Å odien mÄs apskatÄ«sim divas svarÄ«gas tÄmas: DHCP Snooping un ānon-noklusÄjumaā vietÄjie VLAN. Pirms pÄriet uz nodarbÄ«bu, es aicinu jÅ«s apmeklÄt mÅ«su otru YouTube kanÄlu, kurÄ varat noskatÄ«ties video par to, kÄ uzlabot atmiÅu. Iesaku abonÄt Å”o kanÄlu, jo mÄs tajÄ ievietojam daudz noderÄ«gu padomu sevis pilnveidoÅ”anai.
Å Ä« nodarbÄ«ba ir veltÄ«ta ICND1.7 tÄmas 1.7.b un 2.c apakÅ”sadaļu izpÄtei. Pirms sÄkam darbu ar DHCP Snooping, atcerÄsimies dažus punktus no iepriekÅ”ÄjÄm nodarbÄ«bÄm. Ja nemaldos, par DHCP uzzinÄjÄm 6. un 24. dienÄ. Tur tika apspriesti svarÄ«gi jautÄjumi par DHCP servera IP adreÅ”u pieŔķirÅ”anu un atbilstoÅ”u ziÅojumu apmaiÅu.
Parasti, kad galalietotÄjs piesakÄs tÄ«klÄ, tas nosÅ«ta tÄ«klam apraides pieprasÄ«jumu, ko ādzirdā visas tÄ«kla ierÄ«ces. Ja tas ir tieÅ”i savienots ar DHCP serveri, pieprasÄ«jums tiek nosÅ«tÄ«ts tieÅ”i uz serveri. Ja tÄ«klÄ ir pÄrraides ierÄ«ces - marÅ”rutÄtÄji un slÄdži, tad pieprasÄ«jums serverim iet caur tiem. PÄc pieprasÄ«juma saÅemÅ”anas DHCP serveris atbild lietotÄjam, kurÅ” nosÅ«ta viÅam pieprasÄ«jumu iegÅ«t IP adresi, pÄc kura serveris izsniedz Å”Ädu adresi lietotÄja ierÄ«cei. TÄdÄ veidÄ IP adreses iegÅ«Å”ana notiek normÄlos apstÄkļos. SaskaÅÄ ar diagrammas piemÄru galalietotÄjs saÅems adresi 192.168.10.10 un vÄrtejas adresi 192.168.10.1. PÄc tam lietotÄjs varÄs piekļūt internetam, izmantojot Å”o vÄrteju, vai sazinÄties ar citÄm tÄ«kla ierÄ«cÄm.
PieÅemsim, ka papildus reÄlajam DHCP serverim tÄ«klÄ ir arÄ« krÄpniecisks DHCP serveris, tas ir, uzbrucÄjs savÄ datorÄ vienkÄrÅ”i instalÄ DHCP serveri. Å ajÄ gadÄ«jumÄ lietotÄjs, ieejot tÄ«klÄ, arÄ« nosÅ«ta apraides ziÅojumu, kuru marÅ”rutÄtÄjs un slÄdzis pÄrsÅ«tÄ«s uz reÄlo serveri.
TaÄu arÄ« negodÄ«gais serveris āklausÄsā tÄ«klÄ un, saÅÄmis apraides ziÅojumu, atbildÄs lietotÄjam ar savu piedÄvÄjumu, nevis Ä«sto DHCP serveri. SaÅemot to, lietotÄjs dos savu piekriÅ”anu, kÄ rezultÄtÄ viÅÅ” saÅems IP adresi no uzbrucÄja 192.168.10.2 un vÄrtejas adresi 192.168.10.95.
IP adreses iegÅ«Å”anas process tiek saÄ«sinÄts kÄ DORA un sastÄv no 4 posmiem: atklÄÅ”ana, piedÄvÄjums, pieprasÄ«jums un apstiprinÄjums. KÄ redzat, uzbrucÄjs ierÄ«cei pieŔķirs likumÄ«gu IP adresi, kas ir pieejamajÄ tÄ«kla adreÅ”u diapazonÄ, taÄu Ä«stÄs vÄrtejas adreses 192.168.10.1 vietÄ viÅÅ” to āieslidinÄsā ar viltotu adresi 192.168.10.95, tas ir, viÅa paÅ”a datora adrese.
