Cisco apmācība 200-125 CCNA v3.0. 41. diena: DHCP snooping un nenoklusējuma vietējais VLAN

Šodien mēs apskatīsim divas svarīgas tēmas: DHCP Snooping un “non-noklusējuma” vietējie VLAN. Pirms pāriet uz nodarbību, es aicinu jūs apmeklēt mūsu otru YouTube kanālu, kurā varat noskatīties video par to, kā uzlabot atmiņu. Iesaku abonēt šo kanālu, jo mēs tajā ievietojam daudz noderīgu padomu sevis pilnveidošanai.

Šī nodarbība ir veltīta ICND1.7 tēmas 1.7.b un 2.c apakšsadaļu izpētei. Pirms sākam darbu ar DHCP Snooping, atcerēsimies dažus punktus no iepriekšējām nodarbībām. Ja nemaldos, par DHCP uzzinājām 6. un 24. dienā. Tur tika apspriesti svarīgi jautājumi par DHCP servera IP adrešu piešķiršanu un atbilstošu ziņojumu apmaiņu.

Parasti, kad galalietotājs piesakās tīklā, tas nosūta tīklam apraides pieprasījumu, ko “dzird” visas tīkla ierīces. Ja tas ir tieši savienots ar DHCP serveri, pieprasījums tiek nosūtīts tieši uz serveri. Ja tīklā ir pārraides ierīces - maršrutētāji un slēdži, tad pieprasījums serverim iet caur tiem. Pēc pieprasījuma saņemšanas DHCP serveris atbild lietotājam, kurš nosūta viņam pieprasījumu iegūt IP adresi, pēc kura serveris izsniedz šādu adresi lietotāja ierīcei. Tādā veidā IP adreses iegūšana notiek normālos apstākļos. Saskaņā ar diagrammas piemēru galalietotājs saņems adresi 192.168.10.10 un vārtejas adresi 192.168.10.1. Pēc tam lietotājs varēs piekļūt internetam, izmantojot šo vārteju, vai sazināties ar citām tīkla ierīcēm.

Pieņemsim, ka papildus reālajam DHCP serverim tīklā ir arī krāpniecisks DHCP serveris, tas ir, uzbrucējs savā datorā vienkārši instalē DHCP serveri. Šajā gadījumā lietotājs, ieejot tīklā, arī nosūta apraides ziņojumu, kuru maršrutētājs un slēdzis pārsūtīs uz reālo serveri.

Taču arī negodīgais serveris “klausās” tīklā un, saņēmis apraides ziņojumu, atbildēs lietotājam ar savu piedāvājumu, nevis īsto DHCP serveri. Saņemot to, lietotājs dos savu piekrišanu, kā rezultātā viņš saņems IP adresi no uzbrucēja 192.168.10.2 un vārtejas adresi 192.168.10.95.

IP adreses iegūšanas process tiek saīsināts kā DORA un sastāv no 4 posmiem: atklāšana, piedāvājums, pieprasījums un apstiprinājums. Kā redzat, uzbrucējs ierīcei piešķirs likumīgu IP adresi, kas ir pieejamajā tīkla adrešu diapazonā, taču īstās vārtejas adreses 192.168.10.1 vietā viņš to “ieslidinās” ar viltotu adresi 192.168.10.95, tas ir, viņa paša datora adrese.

Pēc tam visa uz internetu novirzītā galalietotāja trafika iet caur uzbrucēja datoru. Uzbrucējs to novirzīs tālāk, un lietotājs nejutīs nekādas atšķirības ar šo saziņas metodi, jo viņš joprojām varēs piekļūt internetam.

Tādā pašā veidā atgriešanās trafiks no interneta pieplūdīs lietotājam caur uzbrucēja datoru. Tas ir tas, ko parasti sauc par Man in the Middle (MiM) uzbrukumu. Visa lietotāju trafika izies caur hakera datoru, kurš varēs nolasīt visu, ko sūta vai saņem. Šis ir viena veida uzbrukums, kas var notikt DHCP tīklos.

Otrs uzbrukuma veids tiek saukts par pakalpojuma atteikumu (DoS) vai "pakalpojuma atteikumu". Kas notiek? Hakera dators vairs nedarbojas kā DHCP serveris, tagad tā ir tikai uzbrukuma ierīce. Tas nosūta atklāšanas pieprasījumu reālajam DHCP serverim un saņem Piedāvājuma ziņojumu, pēc tam nosūta pieprasījumu serverim un saņem no tā IP adresi. Uzbrucēja dators to dara ik pēc dažām milisekundēm, katru reizi saņemot jaunu IP adresi.

