Vandaag zullen we twee belangrijke onderwerpen bekijken: DHCP Snooping en “niet-standaard” Native VLAN’s. Voordat u verdergaat met de les, nodig ik u uit om ons andere YouTube-kanaal te bezoeken, waar u een video kunt bekijken over hoe u uw geheugen kunt verbeteren. Ik raad je aan je op dit kanaal te abonneren, omdat we daar veel nuttige tips voor zelfverbetering plaatsen.
Deze les is gewijd aan de studie van subsecties 1.7b en 1.7c van het ICND2-onderwerp. Voordat we aan de slag gaan met DHCP Snooping, laten we enkele punten uit eerdere lessen onthouden. Als ik me niet vergis, leerden we over DHCP op dag 6 en dag 24. Daar werden belangrijke kwesties besproken met betrekking tot de toewijzing van IP-adressen door de DHCP-server en de uitwisseling van overeenkomstige berichten.
Wanneer een eindgebruiker zich aanmeldt bij een netwerk, stuurt hij doorgaans een broadcastverzoek naar het netwerk dat door alle netwerkapparaten wordt “gehoord”. Als het rechtstreeks is verbonden met een DHCP-server, gaat het verzoek rechtstreeks naar de server. Als er transmissieapparaten op het netwerk zijn - routers en switches - dan gaat het verzoek naar de server via deze apparaten. Na ontvangst van het verzoek reageert de DHCP-server op de gebruiker, die hem een verzoek stuurt om een IP-adres te verkrijgen, waarna de server een dergelijk adres doorgeeft aan het apparaat van de gebruiker. Dit is hoe het proces van het verkrijgen van een IP-adres onder normale omstandigheden plaatsvindt. Volgens het voorbeeld in het diagram ontvangt de Eindgebruiker het adres 192.168.10.10 en het gateway-adres 192.168.10.1. Hierna heeft de gebruiker via deze gateway toegang tot internet of kan hij communiceren met andere netwerkapparaten.
Laten we aannemen dat er naast de echte DHCP-server ook een frauduleuze DHCP-server op het netwerk aanwezig is, dat wil zeggen dat de aanvaller eenvoudigweg een DHCP-server op zijn computer installeert. In dit geval verzendt de gebruiker, nadat hij het netwerk is binnengegaan, ook een broadcastbericht, dat de router en switch doorsturen naar de echte server.
De malafide server ‘luistert’ echter ook naar het netwerk en zal, na ontvangst van het uitgezonden bericht, op de gebruiker reageren met zijn eigen aanbod in plaats van de echte DHCP-server. Na ontvangst geeft de gebruiker toestemming, waardoor hij van de aanvaller een IP-adres 192.168.10.2 en een gateway-adres 192.168.10.95 ontvangt.
Het proces voor het verkrijgen van een IP-adres wordt afgekort als DORA en bestaat uit 4 fasen: Discovery, Offer, Request en Acknowledgement. Zoals u kunt zien, zal de aanvaller het apparaat een legaal IP-adres geven dat binnen het beschikbare bereik van netwerkadressen ligt, maar in plaats van het echte gateway-adres 192.168.10.1 zal hij het een vals adres 192.168.10.95 geven. dat wil zeggen, het adres van zijn eigen computer.
Hierna gaat al het eindgebruikersverkeer dat naar internet wordt geleid via de computer van de aanvaller. De aanvaller zal het verder omleiden en de gebruiker zal geen enkel verschil voelen met deze communicatiemethode, aangezien hij nog steeds toegang heeft tot internet.
Op dezelfde manier stroomt retourverkeer van internet via de computer van de aanvaller naar de gebruiker. Dit is wat gewoonlijk de Man in the Middle-aanval (MiM) wordt genoemd. Al het gebruikersverkeer loopt via de computer van de hacker, die alles kan lezen wat hij verzendt of ontvangt. Dit is een type aanval dat kan plaatsvinden op DHCP-netwerken.
Het tweede type aanval wordt Denial of Service (DoS) of ‘denial of service’ genoemd. Wat gebeurt er? De computer van de hacker fungeert niet langer als DHCP-server, maar is nu slechts een aanvallend apparaat. Het stuurt een Discovery-verzoek naar de echte DHCP-server en ontvangt als antwoord een Offer-bericht, stuurt vervolgens een Request naar de server en ontvangt daarvan een IP-adres. De computer van de aanvaller doet dit elke paar milliseconden en ontvangt telkens een nieuw IP-adres.
Afhankelijk van de instellingen heeft een echte DHCP-server een pool van honderden of honderden lege IP-adressen. De computer van de hacker ontvangt de IP-adressen .1, .2, .3, enzovoort, totdat de verzameling adressen volledig is uitgeput. Hierna kan de DHCP-server geen IP-adressen meer verstrekken aan nieuwe clients op het netwerk. Als een nieuwe gebruiker het netwerk betreedt, kan hij geen gratis IP-adres krijgen. Dit is het doel van een DoS-aanval op een DHCP-server: voorkomen dat deze IP-adressen aan nieuwe gebruikers verstrekt.