PÄc tam visa uz internetu novirzÄ«tÄ galalietotÄja trafika iet caur uzbrucÄja datoru. UzbrucÄjs to novirzÄ«s tÄlÄk, un lietotÄjs nejutÄ«s nekÄdas atŔķirÄ«bas ar Å”o saziÅas metodi, jo viÅÅ” joprojÄm varÄs piekļūt internetam.
TÄdÄ paÅ”Ä veidÄ atgrieÅ”anÄs trafiks no interneta pieplÅ«dÄ«s lietotÄjam caur uzbrucÄja datoru. Tas ir tas, ko parasti sauc par Man in the Middle (MiM) uzbrukumu. Visa lietotÄju trafika izies caur hakera datoru, kurÅ” varÄs nolasÄ«t visu, ko sÅ«ta vai saÅem. Å is ir viena veida uzbrukums, kas var notikt DHCP tÄ«klos.
Otrs uzbrukuma veids tiek saukts par pakalpojuma atteikumu (DoS) vai "pakalpojuma atteikumu". Kas notiek? Hakera dators vairs nedarbojas kÄ DHCP serveris, tagad tÄ ir tikai uzbrukuma ierÄ«ce. Tas nosÅ«ta atklÄÅ”anas pieprasÄ«jumu reÄlajam DHCP serverim un saÅem PiedÄvÄjuma ziÅojumu, pÄc tam nosÅ«ta pieprasÄ«jumu serverim un saÅem no tÄ IP adresi. UzbrucÄja dators to dara ik pÄc dažÄm milisekundÄm, katru reizi saÅemot jaunu IP adresi.
AtkarÄ«bÄ no iestatÄ«jumiem reÄlam DHCP serverim ir simtiem vai vairÄkiem simtiem brÄ«vu IP adreÅ”u. Hakera dators saÅems IP adreses .1, .2, .3 un tÄ tÄlÄk, lÄ«dz adreÅ”u kopums bÅ«s pilnÄ«bÄ izsmelts. PÄc tam DHCP serveris nevarÄs nodroÅ”inÄt IP adreses jauniem tÄ«kla klientiem. Ja tÄ«klÄ ienÄks jauns lietotÄjs, viÅÅ” nevarÄs iegÅ«t bezmaksas IP adresi. Tas ir DoS uzbrukuma DHCP serverim mÄrÄ·is: neļaut tam izsniegt IP adreses jauniem lietotÄjiem.
Lai novÄrstu Å”Ädus uzbrukumus, tiek izmantots DHCP snooping jÄdziens. Å Ä« ir OSI XNUMX. slÄÅa funkcija, kas darbojas kÄ ACL un darbojas tikai uz slÄdžiem. Lai saprastu DHCP Snooping, jums ir jÄapsver divi jÄdzieni: uzticamie slÄdža uzticamie porti un neuzticamie neuzticamie porti citÄm tÄ«kla ierÄ«cÄm.
Uzticamie porti ļauj iziet cauri jebkura veida DHCP ziÅojumiem. Neuzticamie porti ir porti, ar kuriem klienti ir savienoti, un DHCP Snooping nodroÅ”ina to, ka visi DHCP ziÅojumi, kas nÄk no Å”iem portiem, tiks atmesti.
Ja atceramies DORA procesu, ziÅojums D nÄk no klienta uz serveri, un ziÅojums O nÄk no servera klientam. PÄc tam no klienta uz serveri tiek nosÅ«tÄ«ts ziÅojums R, un serveris klientam nosÅ«ta ziÅojumu A.
ZiÅojumi D un R no nenodroÅ”inÄtiem portiem tiek pieÅemti, un tÄdi ziÅojumi kÄ O un A tiek atmesti. Kad ir iespÄjota DHCP Snooping funkcija, visi slÄdžu porti pÄc noklusÄjuma tiek uzskatÄ«ti par nedroÅ”iem. Å o funkciju var izmantot gan slÄdzim kopumÄ, gan atseviŔķiem VLAN. PiemÄram, ja VLAN10 ir savienots ar portu, varat iespÄjot Å”o lÄ«dzekli tikai VLAN10, un tad tÄ ports kļūs neuzticams.
