Өнөөдөр бид хоёр чухал сэдвийг авч үзэх болно: DHCP Snooping болон "анхдагч бус" Native VLAN. Хичээл рүү шилжихийн өмнө би таныг YouTube-ийн өөр сувагт зочилж, ой санамжаа хэрхэн сайжруулах талаар видео үзэхийг урьж байна. Энэ сувагт бүртгүүлэхийг зөвлөж байна, учир нь бид тэнд өөрийгөө хөгжүүлэх олон хэрэгтэй зөвлөгөөг нийтэлдэг.
Энэ хичээл нь ICND1.7 сэдвийн 1.7b ба 2c дэд хэсгүүдийг судлахад зориулагдсан болно. DHCP Snooping-ийг эхлүүлэхийн өмнө өмнөх хичээлүүдийн зарим санааг санацгаая. Хэрэв би андуураагүй бол бид DHCP-ийн талаар 6, 24 дэх өдөр сурсан. Тэнд DHCP серверээс IP хаяг өгөх, холбогдох мессеж солилцох зэрэг чухал асуудлуудыг хэлэлцсэн.
Ер нь эцсийн хэрэглэгч сүлжээнд нэвтрэхдээ бүх сүлжээний төхөөрөмжид "сонссон" өргөн нэвтрүүлгийн хүсэлтийг сүлжээнд илгээдэг. Хэрэв энэ нь DHCP сервертэй шууд холбогдсон бол хүсэлт сервер рүү шууд очно. Хэрэв сүлжээнд дамжуулах төхөөрөмжүүд - чиглүүлэгч ба унтраалга байгаа бол серверт хандах хүсэлт тэдгээрээр дамждаг. Хүсэлтийг хүлээн авсны дараа DHCP сервер нь хэрэглэгч рүү хариу илгээж, IP хаяг авах хүсэлтийг илгээсний дараа сервер нь хэрэглэгчийн төхөөрөмжид ийм хаягийг өгдөг. Ердийн нөхцөлд IP хаягийг олж авах үйл явц ингэж явагддаг. Диаграм дээрх жишээний дагуу эцсийн хэрэглэгч 192.168.10.10 хаяг, гарцын 192.168.10.1 хаягийг хүлээн авна. Үүний дараа хэрэглэгч энэ гарцаар дамжуулан интернетэд холбогдох эсвэл бусад сүлжээний төхөөрөмжтэй холбогдох боломжтой болно.
Жинхэнэ DHCP серверээс гадна сүлжээнд хуурамч DHCP сервер байдаг, өөрөөр хэлбэл халдагчид DHCP серверийг компьютер дээрээ суулгадаг гэж бодъё. Энэ тохиолдолд хэрэглэгч сүлжээнд нэвтэрсний дараа чиглүүлэгч болон шилжүүлэгч нь жинхэнэ сервер рүү дамжуулах мессежийг илгээдэг.
Гэсэн хэдий ч хуурамч сервер нь сүлжээг "сонсох" бөгөөд өргөн нэвтрүүлгийн мессежийг хүлээн авсны дараа жинхэнэ DHCP серверийн оронд хэрэглэгчдэд өөрийн саналаар хариу өгөх болно. Үүнийг хүлээн авсны дараа хэрэглэгч зөвшөөрөл өгөх бөгөөд үүний үр дүнд тэрээр халдагчаас 192.168.10.2 IP хаяг, 192.168.10.95 гарц хаягийг хүлээн авах болно.
IP хаяг авах үйл явцыг DORA гэж товчилсон бөгөөд нээлт, санал, хүсэлт, хүлээн зөвшөөрөх гэсэн 4 үе шатаас бүрдэнэ. Таны харж байгаагаар халдагчид төхөөрөмжид сүлжээний хаягийн боломжит мужид байгаа хууль ёсны IP хаягийг өгөх боловч бодит гарц 192.168.10.1 хаягийн оронд түүнийг 192.168.10.95 гэсэн хуурамч хаягаар "гулсуулна". өөрөөр хэлбэл өөрийн компьютерийн хаяг.