Atkarībā no iestatījumiem reālam DHCP serverim ir simtiem vai vairākiem simtiem brīvu IP adrešu. Hakera dators saņems IP adreses .1, .2, .3 un tā tālāk, līdz adrešu kopums būs pilnībā izsmelts. Pēc tam DHCP serveris nevarēs nodrošināt IP adreses jauniem tīkla klientiem. Ja tīklā ienāks jauns lietotājs, viņš nevarēs iegūt bezmaksas IP adresi. Tas ir DoS uzbrukuma DHCP serverim mērķis: neļaut tam izsniegt IP adreses jauniem lietotājiem.

Lai novērstu šādus uzbrukumus, tiek izmantots DHCP snooping jēdziens. Šī ir OSI XNUMX. slāņa funkcija, kas darbojas kā ACL un darbojas tikai uz slēdžiem. Lai saprastu DHCP Snooping, jums ir jāapsver divi jēdzieni: uzticamie slēdža uzticamie porti un neuzticamie neuzticamie porti citām tīkla ierīcēm.

Uzticamie porti ļauj iziet cauri jebkura veida DHCP ziņojumiem. Neuzticamie porti ir porti, ar kuriem klienti ir savienoti, un DHCP Snooping nodrošina to, ka visi DHCP ziņojumi, kas nāk no šiem portiem, tiks atmesti.

Ja atceramies DORA procesu, ziņojums D nāk no klienta uz serveri, un ziņojums O nāk no servera klientam. Pēc tam no klienta uz serveri tiek nosūtīts ziņojums R, un serveris klientam nosūta ziņojumu A.

Ziņojumi D un R no nenodrošinātiem portiem tiek pieņemti, un tādi ziņojumi kā O un A tiek atmesti. Kad ir iespējota DHCP Snooping funkcija, visi slēdžu porti pēc noklusējuma tiek uzskatīti par nedrošiem. Šo funkciju var izmantot gan slēdzim kopumā, gan atsevišķiem VLAN. Piemēram, ja VLAN10 ir savienots ar portu, varat iespējot šo līdzekli tikai VLAN10, un tad tā ports kļūs neuzticams.

Iespējojot DHCP Snooping, jums kā sistēmas administratoram būs jāieiet slēdža iestatījumos un jākonfigurē porti tā, lai par neuzticamiem tiktu uzskatīti tikai tie porti, kuriem ir pievienotas serverim līdzīgas ierīces. Tas nozīmē jebkura veida serveri, ne tikai DHCP.
Piemēram, ja portam ir pievienots cits slēdzis, maršrutētājs vai īsts DHCP serveris, šis ports tiek konfigurēts kā uzticams. Pārējie slēdžu porti, kuriem ir pievienotas galalietotāja ierīces vai bezvadu piekļuves punkti, ir jākonfigurē kā nedroši. Tāpēc jebkura ierīce, piemēram, piekļuves punkts, ar kuru lietotāji ir savienoti, tiek savienoti ar slēdzi, izmantojot neuzticamu portu.

Ja uzbrucēja dators uz slēdzi nosūta O un A tipa ziņojumus, tie tiks bloķēti, tas ir, šāda trafika nevarēs iziet cauri neuzticamajam portam. Tādā veidā DHCP Snooping novērš iepriekš aprakstītos uzbrukumu veidus.

Turklāt DHCP Snooping izveido DHCP saistīšanas tabulas. Kad klients saņem IP adresi no servera, šī adrese kopā ar tās ierīces MAC adresi, kas to saņēma, tiks ievadīta DHCP Snooping tabulā. Šie divi raksturlielumi tiks saistīti ar nedrošo portu, kuram ir pievienots klients.

Tas palīdz, piemēram, novērst DoS uzbrukumu. Ja klients ar doto MAC adresi jau ir saņēmis IP adresi, tad kāpēc tam būtu nepieciešama jauna IP adrese? Šādā gadījumā jebkurš šādas darbības mēģinājums tiks novērsts uzreiz pēc ieraksta pārbaudes tabulā.
Nākamā lieta, kas mums jāapspriež, ir vietējie VLAN, kas nav noklusējuma jeb “nav noklusējuma” vietēji. Esam vairākkārt pieskārušies VLAN tēmai, šiem tīkliem veltot 4 video nodarbības. Ja esat aizmirsis, kas tas ir, iesaku pārskatīt šīs nodarbības.

