Hari ini kita akan melihat dua topik penting: DHCP Snooping dan VLAN Asli "bukan lalai". Sebelum meneruskan pelajaran, saya menjemput anda untuk melawat saluran YouTube kami yang lain di mana anda boleh menonton video tentang cara meningkatkan ingatan anda. Saya mengesyorkan agar anda melanggan saluran ini, kerana kami menyiarkan banyak petua berguna untuk peningkatan diri di sana.
Pelajaran ini ditumpukan kepada kajian subseksyen 1.7b dan 1.7c topik ICND2. Sebelum kita mula dengan DHCP Snooping, mari kita ingat beberapa perkara dari pelajaran sebelumnya. Kalau tak silap, kami belajar tentang DHCP pada Hari ke-6 dan Hari ke-24. Di sana, isu penting telah dibincangkan mengenai penetapan alamat IP oleh pelayan DHCP dan pertukaran mesej yang sepadan.
Biasanya, apabila Pengguna Akhir log masuk ke rangkaian, ia menghantar permintaan siaran ke rangkaian yang "didengar" oleh semua peranti rangkaian. Jika ia disambungkan terus ke pelayan DHCP, maka permintaan itu pergi terus ke pelayan. Sekiranya terdapat peranti penghantaran pada rangkaian - penghala dan suis - maka permintaan kepada pelayan melaluinya. Setelah menerima permintaan itu, pelayan DHCP bertindak balas kepada pengguna, yang menghantarnya permintaan untuk mendapatkan alamat IP, selepas itu pelayan mengeluarkan alamat sedemikian kepada peranti pengguna. Ini adalah bagaimana proses mendapatkan alamat IP berlaku dalam keadaan biasa. Mengikut contoh dalam rajah, Pengguna Akhir akan menerima alamat 192.168.10.10 dan alamat get laluan 192.168.10.1. Selepas ini, pengguna akan dapat mengakses Internet melalui gerbang ini atau berkomunikasi dengan peranti rangkaian lain.
Mari kita anggap bahawa sebagai tambahan kepada pelayan DHCP sebenar, terdapat pelayan DHCP penipuan pada rangkaian, iaitu, penyerang hanya memasang pelayan DHCP pada komputernya. Dalam kes ini, pengguna, setelah memasuki rangkaian, juga menghantar mesej siaran, yang penghala dan suis akan ke hadapan ke pelayan sebenar.
Walau bagaimanapun, pelayan penyangak juga "mendengar" rangkaian, dan, setelah menerima mesej siaran, akan bertindak balas kepada pengguna dengan tawarannya sendiri dan bukannya pelayan DHCP sebenar. Setelah menerimanya, pengguna akan memberikan persetujuannya, akibatnya dia akan menerima alamat IP daripada penyerang 192.168.10.2 dan alamat pintu masuk 192.168.10.95.
Proses mendapatkan alamat IP disingkatkan sebagai DORA dan terdiri daripada 4 peringkat: Discovery, Offer, Request and Acknowledgement. Seperti yang anda lihat, penyerang akan memberikan peranti itu alamat IP yang sah yang berada dalam julat alamat rangkaian yang tersedia, tetapi bukannya alamat get laluan sebenar 192.168.10.1, dia akan "menyelilitkannya" dengan alamat palsu 192.168.10.95, iaitu alamat komputernya sendiri.
Selepas ini, semua trafik pengguna akhir yang diarahkan ke Internet akan melalui komputer penyerang. Penyerang akan mengubah halanya lebih jauh, dan pengguna tidak akan merasakan apa-apa perbezaan dengan kaedah komunikasi ini, kerana dia masih boleh mengakses Internet.
Dengan cara yang sama, trafik balik dari Internet akan mengalir kepada pengguna melalui komputer penyerang. Inilah yang biasa dipanggil serangan Man in the Middle (MiM). Semua trafik pengguna akan melalui komputer penggodam, yang akan dapat membaca semua yang dihantar atau diterimanya. Ini adalah salah satu jenis serangan yang boleh berlaku pada rangkaian DHCP.