Үүний дараа Интернэт рүү чиглэсэн эцсийн хэрэглэгчийн бүх урсгал халдагчийн компьютерээр дамжих болно. Халдагчид үүнийг цааш нь чиглүүлэх бөгөөд хэрэглэгч энэ харилцааны аргаас ямар ч ялгааг мэдрэхгүй, учир нь тэр интернетэд холбогдох боломжтой хэвээр байх болно.
Үүнтэй адилаар интернетээс буцах урсгал нь халдагчийн компьютерээр дамжуулан хэрэглэгч рүү урсах болно. Үүнийг Дундад хүн (MiM) гэж нэрлэдэг. Хэрэглэгчийн бүх траффик хакерын компьютерээр дамжих ба тэрээр илгээсэн болон хүлээн авсан бүхнийг унших боломжтой болно. Энэ бол DHCP сүлжээнд тохиолдож болох халдлагын нэг төрөл юм.
Хоёрдахь төрлийн халдлагыг Denial of Service (DoS) буюу “Denial of Service” гэж нэрлэдэг. Юу болсон бэ? Хакерын компьютер DHCP серверийн үүрэг гүйцэтгэхээ больсон, энэ нь зүгээр л халдлага үйлдэх төхөөрөмж болжээ. Энэ нь жинхэнэ DHCP сервер рүү Discovery хүсэлт илгээж, хариуд нь Offer мессежийг хүлээн авч, сервер рүү Хүсэлт илгээж, түүнээс IP хаягийг хүлээн авдаг. Халдагчийн компьютер үүнийг хэдэн миллисекунд тутамд хийж, шинэ IP хаяг хүлээн авах бүртээ хийдэг.
Тохиргооноос хамааран жинхэнэ DHCP сервер нь хэдэн зуун эсвэл хэдэн зуун хоосон IP хаягтай байдаг. Хакерын компьютер хаягийн сан бүрэн дуусах хүртэл .1, .2, .3 гэх мэт IP хаягуудыг хүлээн авна. Үүний дараа DHCP сервер нь сүлжээнд байгаа шинэ үйлчлүүлэгчдэд IP хаяг өгөх боломжгүй болно. Хэрэв шинэ хэрэглэгч сүлжээнд орвол тэр үнэгүй IP хаяг авч чадахгүй. Энэ нь DHCP серверт DoS халдлагын гол зорилго нь шинэ хэрэглэгчдэд IP хаяг өгөхөөс урьдчилан сэргийлэх явдал юм.
Ийм халдлагыг эсэргүүцэхийн тулд DHCP Snooping гэсэн ойлголтыг ашигладаг. Энэ нь OSI давхаргын XNUMX функц бөгөөд ACL шиг ажилладаг бөгөөд зөвхөн унтраалга дээр ажилладаг. DHCP Snooping-ийг ойлгохын тулд та хоёр ойлголтыг авч үзэх хэрэгтэй: Итгэмжлэгдсэн шилжүүлэгчийн итгэмжлэгдсэн портууд болон бусад сүлжээний төхөөрөмжүүдийн итгэгдээгүй итгэмжлэгдсэн портууд.
Итгэмжлэгдсэн портууд нь ямар ч төрлийн DHCP мессежийг дамжуулах боломжийг олгодог. Найдваргүй портууд нь үйлчлүүлэгчид холбогдсон портууд бөгөөд DHCP Snooping нь эдгээр портуудаас ирж буй DHCP мессежүүдийг устгах боломжийг олгодог.
Хэрэв бид DORA процессыг эргэн санавал D мессеж үйлчлүүлэгчээс сервер рүү, О мессеж серверээс үйлчлүүлэгч рүү ирдэг. Дараа нь үйлчлүүлэгчээс сервер рүү R мессежийг илгээж, сервер нь үйлчлүүлэгч рүү A мессежийг илгээдэг.
Хамгаалалтгүй портуудын D ба R мессежийг хүлээн авах ба O, A гэх мэт мессежүүдийг устгана. DHCP Snooping функц идэвхжсэн үед бүх шилжүүлэгч портууд анхдагчаар хамгаалалтгүй гэж тооцогддог. Энэ функцийг бүхэлд нь шилжүүлэгч болон тусдаа VLAN-д ашиглаж болно. Жишээлбэл, хэрэв VLAN10 порттой холбогдсон бол та энэ функцийг зөвхөн VLAN10-д идэвхжүүлж болно, тэгвэл порт нь итгэлгүй болно.