IespÄjojot DHCP Snooping, jums kÄ sistÄmas administratoram bÅ«s jÄieiet slÄdža iestatÄ«jumos un jÄkonfigurÄ porti tÄ, lai par neuzticamiem tiktu uzskatÄ«ti tikai tie porti, kuriem ir pievienotas serverim lÄ«dzÄ«gas ierÄ«ces. Tas nozÄ«mÄ jebkura veida serveri, ne tikai DHCP.
PiemÄram, ja portam ir pievienots cits slÄdzis, marÅ”rutÄtÄjs vai Ä«sts DHCP serveris, Å”is ports tiek konfigurÄts kÄ uzticams. PÄrÄjie slÄdžu porti, kuriem ir pievienotas galalietotÄja ierÄ«ces vai bezvadu piekļuves punkti, ir jÄkonfigurÄ kÄ nedroÅ”i. TÄpÄc jebkura ierÄ«ce, piemÄram, piekļuves punkts, ar kuru lietotÄji ir savienoti, tiek savienoti ar slÄdzi, izmantojot neuzticamu portu.
Ja uzbrucÄja dators uz slÄdzi nosÅ«ta O un A tipa ziÅojumus, tie tiks bloÄ·Äti, tas ir, Å”Äda trafika nevarÄs iziet cauri neuzticamajam portam. TÄdÄ veidÄ DHCP Snooping novÄrÅ” iepriekÅ” aprakstÄ«tos uzbrukumu veidus.
TurklÄt DHCP Snooping izveido DHCP saistÄ«Å”anas tabulas. Kad klients saÅem IP adresi no servera, Ŕī adrese kopÄ ar tÄs ierÄ«ces MAC adresi, kas to saÅÄma, tiks ievadÄ«ta DHCP Snooping tabulÄ. Å ie divi raksturlielumi tiks saistÄ«ti ar nedroÅ”o portu, kuram ir pievienots klients.
Tas palÄ«dz, piemÄram, novÄrst DoS uzbrukumu. Ja klients ar doto MAC adresi jau ir saÅÄmis IP adresi, tad kÄpÄc tam bÅ«tu nepiecieÅ”ama jauna IP adrese? Å ÄdÄ gadÄ«jumÄ jebkurÅ” Å”Ädas darbÄ«bas mÄÄ£inÄjums tiks novÄrsts uzreiz pÄc ieraksta pÄrbaudes tabulÄ.
NÄkamÄ lieta, kas mums jÄapspriež, ir vietÄjie VLAN, kas nav noklusÄjuma jeb ānav noklusÄjumaā vietÄji. Esam vairÄkkÄrt pieskÄruÅ”ies VLAN tÄmai, Å”iem tÄ«kliem veltot 4 video nodarbÄ«bas. Ja esat aizmirsis, kas tas ir, iesaku pÄrskatÄ«t Ŕīs nodarbÄ«bas.
MÄs zinÄm, ka Cisco slÄdžos noklusÄjuma vietÄjais VLAN ir VLAN1. Ir uzbrukumi, ko sauc par VLAN Hopping. PieÅemsim, ka diagrammÄ redzamais dators ir savienots ar pirmo slÄdzi, izmantojot noklusÄjuma vietÄjo tÄ«klu VLAN1, un pÄdÄjais slÄdzis ir savienots ar datoru, izmantojot tÄ«klu VLAN10. Starp slÄdžiem ir izveidots stumbrs.
Parasti, kad datplÅ«sma no pirmÄ datora nonÄk pie slÄdža, tas zina, ka ports, kuram ir pievienots Å”is dators, ir daļa no VLAN1. PÄc tam Ŕī trafika tiek novirzÄ«ta uz maÄ£istrÄli starp diviem slÄdžiem, un pirmais slÄdzis domÄ Å”Ädi: āŔī trafika nÄca no vietÄjÄ VLAN, tÄpÄc man nav nepiecieÅ”ams to atzÄ«mÄtā un pÄrsÅ«ta nemarÄ·Äto trafiku pa maÄ£istrÄli, kas pienÄk pie otrÄ slÄdža.
