Денес ќе разгледаме две важни теми: DHCP Snooping и „нестандардни“ Native VLANs. Пред да продолжите на лекцијата, ве поканувам да го посетите нашиот друг канал на YouTube каде што можете да гледате видео за тоа како да ја подобрите вашата меморија. Ви препорачувам да се претплатите на овој канал, бидејќи таму објавуваме многу корисни совети за само-подобрување.
Оваа лекција е посветена на проучување на потсекциите 1.7б и 1.7в од темата ICND2. Пред да започнеме со DHCP Snooping, да се потсетиме на некои точки од претходните лекции. Ако не се лажам, дознавме за DHCP во 6-ти и 24-ти ден. Таму се разговараше за важни прашања во врска со доделувањето на IP адреси од страна на DHCP серверот и размената на соодветните пораки.
Вообичаено, кога краен корисник се најавува на мрежа, тој испраќа барање за емитување до мрежата што го „слушаат“ сите мрежни уреди. Ако е директно поврзан со DHCP сервер, тогаш барањето оди директно до серверот. Ако има уреди за пренос на мрежата - рутери и прекинувачи - тогаш барањето до серверот оди преку нив. Откако го доби барањето, серверот DHCP одговара на корисникот, кој му испраќа барање да добие IP адреса, по што серверот издава таква адреса на уредот на корисникот. Вака се случува процесот на добивање IP адреса во нормални услови. Според примерот на дијаграмот, Крајниот корисник ќе ја добие адресата 192.168.10.10 и адресата на портата 192.168.10.1. По ова, корисникот ќе може да пристапи на Интернет преку оваа порта или да комуницира со други мрежни уреди.
Да претпоставиме дека покрај вистинскиот DHCP сервер, на мрежата има и лажен DHCP сервер, односно напаѓачот едноставно инсталира DHCP сервер на својот компјутер. Во овој случај, корисникот, откако влезе во мрежата, испраќа и порака за емитување, која рутерот и прекинувачот ќе ја препратат до вистинскиот сервер.
Сепак, непријателскиот сервер, исто така, ја „слуша“ мрежата и, откако ја прими пораката за емитување, ќе му одговори на корисникот со своја понуда наместо вистинскиот DHCP сервер. Откако ќе ја прими, корисникот ќе даде согласност, како резултат на што ќе добие IP адреса од напаѓачот 192.168.10.2 и адреса на портата 192.168.10.95.
Процесот на добивање IP адреса е скратено како DORA и се состои од 4 фази: Откривање, Понуда, Барање и Потврда. Како што можете да видите, напаѓачот ќе му даде на уредот легална IP адреса која е во достапниот опсег на мрежни адреси, но наместо вистинската порта адреса 192.168.10.1, тој ќе ја „лизне“ со лажна адреса 192.168.10.95. односно адресата на сопствениот компјутер.
После ова, целиот сообраќај на крајниот корисник насочен кон Интернет ќе помине низ компјутерот на напаѓачот. Напаѓачот ќе го пренасочи понатаму, а корисникот нема да чувствува никаква разлика со овој начин на комуникација, бидејќи сепак ќе може да пристапи на Интернет.
На ист начин, повратниот сообраќај од Интернет ќе тече до корисникот преку компјутерот на напаѓачот. Ова е она што вообичаено се нарекува напад Човек во средината (MiM). Целиот кориснички сообраќај ќе помине низ компјутерот на хакерот, кој ќе може да чита се што испраќа или прима. Ова е еден вид на напад што може да се случи на DHCP мрежите.
Вториот тип на напад се нарекува Denial of Service (DoS), или „одбивање на услугата“. Што се случува? Компјутерот на хакерот повеќе не делува како DHCP сервер, тој сега е само уред кој напаѓа. Испраќа барање за Discovery до вистинскиот DHCP сервер и добива порака за понуда како одговор, потоа испраќа Барање до серверот и добива IP адреса од него. Компјутерот на напаѓачот го прави тоа на секои неколку милисекунди, секој пат кога добива нова IP адреса.
Во зависност од поставките, вистинскиот DHCP сервер има базен од стотици или неколку стотици слободни IP адреси. Компјутерот на хакерот ќе добива IP адреси .1, .2, .3 и така натаму додека комплетот на адреси не се исцрпи целосно. По ова, серверот DHCP нема да може да обезбеди IP адреси на новите клиенти на мрежата. Ако нов корисник влезе во мрежата, тој нема да може да добие бесплатна IP адреса. Ова е поентата на нападот DoS на серверот DHCP: да се спречи тој да издава IP адреси на нови корисници.
За да се спротивстави на ваквите напади, се користи концептот на DHCP Snooping. Ова е функција OSI слој XNUMX која делува како ACL и работи само на прекинувачи. За да го разберете DHCP Snooping, треба да земете во предвид два концепта: доверливи порти на доверлив прекинувач и недоверливи Недоверливи порти за други мрежни уреди.
Доверливите порти дозволуваат да помине секаков тип на DHCP порака. Недоверливите порти се порти на кои се поврзани клиентите, а DHCP Snooping го прави така што сите DHCP пораки што доаѓаат од тие порти ќе бидат отфрлени.
Ако се потсетиме на процесот DORA, пораката D доаѓа од клиентот до серверот, а пораката O доаѓа од серверот до клиентот. Следно, порака R се испраќа од клиентот до серверот, а серверот испраќа порака A до клиентот.
Пораките D и R од необезбедените порти се прифаќаат, а пораките како O и A се отфрлаат. Кога е овозможена функцијата DHCP Snooping, сите порти на прекинувачот стандардно се сметаат за небезбедни. Оваа функција може да се користи и за прекинувачот како целина и за поединечни VLAN. На пример, ако VLAN10 е поврзан со порта, можете да ја овозможите оваа функција само за VLAN10, а потоа неговата порта ќе стане недоверлива.