DHCP Snooping-г идэвхжүүлэх үед та системийн администраторын хувьд шилжүүлэгчийн тохиргоо руу орж, зөвхөн сервертэй төстэй төхөөрөмжүүд холбогдсон портуудыг л найдвартай гэж үзэхээр портуудыг тохируулах шаардлагатай болно. Энэ нь зөвхөн DHCP гэлтгүй ямар ч төрлийн сервер гэсэн үг.
Жишээлбэл, хэрэв өөр шилжүүлэгч, чиглүүлэгч эсвэл жинхэнэ DHCP сервер порттой холбогдсон бол энэ портыг итгэмжлэгдсэн гэж тохируулна. Эцсийн хэрэглэгчийн төхөөрөмж эсвэл утасгүй хандалтын цэгүүдийг холбосон үлдсэн шилжүүлэгч портуудыг аюулгүй гэж тохируулсан байх ёстой. Тиймээс хэрэглэгчдийн холбогдсон хандалтын цэг гэх мэт аливаа төхөөрөмж нь найдваргүй портоор дамжуулан шилжүүлэгчтэй холбогддог.
Хэрэв халдагчийн компьютер шилжүүлэгч рүү О, А төрлийн мессеж илгээвэл тэдгээр нь хаагдах болно, өөрөөр хэлбэл ийм траффик итгэлгүй портоор дамжин өнгөрөх боломжгүй болно. DHCP Snooping нь дээр дурдсан халдлагаас ийм байдлаар сэргийлдэг.
Нэмж дурдахад DHCP Snooping нь DHCP холбох хүснэгтүүдийг үүсгэдэг. Үйлчлүүлэгч серверээс IP хаягийг хүлээн авсны дараа энэ хаягийг хүлээн авсан төхөөрөмжийн MAC хаягийн хамт DHCP Snooping хүснэгтэд оруулна. Эдгээр хоёр шинж чанар нь үйлчлүүлэгчийн холбогдсон найдвартай порттой холбоотой байх болно.
Энэ нь жишээ нь DoS халдлагаас урьдчилан сэргийлэхэд тусалдаг. Хэрэв өгөгдсөн MAC хаягтай үйлчлүүлэгч IP хаягийг аль хэдийн авсан бол яагаад шинэ IP хаяг шаардах ёстой гэж? Энэ тохиолдолд хүснэгтэд байгаа бичилтийг шалгасны дараа ийм үйлдэл хийх оролдлого нэн даруй урьдчилан сэргийлэх болно.
Бидний хэлэлцэх дараагийн зүйл бол Өгөгдмөл бус буюу "өгөгдмөл бус" Native VLAN-ууд юм. Бид эдгээр сүлжээнд 4 видео хичээл зориулж, VLAN-ийн сэдвийг олон удаа хөндсөн. Хэрэв та энэ юу болохыг мартсан бол эдгээр хичээлүүдийг эргэн харахыг танд зөвлөж байна.
Cisco свичүүдийн үндсэн Native VLAN нь VLAN1 гэдгийг бид мэднэ. VLAN Hopping гэж нэрлэгддэг халдлага байдаг. Диаграммд байгаа компьютер нь үндсэн сүлжээний VLAN1-ээр эхний шилжүүлэгчтэй холбогдсон ба сүүлийн шилжүүлэгч нь VLAN10 сүлжээгээр холбогдсон байна гэж үзье. Шилжүүлэгчийн хооронд их бие суурилуулсан.
Ихэвчлэн эхний компьютерийн урсгал шилжүүлэгч дээр ирэхэд энэ компьютер холбогдсон порт нь VLAN1-ийн нэг хэсэг гэдгийг мэддэг. Дараа нь энэ урсгал нь хоёр шилжүүлэгчийн хоорондох их бие рүү очих бөгөөд эхний шилжүүлэгч нь "энэ урсгал нь Native VLAN-аас ирсэн, тиймээс би үүнийг тэмдэглэх шаардлагагүй" гэж бодож, их биений дагуу тэмдэглэгээгүй урсгалыг дамжуулдаг. хоёр дахь унтраалга дээр ирдэг.