2. slÄdzis, saÅÄmis nemarÄ·Ätu trafiku, domÄ Å”Ädi: "tÄ kÄ Å”Ä« trafika nav marÄ·Äta, tas nozÄ«mÄ, ka tÄ pieder VLAN1, tÄpÄc es nevaru to nosÅ«tÄ«t pa VLAN10." TÄ rezultÄtÄ pirmÄ datora nosÅ«tÄ«tÄ trafika nevar sasniegt otro datoru.
ReÄli tam ir jÄnotiek - VLAN1 trafikam nevajadzÄtu iekļūt VLAN10. Tagad iedomÄsimies, ka aiz pirmÄ datora atrodas uzbrucÄjs, kurÅ” izveido rÄmi ar VLAN10 tagu un nosÅ«ta to uz slÄdzi. Ja atceraties, kÄ darbojas VLAN, tad zinÄt, ka, ja atzÄ«mÄtÄ trafika sasniedz slÄdzi, tÄ neko nedara ar rÄmi, bet vienkÄrÅ”i pÄrraida to tÄlÄk pa stumbru. RezultÄtÄ otrais slÄdzis saÅems trafiku ar tagu, ko izveidojis uzbrucÄjs, nevis pirmais slÄdzis.
Tas nozÄ«mÄ, ka jÅ«s aizstÄjat vietÄjo VLAN ar kaut ko citu, nevis VLAN1.
TÄ kÄ otrais slÄdzis nezina, kurÅ” ir izveidojis VLAN10 tagu, tas vienkÄrÅ”i nosÅ«ta trafiku uz otro datoru. Å Ädi notiek VLAN Hopping uzbrukums, kad uzbrucÄjs iekļūst tÄ«klÄ, kas viÅam sÄkotnÄji bija nepieejams.
Lai novÄrstu Å”Ädus uzbrukumus, ir jÄizveido Random VLAN jeb izlases VLAN, piemÄram, VLAN999, VLAN666, VLAN777 utt., kurus uzbrucÄjs nemaz nevar izmantot. TajÄ paÅ”Ä laikÄ mÄs ejam uz slÄdžu maÄ£istrÄles portiem un konfigurÄjam tos darbam, piemÄram, ar Native VLAN666. Å ajÄ gadÄ«jumÄ mÄs mainÄm maÄ£istrÄlo portu vietÄjo VLAN no VLAN1 uz VLAN66, tas ir, kÄ vietÄjo VLAN izmantojam jebkuru tÄ«klu, izÅemot VLAN1.
PieslÄgvietas abÄs maÄ£istrÄles pusÄs ir jÄkonfigurÄ uz vienu un to paÅ”u VLAN, pretÄjÄ gadÄ«jumÄ mÄs saÅemsim VLAN numura neatbilstÄ«bas kļūdu.
Ja pÄc Ŕīs iestatÄ«Å”anas hakeris nolemj veikt VLAN Hopping uzbrukumu, viÅam tas neizdosies, jo vietÄjais VLAN1 nav pieŔķirts nevienam no slÄdžu maÄ£istrÄles portiem. Å Ä« ir metode aizsardzÄ«bai pret uzbrukumiem, izveidojot ne-noklusÄjuma vietÄjos VLAN.
Paldies, ka palikÄt kopÄ ar mums. Vai jums patÄ«k mÅ«su raksti? Vai vÄlaties redzÄt interesantÄku saturu? Atbalsti mÅ«s, pasÅ«tot vai iesakot draugiem, 30% atlaide Habr lietotÄjiem unikÄlam sÄkuma lÄ«meÅa serveru analogam, ko mÄs jums izgudrojÄm:
Dell R730xd 2 reizes lÄtÄk? Tikai Å”eit
Avots: www.habr.com