Illum se nħarsu lejn żewġ suġġetti importanti: DHCP Snooping u VLANs Native "mhux default". Qabel ma ngħaddi għal-lezzjoni, nistiednek iżżur il-kanal l-ieħor tagħna fuq YouTube fejn tista' tara vidjo dwar kif ittejjeb il-memorja tiegħek. Nirrakkomanda li tabbona għal dan il-kanal, peress li npoġġu ħafna suġġerimenti utli għal titjib personali hemmhekk.
Din il-lezzjoni hija ddedikata għall-istudju tas-subsezzjonijiet 1.7b u 1.7c tas-suġġett ICND2. Qabel ma nibdew b'DHCP Snooping, ejja niftakru xi punti minn lezzjonijiet preċedenti. Jekk ma nkunx żbaljat, tgħallimna dwar id-DHCP f'Jum 6 u Jum 24. Hemmhekk, ġew diskussi kwistjonijiet importanti dwar l-assenjazzjoni ta 'indirizzi IP mis-server DHCP u l-iskambju ta' messaġġi korrispondenti.
Tipikament, meta Utent Aħħar jidħol f'netwerk, jibgħat talba ta' xandir lin-netwerk li "jinstema'" mill-apparati kollha tan-netwerk. Jekk tkun imqabbda direttament ma' server DHCP, allura t-talba tmur direttament lis-server. Jekk hemm apparati ta 'trażmissjoni fuq in-netwerk - routers u swiċċijiet - allura t-talba lis-server tgħaddi minnhom. Wara li rċieva t-talba, is-server DHCP jirrispondi lill-utent, li jibgħatlu talba biex jikseb indirizz IP, u wara s-server joħroġ tali indirizz lill-apparat tal-utent. Dan huwa kif il-proċess tal-kisba ta 'indirizz IP iseħħ taħt kundizzjonijiet normali. Skont l-eżempju fid-dijagramma, l-Utent Aħħar jirċievi l-indirizz 192.168.10.10 u l-indirizz tal-gateway 192.168.10.1. Wara dan, l-utent ikun jista 'jaċċessa l-Internet permezz ta' dan il-portal jew jikkomunika ma 'tagħmir tan-netwerk ieħor.
Ejja nassumu li minbarra s-server DHCP reali, hemm server DHCP frawdolenti fuq in-netwerk, jiġifieri, l-attakkant sempliċement jinstalla server DHCP fuq il-kompjuter tiegħu. F'dan il-każ, l-utent, wara li jkun daħal fin-netwerk, jibgħat ukoll messaġġ ta 'xandir, li r-router u swiċċ se jgħaddu lis-server reali.
Madankollu, is-server diżonesti "jisma" wkoll in-netwerk, u, wara li rċieva l-messaġġ tax-xandir, se jirrispondi lill-utent bl-offerta tiegħu stess minflok is-server DHCP reali. Wara li jkun irċievaha, l-utent se jagħti l-kunsens tiegħu, bħala riżultat ta 'dan se jirċievi indirizz IP mill-attakkant 192.168.10.2 u indirizz gateway 192.168.10.95.
Il-proċess biex jinkiseb indirizz IP huwa mqassar bħala DORA u jikkonsisti f'4 stadji: Skoperta, Offerta, Talba u Rikonoxximent. Kif tistgħu taraw, l-attakkant se jagħti lill-apparat indirizz IP legali li jinsab fil-firxa disponibbli ta 'indirizzi tan-netwerk, iżda minflok l-indirizz tal-gateway reali 192.168.10.1, se "slip" b'indirizz falz 192.168.10.95, jiġifieri, l-indirizz tal-kompjuter tiegħu stess.
Wara dan, it-traffiku kollu tal-utent aħħari dirett lejn l-Internet jgħaddi mill-kompjuter tal-attakkant. L-attakkant jerġa 'jidderieġih aktar, u l-utent ma jħoss ebda differenza ma' dan il-metodu ta 'komunikazzjoni, peress li xorta jkun jista' jaċċessa l-Internet.
Bl-istess mod, it-traffiku lura mill-Internet se jgħaddi lejn l-utent permezz tal-kompjuter tal-attakkant. Dan huwa dak li komunement jissejjaħ l-attakk Man in the Middle (MiM). It-traffiku kollu tal-utent jgħaddi mill-kompjuter tal-hacker, li jkun jista’ jaqra dak kollu li jibgħat jew jirċievi. Dan huwa tip wieħed ta 'attakk li jista' jseħħ fuq netwerks DHCP.
It-tieni tip ta 'attakk jissejjaħ Denial of Service (DoS), jew "ċaħda ta' servizz." X'jigri? Il-kompjuter tal-hacker m'għadux jaġixxi bħala server DHCP, issa huwa biss apparat li jattakka. Huwa jibgħat talba ta 'Sejbien lis-server DHCP reali u jirċievi messaġġ ta' Offerta bi tweġiba, imbagħad jibgħat Talba lis-server u jirċievi indirizz IP minnu. Il-kompjuter tal-attakkant jagħmel dan kull ftit millisekondi, kull darba li jirċievi indirizz IP ġdid.