Jenis serangan kedua dipanggil Penafian Perkhidmatan (DoS), atau "penafian perkhidmatan." Apa yang berlaku? Komputer penggodam tidak lagi bertindak sebagai pelayan DHCP, ia kini hanya peranti menyerang. Ia menghantar permintaan Discovery ke pelayan DHCP sebenar dan menerima mesej Tawaran sebagai tindak balas, kemudian menghantar Permintaan kepada pelayan dan menerima alamat IP daripadanya. Komputer penyerang melakukan ini setiap beberapa milisaat, setiap kali menerima alamat IP baharu.
Bergantung pada tetapan, pelayan DHCP sebenar mempunyai kumpulan ratusan atau beberapa ratus alamat IP kosong. Komputer penggodam akan menerima alamat IP .1, .2, .3, dan seterusnya sehingga kumpulan alamat habis sepenuhnya. Selepas ini, pelayan DHCP tidak akan dapat memberikan alamat IP kepada pelanggan baharu dalam rangkaian. Jika pengguna baharu memasuki rangkaian, dia tidak akan dapat mendapatkan alamat IP percuma. Inilah titik serangan DoS pada pelayan DHCP: untuk menghalangnya daripada mengeluarkan alamat IP kepada pengguna baharu.
Untuk mengatasi serangan tersebut, konsep DHCP Snooping digunakan. Ini ialah fungsi lapisan XNUMX OSI yang bertindak seperti ACL dan hanya berfungsi pada suis. Untuk memahami DHCP Snooping, anda perlu mempertimbangkan dua konsep: port dipercayai suis Dipercayai dan port Tidak Dipercayai tidak dipercayai untuk peranti rangkaian lain.
Port yang dipercayai membenarkan sebarang jenis mesej DHCP melaluinya. Port tidak dipercayai ialah port yang disambungkan kepada pelanggan, dan DHCP Snooping menjadikannya supaya sebarang mesej DHCP yang datang dari port tersebut akan dibuang.
Jika kita ingat proses DORA, mesej D datang dari klien ke pelayan, dan mesej O datang dari pelayan ke klien. Seterusnya, mesej R dihantar dari klien ke pelayan, dan pelayan menghantar mesej A kepada klien.
Mesej D dan R daripada port tidak selamat diterima dan mesej seperti O dan A dibuang. Apabila fungsi DHCP Snooping didayakan, semua port suis dianggap tidak selamat secara lalai. Fungsi ini boleh digunakan untuk suis secara keseluruhan dan untuk VLAN individu. Contohnya, jika VLAN10 disambungkan ke port, anda boleh mendayakan ciri ini hanya untuk VLAN10, dan kemudian portnya akan menjadi tidak dipercayai.
Apabila anda mendayakan DHCP Snooping, anda, sebagai pentadbir sistem, perlu pergi ke tetapan suis dan mengkonfigurasi port sedemikian rupa sehingga hanya port yang peranti yang serupa dengan pelayan disambungkan dianggap tidak dipercayai. Ini bermakna sebarang jenis pelayan, bukan hanya DHCP.
Contohnya, jika suis lain, penghala atau pelayan DHCP sebenar disambungkan ke port, maka port ini dikonfigurasikan sebagai dipercayai. Port suis yang tinggal di mana peranti pengguna akhir atau pusat akses wayarles disambungkan mesti dikonfigurasikan sebagai tidak selamat. Oleh itu, mana-mana peranti seperti pusat akses yang mana pengguna disambungkan bersambung ke suis melalui port yang tidak dipercayai.
Jika komputer penyerang menghantar mesej jenis O dan A ke suis, ia akan disekat, iaitu trafik sedemikian tidak akan dapat melalui port yang tidak dipercayai. Beginilah cara DHCP Snooping menghalang jenis serangan yang dibincangkan di atas.
Selain itu, DHCP Snooping mencipta jadual mengikat DHCP. Selepas klien menerima alamat IP daripada pelayan, alamat ini, bersama-sama dengan alamat MAC peranti yang menerimanya, akan dimasukkan ke dalam jadual DHCP Snooping. Kedua-dua ciri ini akan dikaitkan dengan port tidak selamat di mana pelanggan disambungkan.
Ini membantu, sebagai contoh, untuk mencegah serangan DoS. Jika pelanggan dengan alamat MAC yang diberikan telah menerima alamat IP, maka mengapa ia memerlukan alamat IP baharu? Dalam kes ini, sebarang percubaan pada aktiviti sedemikian akan dihalang serta-merta selepas menyemak entri dalam jadual.