Mēs zinām, ka Cisco slēdžos noklusējuma vietējais VLAN ir VLAN1. Ir uzbrukumi, ko sauc par VLAN Hopping. Pieņemsim, ka diagrammā redzamais dators ir savienots ar pirmo slēdzi, izmantojot noklusējuma vietējo tīklu VLAN1, un pēdējais slēdzis ir savienots ar datoru, izmantojot tīklu VLAN10. Starp slēdžiem ir izveidots stumbrs.

Parasti, kad datplūsma no pirmā datora nonāk pie slēdža, tas zina, ka ports, kuram ir pievienots šis dators, ir daļa no VLAN1. Pēc tam šī trafika tiek novirzīta uz maģistrāli starp diviem slēdžiem, un pirmais slēdzis domā šādi: “šī trafika nāca no vietējā VLAN, tāpēc man nav nepieciešams to atzīmēt” un pārsūta nemarķēto trafiku pa maģistrāli, kas pienāk pie otrā slēdža.

2. slēdzis, saņēmis nemarķētu trafiku, domā šādi: "tā kā šī trafika nav marķēta, tas nozīmē, ka tā pieder VLAN1, tāpēc es nevaru to nosūtīt pa VLAN10." Tā rezultātā pirmā datora nosūtītā trafika nevar sasniegt otro datoru.

Reāli tam ir jānotiek - VLAN1 trafikam nevajadzētu iekļūt VLAN10. Tagad iedomāsimies, ka aiz pirmā datora atrodas uzbrucējs, kurš izveido rāmi ar VLAN10 tagu un nosūta to uz slēdzi. Ja atceraties, kā darbojas VLAN, tad zināt, ka, ja atzīmētā trafika sasniedz slēdzi, tā neko nedara ar rāmi, bet vienkārši pārraida to tālāk pa stumbru. Rezultātā otrais slēdzis saņems trafiku ar tagu, ko izveidojis uzbrucējs, nevis pirmais slēdzis.

Tas nozīmē, ka jūs aizstājat vietējo VLAN ar kaut ko citu, nevis VLAN1.

Tā kā otrais slēdzis nezina, kurš ir izveidojis VLAN10 tagu, tas vienkārši nosūta trafiku uz otro datoru. Šādi notiek VLAN Hopping uzbrukums, kad uzbrucējs iekļūst tīklā, kas viņam sākotnēji bija nepieejams.

Lai novērstu šādus uzbrukumus, ir jāizveido Random VLAN jeb izlases VLAN, piemēram, VLAN999, VLAN666, VLAN777 utt., kurus uzbrucējs nemaz nevar izmantot. Tajā pašā laikā mēs ejam uz slēdžu maģistrāles portiem un konfigurējam tos darbam, piemēram, ar Native VLAN666. Šajā gadījumā mēs mainām maģistrālo portu vietējo VLAN no VLAN1 uz VLAN66, tas ir, kā vietējo VLAN izmantojam jebkuru tīklu, izņemot VLAN1.

Pieslēgvietas abās maģistrāles pusēs ir jākonfigurē uz vienu un to pašu VLAN, pretējā gadījumā mēs saņemsim VLAN numura neatbilstības kļūdu.

Ja pēc šīs iestatīšanas hakeris nolemj veikt VLAN Hopping uzbrukumu, viņam tas neizdosies, jo vietējais VLAN1 nav piešķirts nevienam no slēdžu maģistrāles portiem. Šī ir metode aizsardzībai pret uzbrukumiem, izveidojot ne-noklusējuma vietējos VLAN.

Paldies, ka palikāt kopā ar mums. Vai jums patīk mūsu raksti? Vai vēlaties redzēt interesantāku saturu? Atbalsti mūs, pasūtot vai iesakot draugiem, 30% atlaide Habr lietotājiem unikālam sākuma līmeņa serveru analogam, ko mēs jums izgudrojām: Visa patiesība par VPS (KVM) E5-2650 v4 (6 kodoli) 10GB DDR4 240GB SSD 1Gbps no 20$ vai kā koplietot serveri? (pieejams ar RAID1 un RAID10, līdz 24 kodoliem un līdz 40 GB DDR4).

Dell R730xd 2 reizes lētāk? Tikai šeit 2x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV no 199$ Nīderlandē! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB — no 99 USD! Lasīt par Kā izveidot infrastruktūras uzņēmumu klase ar Dell R730xd E5-2650 v4 serveru izmantošanu 9000 eiro par santīmu?

Avots: www.habr.com