Шилжүүлэгч 2 нь тэмдэглэгээгүй траффик хүлээн авсны дараа "энэ траффик нь тэмдэглэгээгүй тул VLAN1-д харьяалагддаг тул би үүнийг VLAN10-ээр илгээх боломжгүй" гэж бодож байна. Үүний үр дүнд эхний компьютерийн илгээсэн урсгал хоёр дахь компьютерт хүрч чадахгүй.
Бодит байдал дээр ийм зүйл тохиолдох ёстой - VLAN1 траффик VLAN10 руу орох ёсгүй. Одоо анхны компьютерийн ард VLAN10 тагтай фрейм үүсгэж, шилжүүлэгч рүү илгээдэг халдагч байна гэж төсөөлье. Хэрэв та VLAN хэрхэн ажилладагийг санаж байгаа бол тэмдэглэсэн траффик шилжүүлэгч рүү очвол энэ нь фреймтэй юу ч хийхгүй, харин зүгээр л их биений дагуу цааш дамжуулдаг гэдгийг та мэднэ. Үүний үр дүнд хоёр дахь шилжүүлэгч нь эхний шилжүүлэгчээр бус харин халдагчийн үүсгэсэн шошготой траффик хүлээн авах болно.
Энэ нь та Native VLAN-г VLAN1-ээс өөр зүйлээр сольж байна гэсэн үг юм.
Хоёрдахь шилжүүлэгч нь VLAN10 шошгыг хэн үүсгэсэнийг мэдэхгүй тул хоёр дахь компьютер руу урсгалыг илгээдэг. Халдагчид анх түүнд нэвтрэх боломжгүй байсан сүлжээнд нэвтэрсэн үед VLAN Hopping халдлага ингэж гардаг.
Ийм халдлагаас урьдчилан сэргийлэхийн тулд та Random VLAN буюу санамсаргүй VLAN үүсгэх хэрэгтэй, жишээ нь VLAN999, VLAN666, VLAN777 гэх мэтийг халдагчид огт ашиглах боломжгүй. Үүний зэрэгцээ бид шилжүүлэгчийн их биений портууд руу очиж, жишээлбэл, Native VLAN666-тай ажиллахаар тохируулдаг. Энэ тохиолдолд бид trunk портуудын Native VLAN-г VLAN1-ээс VLAN66 болгон өөрчилдөг, өөрөөр хэлбэл бид VLAN1-ээс өөр ямар ч сүлжээг Native VLAN болгон ашигладаг.
Их биений хоёр талын портууд нь ижил VLAN-д тохируулагдсан байх ёстой, эс тэгвээс бид VLAN дугаар таарахгүй алдаа хүлээн авах болно.
Энэ тохируулгын дараа хэрэв хакер VLAN Hopping халдлага хийхээр шийдсэн бол тэр амжилтанд хүрэхгүй, учир нь эх VLAN1 нь шилжүүлэгчийн аль ч их биений портод хуваарилагдаагүй болно. Энэ бол анхдагч бус VLAN үүсгэх замаар халдлагаас хамгаалах арга юм.
Бидэнтэй хамт байсанд баярлалаа. Манай нийтлэл танд таалагдаж байна уу? Илүү сонирхолтой контент үзэхийг хүсч байна уу? Захиалга өгөх эсвэл найзууддаа санал болгох замаар биднийг дэмжээрэй, Хабр хэрэглэгчдэд зориулсан 30% хямдралтай, анхан шатны түвшний серверүүдийн өвөрмөц аналогийг бид танд зориулан зохион бүтээжээ. (RAID1 болон RAID10, 24 хүртэлх цөм, 40 ГБ хүртэл DDR4-тэй байх боломжтой).
Dell R730xd 2 дахин хямд байна уу? Зөвхөн энд Нидерландад! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 доллараас! тухай уншина уу
Эх сурвалж: www.habr.com