą.
Po šios sąrankos įsilaužėliui nusprendus įvykdyti VLAN Hopping ataką, jam nepavyks, nes gimtoji VLAN1 nėra priskirta nė vienam iš jungiklių magistralinių prievadų. Tai būdas apsisaugoti nuo atakų kuriant nenumatytuosius vietinius VLAN.
Dėkojame, kad likote su mumis. Ar jums patinka mūsų straipsniai? Norite pamatyti įdomesnio turinio? Palaikykite mus pateikdami užsakymą ar rekomenduodami draugams, 30% nuolaida Habr vartotojams unikaliam pradinio lygio serverių analogui, kurį mes sugalvojome jums: (galima su RAID1 ir RAID10, iki 24 branduolių ir iki 40 GB DDR4).
Dell R730xd 2 kartus pigiau? Tik čia Olandijoje! „Dell R420“ – 2 x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB – nuo 99 USD! Skaityti apie
Šaltinis: www.habr.com