Skont is-settings, server DHCP reali għandu ġabra ta' mijiet jew diversi mijiet ta' indirizzi IP vakanti. Il-kompjuter tal-hacker se jirċievi indirizzi IP .1, .2, .3, u l-bqija sakemm il-ġabra ta 'indirizzi tkun kompletament eżawrita. Wara dan, is-server DHCP ma jkunx jista 'jipprovdi indirizzi IP lil klijenti ġodda fuq in-netwerk. Jekk utent ġdid jidħol fin-netwerk, ma jkunx jista' jikseb indirizz IP b'xejn. Dan huwa l-punt ta 'attakk DoS fuq server DHCP: biex ma jħallihx joħroġ indirizzi IP lil utenti ġodda.
Biex jiġġieldu attakki bħal dawn, jintuża l-kunċett ta 'DHCP Snooping. Din hija funzjoni OSI saff XNUMX li taġixxi bħal ACL u taħdem biss fuq swiċċijiet. Biex tifhem id-DHCP Snooping, trid tikkunsidra żewġ kunċetti: portijiet ta' fiduċja ta' swiċċ ta' fiduċja u portijiet ta' fiduċja mhux ta' fiduċja għal tagħmir tan-netwerk ieħor.
Portijiet ta' fiduċja jippermettu li jgħaddi kwalunkwe tip ta' messaġġ DHCP. Portijiet mhux fdati huma portijiet li l-klijenti huma konnessi magħhom, u DHCP Snooping jagħmilha sabiex kwalunkwe messaġġ DHCP li ġej minn dawk il-portijiet jintrema.
Jekk infakkru fil-proċess DORA, il-messaġġ D jiġi mill-klijent għas-server, u l-messaġġ O jiġi mis-server għall-klijent. Sussegwentement, jintbagħat messaġġ R mill-klijent lis-server, u s-server jibgħat messaġġ A lill-klijent.
Messaġġi D u R minn portijiet mhux assigurati huma aċċettati, u messaġġi bħal O u A jintremew. Meta l-funzjoni DHCP Snooping tkun attivata, il-portijiet kollha tal-iswiċċ jitqiesu bħala mhux sikuri b'mod awtomatiku. Din il-funzjoni tista 'tintuża kemm għall-iswiċċ kollu kemm hu kif ukoll għal VLANs individwali. Pereżempju, jekk VLAN10 huwa konness ma 'port, tista' tattiva din il-karatteristika biss għal VLAN10, u mbagħad il-port tiegħu ma jkunx fdat.
Meta tattiva DHCP Snooping, int, bħala amministratur tas-sistema, ikollok tidħol fis-settings tal-iswiċċ u tikkonfigura l-portijiet b'tali mod li huma biss il-portijiet li magħhom huma konnessi apparati simili għas-server jitqiesu mhux fdati. Dan ifisser kull tip ta' server, mhux biss DHCP.
Per eżempju, jekk swiċċ ieħor, router jew server DHCP reali huwa konness ma 'port, allura dan il-port huwa kkonfigurat bħala fdat. Il-bqija tal-portijiet tal-iswiċċ li magħhom huma konnessi tagħmir tal-utent finali jew punti ta' aċċess bla fili għandhom ikunu kkonfigurati bħala mhux siguri. Għalhekk, kwalunkwe apparat bħal punt ta 'aċċess li l-utenti huma konnessi miegħu jgħaqqad mal-iswiċċ permezz ta' port mhux fdat.
Jekk il-kompjuter tal-attakkant jibgħat messaġġi tat-tip O u A lill-iswiċċ, dawn jiġu mblukkati, jiġifieri, tali traffiku ma jkunx jista 'jgħaddi mill-port mhux fdat. Dan huwa kif DHCP Snooping jipprevjeni t-tipi ta 'attakki diskussi hawn fuq.
Barra minn hekk, DHCP Snooping joħloq tabelli li jorbtu DHCP. Wara li l-klijent jirċievi indirizz IP mis-server, dan l-indirizz, flimkien mal-indirizz MAC tal-apparat li rċevih, jiddaħħlu fit-tabella DHCP Snooping. Dawn iż-żewġ karatteristiċi se jkunu assoċjati mal-port mhux sikur li miegħu huwa konness il-klijent.
Dan jgħin, pereżempju, biex jipprevjeni attakk DoS. Jekk klijent b'indirizz MAC partikolari diġà rċieva indirizz IP, allura għaliex għandu jeħtieġ indirizz IP ġdid? F'dan il-każ, kwalunkwe tentattiv ta' attività bħal din jiġi evitat immedjatament wara li tkun iċċekkjata l-entrata fit-tabella.