Perkara seterusnya yang perlu kita bincangkan ialah Nondefault, atau VLAN Asli "bukan lalai". Kami telah berulang kali menyentuh topik VLAN, menumpukan 4 pelajaran video kepada rangkaian ini. Jika anda terlupa apa ini, saya nasihatkan anda untuk mengulangkaji pelajaran ini.
Kami tahu bahawa dalam suis Cisco, VLAN Asli lalai ialah VLAN1. Terdapat serangan yang dipanggil VLAN Hopping. Mari kita anggap bahawa komputer dalam rajah disambungkan ke suis pertama oleh rangkaian asli lalai VLAN1, dan suis terakhir disambungkan ke komputer oleh rangkaian VLAN10. Sebuah batang didirikan di antara suis.
Biasanya, apabila trafik dari komputer pertama tiba di suis, ia tahu bahawa port yang komputer ini disambungkan adalah sebahagian daripada VLAN1. Seterusnya, trafik ini pergi ke batang antara dua suis dan suis pertama berfikir seperti ini: "trafik ini datang daripada VLAN Asli, jadi saya tidak perlu menandainya," dan memajukan trafik tidak berteg di sepanjang batang, yang tiba di suis kedua.
Suis 2, setelah menerima trafik tidak berteg, berfikir seperti ini: "memandangkan trafik ini tidak berteg, ini bermakna ia milik VLAN1, jadi saya tidak boleh menghantarnya melalui VLAN10." Akibatnya, trafik yang dihantar oleh komputer pertama tidak dapat sampai ke komputer kedua.
Pada hakikatnya, ini adalah bagaimana ia sepatutnya berlaku - trafik VLAN1 tidak sepatutnya masuk ke VLAN10. Sekarang mari kita bayangkan bahawa di sebalik komputer pertama terdapat penyerang yang mencipta bingkai dengan tag VLAN10 dan menghantarnya ke suis. Jika anda masih ingat bagaimana VLAN berfungsi, maka anda tahu bahawa jika trafik yang ditag mencapai suis, ia tidak melakukan apa-apa dengan bingkai, tetapi hanya menghantarnya lebih jauh di sepanjang batang. Akibatnya, suis kedua akan menerima trafik dengan teg yang dibuat oleh penyerang, dan bukan oleh suis pertama.
Ini bermakna anda menggantikan VLAN Asli dengan sesuatu selain VLAN1.
Oleh kerana suis kedua tidak tahu siapa yang mencipta teg VLAN10, ia hanya menghantar trafik ke komputer kedua. Beginilah cara serangan VLAN Hopping berlaku, apabila penyerang menembusi rangkaian yang pada mulanya tidak boleh diakses olehnya.
Untuk mengelakkan serangan sedemikian, anda perlu mencipta VLAN Rawak, atau VLAN rawak, contohnya VLAN999, VLAN666, VLAN777, dsb., yang tidak boleh digunakan oleh penyerang sama sekali. Pada masa yang sama, kami pergi ke port batang suis dan mengkonfigurasinya untuk berfungsi, sebagai contoh, dengan VLAN666 Asli. Dalam kes ini, kami menukar VLAN Asli untuk port batang daripada VLAN1 kepada VLAN66, iaitu, kami menggunakan mana-mana rangkaian selain daripada VLAN1 sebagai VLAN Asli.
Port pada kedua-dua belah batang mesti dikonfigurasikan kepada VLAN yang sama, jika tidak, kami akan menerima ralat tidak sepadan nombor VLAN.
Selepas persediaan ini, jika penggodam memutuskan untuk melakukan serangan VLAN Hopping, dia tidak akan berjaya, kerana VLAN1 asli tidak diberikan kepada mana-mana port batang suis. Ini ialah kaedah untuk melindungi daripada serangan dengan mencipta VLAN asli bukan lalai.
Terima kasih kerana tinggal bersama kami. Adakah anda suka artikel kami? Ingin melihat kandungan yang lebih menarik? Sokong kami dengan membuat pesanan atau mengesyorkan kepada rakan, Diskaun 30% untuk pengguna Habr pada analog unik pelayan peringkat permulaan, yang kami cipta untuk anda: (tersedia dengan RAID1 dan RAID10, sehingga 24 teras dan sehingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya disini di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - daripada $99! Baca tentang
Sumber: www.habr.com