Кога ќе овозможите DHCP Snooping, вие, како системски администратор, ќе мора да влезете во поставките на прекинувачот и да ги конфигурирате портите на таков начин што само портите на кои се поврзани уреди слични на серверот се сметаат за недоверливи. Ова значи секаков тип на сервер, не само DHCP.
На пример, ако друг прекинувач, рутер или вистински DHCP сервер е поврзан со порта, тогаш оваа порта е конфигурирана како доверлива. Останатите порти за прекинувачи на кои се поврзани уредите на крајните корисници или безжичните пристапни точки мора да се конфигурираат како небезбедни. Затоа, секој уред како пристапна точка на која се поврзани корисниците се поврзува со прекинувачот преку недоверлива порта.
Доколку компјутерот на напаѓачот испрати пораки од типот О и А до прекинувачот, тие ќе бидат блокирани, односно таквиот сообраќај нема да може да помине низ недоверливата порта. Ова е начинот на кој DHCP Snooping ги спречува видовите напади што беа дискутирани погоре.
Дополнително, DHCP Snooping создава табели за врзување на DHCP. Откако клиентот ќе добие IP адреса од серверот, оваа адреса, заедно со MAC-адресата на уредот што ја примил, ќе бидат внесени во табелата DHCP Snooping. Овие две карактеристики ќе бидат поврзани со несигурната порта на која е поврзан клиентот.
Ова помага, на пример, да се спречи напад на DoS. Ако клиентот со дадена MAC адреса веќе добил IP адреса, тогаш зошто треба да бара нова IP адреса? Во овој случај, секој обид за таква активност ќе биде спречен веднаш по проверката на записот во табелата.
Следното нешто што треба да го дискутираме е Нестандардно, или „нестандардно“ Native VLAN. Постојано ја допревме темата VLAN, посветувајќи 4 видео лекции на овие мрежи. Ако сте заборавиле што е ова, ве советувам да ги прегледате овие лекции.
Знаеме дека во прекинувачите на Cisco стандардниот Native VLAN е VLAN1. Постојат напади наречени VLAN Hopping. Да претпоставиме дека компјутерот на дијаграмот е поврзан со првиот прекинувач со стандардната домашна мрежа VLAN1, а последниот прекинувач е поврзан со компјутерот преку мрежата VLAN10. Помеѓу прекинувачите се воспоставува багажникот.
Обично, кога сообраќајот од првиот компјутер пристигнува на прекинувачот, тој знае дека портата на која е поврзан овој компјутер е дел од VLAN1. Следно, овој сообраќај оди до багажникот помеѓу двата прекинувачи, а првиот прекинувач размислува вака: „овој сообраќај дојде од Native VLAN, така што не треба да го означувам“, и го пренасочува сообраќајот без ознака долж багажникот, кој пристигнува на вториот прекинувач.
Прекинувачот 2, откако доби неозначен сообраќај, размислува вака: „бидејќи овој сообраќај е неозначен, тоа значи дека му припаѓа на VLAN1, така што не можам да го испратам преку VLAN10“. Како резултат на тоа, сообраќајот испратен од првиот компјутер не може да стигне до вториот компјутер.
Во реалноста, вака треба да се случи - VLAN1 сообраќајот не треба да влегува во VLAN10. Сега да замислиме дека зад првиот компјутер има напаѓач кој создава рамка со ознаката VLAN10 и ја испраќа до прекинувачот. Ако се сеќавате како функционира VLAN, тогаш знаете дека ако означениот сообраќај стигне до прекинувачот, тој не прави ништо со рамката, туку едноставно го пренесува понатаму долж багажникот. Како резултат на тоа, вториот прекинувач ќе добие сообраќај со ознака што е создадена од напаѓачот, а не од првиот прекинувач.
Ова значи дека го заменувате Native VLAN со нешто друго освен VLAN1.
Бидејќи вториот прекинувач не знае кој ја создал ознаката VLAN10, тој едноставно испраќа сообраќај до вториот компјутер. Вака настанува VLAN Hopping напад, кога напаѓачот ќе навлезе во мрежа која првично била недостапна за него.
За да спречите такви напади, треба да креирате Random VLAN, или случајни VLAN, на пример VLAN999, VLAN666, VLAN777, итн., кои напаѓачот воопшто не може да ги користи. Во исто време, одиме до портите на багажникот на прекинувачите и ги конфигурираме да работат, на пример, со Native VLAN666. Во овој случај, го менуваме Native VLAN за багажни порти од VLAN1 во VLAN66, односно користиме која било друга мрежа освен VLAN1 како Native VLAN.
Портите од двете страни на багажникот мора да се конфигурираат на истиот VLAN, во спротивно ќе добиеме грешка со несовпаѓање на VLAN-бројот.
По ова поставување, ако хакер одлучи да изврши напад со VLAN Hopping, нема да успее, бидејќи мајчин VLAN1 не е доделен на ниту една од портите на багажникот на прекинувачите. Ова е метод за заштита од напади со создавање нестандардни природни VLAN-ови.
Ви благодариме што останавте со нас. Дали ви се допаѓаат нашите написи? Сакате да видите поинтересна содржина? Поддржете не со нарачка или препорака на пријатели, 30% попуст за корисниците на Habr на уникатен аналог на сервери на почетно ниво, кој го измисливме ние за вас: (достапен со RAID1 и RAID10, до 24 јадра и до 40 GB DDR4).
Dell R730xd 2 пати поевтин? Само овде во Холандија! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - од 99 долари! Прочитајте за
Извор: www.habr.com