Il-ħaġa li jmiss li għandna bżonn niddiskutu hija Nondefault, jew VLANs Native "mhux default". Kemm-il darba missejt is-suġġett tal-VLANs, ddedikajna 4 lezzjonijiet tal-vidjo għal dawn in-netwerks. Jekk insejt x'inhu dan, nagħtik parir biex tirrevedi dawn il-lezzjonijiet.
Nafu li fis-swiċċijiet Cisco l-VLAN Native default huwa VLAN1. Hemm attakki msejħa VLAN Hopping. Ejja nassumu li l-kompjuter fid-dijagramma huwa konness mal-ewwel swiċċ bin-netwerk nattiv default VLAN1, u l-aħħar swiċċ huwa konness mal-kompjuter min-netwerk VLAN10. Trunk huwa stabbilit bejn is-swiċċijiet.
Tipikament, meta t-traffiku mill-ewwel kompjuter jasal fis-swiċċ, ikun jaf li l-port li miegħu huwa konness dan il-kompjuter huwa parti minn VLAN1. Sussegwentement, dan it-traffiku jmur lejn it-trunk bejn iż-żewġ swiċċijiet, u l-ewwel swiċċ jaħseb hekk: "dan it-traffiku ġie mill-VLAN Nattiv, għalhekk m'għandix għalfejn nittikkettah," u jgħaddi traffiku mhux immarkat tul it-trunk, li jasal fit-tieni swiċċ.
Is-swiċċ 2, wara li rċieva traffiku mhux tikkettat, jaħseb hekk: "billi dan it-traffiku mhuwiex tikkettat, ifisser li jappartjeni għal VLAN1, għalhekk ma nistax nibgħatu fuq VLAN10." Bħala riżultat, it-traffiku mibgħut mill-ewwel kompjuter ma jistax jilħaq it-tieni kompjuter.
Fir-realtà, dan huwa kif għandu jiġri - it-traffiku VLAN1 m'għandux jidħol f'VLAN10. Issa ejja nimmaġinaw li wara l-ewwel kompjuter hemm attakkant li joħloq frame bit-tikketta VLAN10 u jibgħatha lill-iswiċċ. Jekk tiftakar kif taħdem il-VLAN, allura taf li jekk it-traffiku ttikkettat jilħaq is-swiċċ, ma jagħmel xejn mal-frejm, iżda sempliċement jittrasmettih aktar tul it-trunk. Bħala riżultat, it-tieni swiċċ se jirċievi traffiku b'tikketta li nħolqot mill-attakkant, u mhux mill-ewwel swiċċ.
Dan ifisser li qed tissostitwixxi l-VLAN Nattiv b'xi ħaġa oħra għajr VLAN1.
Peress li t-tieni swiċċ ma jafx min ħoloq it-tikketta VLAN10, sempliċement jibgħat traffiku lit-tieni kompjuter. Hekk iseħħ attakk VLAN Hopping, meta attakkant jippenetra netwerk li inizjalment kien inaċċessibbli għalih.
Biex tipprevjeni attakki bħal dawn, trid toħloq VLAN każwali, jew VLANs każwali, pereżempju VLAN999, VLAN666, VLAN777, eċċ., li ma jistgħux jintużaw minn attakkant. Fl-istess ħin, immorru fil-portijiet trunk tas-swiċċijiet u kkonfigurawhom biex jaħdmu, pereżempju, b'Native VLAN666. F'dan il-każ, aħna nibdlu l-VLAN Nattiv għall-portijiet trunk minn VLAN1 għal VLAN66, jiġifieri, nużaw kwalunkwe netwerk minbarra VLAN1 bħala l-VLAN Nattiv.
Il-portijiet fuq iż-żewġ naħat tat-trunk għandhom ikunu kkonfigurati għall-istess VLAN, inkella nirċievu żball ta 'nuqqas ta' tqabbil tan-numru tal-VLAN.
Wara din is-setup, jekk hacker jiddeċiedi li jwettaq attakk VLAN Hopping, mhux se jirnexxi, minħabba li VLAN1 nattiv ma jiġi assenjat lil ebda wieħed mill-portijiet trunk tal-iswiċċijiet. Dan huwa l-metodu ta 'protezzjoni kontra attakki billi jinħolqu VLANs indiġeni mhux default.
Grazzi talli bqajt magħna. Tħobb l-artikoli tagħna? Trid tara aktar kontenut interessanti? Appoġġuna billi tagħmel ordni jew tirrakkomanda lill-ħbieb, Roħs ta' 30% għall-utenti ta' Habr fuq analogu uniku ta' servers ta' livell ta' dħul, li ġie ivvintat minna għalik: (disponibbli b'RAID1 u RAID10, sa 24 core u sa 40GB DDR4).
Dell R730xd 2 darbiet orħos? Hawn biss fl-Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - minn $99! Aqra dwar
Sors: www.habr.com