Om dergelijke aanvallen tegen te gaan, wordt het concept van DHCP Snooping gebruikt. Dit is een OSI Layer XNUMX-functie die fungeert als een ACL en alleen werkt op switches. Om DHCP Snooping te begrijpen, moet u rekening houden met twee concepten: vertrouwde poorten van een vertrouwde switch en niet-vertrouwde, niet-vertrouwde poorten voor andere netwerkapparaten.
Vertrouwde poorten laten elk type DHCP-bericht door. Niet-vertrouwde poorten zijn poorten waarmee clients zijn verbonden, en DHCP Snooping zorgt ervoor dat alle DHCP-berichten die van die poorten komen, worden verwijderd.
Als we ons het DORA-proces herinneren, komt bericht D van de client naar de server, en bericht O komt van de server naar de client. Vervolgens wordt een bericht R verzonden van de client naar de server, en de server verzendt een bericht A naar de client.
Berichten D en R van onbeveiligde poorten worden geaccepteerd en berichten zoals O en A worden weggegooid. Wanneer de DHCP Snooping-functie is ingeschakeld, worden alle switchpoorten standaard als onveilig beschouwd. Deze functie kan zowel voor de switch als geheel als voor individuele VLAN's worden gebruikt. Als VLAN10 bijvoorbeeld op een poort is aangesloten, kunt u deze functie alleen voor VLAN10 inschakelen, waardoor de poort niet meer vertrouwd wordt.
Wanneer u DHCP Snooping inschakelt, moet u als systeembeheerder naar de switchinstellingen gaan en de poorten zo configureren dat alleen de poorten waarop apparaten die vergelijkbaar zijn met de server zijn aangesloten, als niet-vertrouwd worden beschouwd. Dit betekent elk type server, niet alleen DHCP.
Als er bijvoorbeeld een andere switch, router of echte DHCP-server op een poort is aangesloten, wordt deze poort als vertrouwd geconfigureerd. De resterende switchpoorten waarop apparaten van eindgebruikers of draadloze toegangspunten zijn aangesloten, moeten als onveilig worden geconfigureerd. Daarom wordt elk apparaat, zoals een toegangspunt waarmee gebruikers zijn verbonden, via een niet-vertrouwde poort met de switch verbonden.
Als de computer van de aanvaller berichten van het type O en A naar de switch verzendt, worden deze geblokkeerd, dat wil zeggen dat dergelijk verkeer niet via de niet-vertrouwde poort kan passeren. Op deze manier voorkomt DHCP Snooping de hierboven besproken soorten aanvallen.
Bovendien creëert DHCP Snooping DHCP-bindingstabellen. Nadat de client een IP-adres van de server heeft ontvangen, wordt dit adres, samen met het MAC-adres van het apparaat dat het heeft ontvangen, ingevoerd in de DHCP Snooping-tabel. Deze twee kenmerken worden geassocieerd met de onveilige poort waarop de client is aangesloten.
Dit helpt bijvoorbeeld een DoS-aanval te voorkomen. Als een client met een bepaald MAC-adres al een IP-adres heeft ontvangen, waarom zou deze dan een nieuw IP-adres nodig hebben? In dit geval wordt elke poging tot een dergelijke activiteit onmiddellijk na controle van de invoer in de tabel verhinderd.
Het volgende dat we moeten bespreken zijn niet-standaard, of “niet-standaard” native VLAN’s. We hebben herhaaldelijk het onderwerp VLAN's aangestipt en 4 videolessen aan deze netwerken gewijd. Als je vergeten bent wat dit is, raad ik je aan deze lessen nog eens door te nemen.
We weten dat bij Cisco-switches het standaard Native VLAN VLAN1 is. Er zijn aanvallen genaamd VLAN Hopping. Laten we aannemen dat de computer in het diagram is verbonden met de eerste switch via het standaard native netwerk VLAN1, en dat de laatste switch via het VLAN10-netwerk met de computer is verbonden. Tussen de schakelaars wordt een trunk tot stand gebracht.
Wanneer verkeer van de eerste computer bij de switch arriveert, weet deze doorgaans dat de poort waarop deze computer is aangesloten deel uitmaakt van VLAN1. Vervolgens gaat dit verkeer naar de trunk tussen de twee switches, en de eerste switch denkt als volgt: "dit verkeer kwam van het Native VLAN, dus ik hoef het niet te taggen", en stuurt ongetagd verkeer door langs de trunk, wat komt bij de tweede wissel.
Schakelaar 2, die niet-gelabeld verkeer heeft ontvangen, denkt als volgt: "aangezien dit verkeer niet-gelabeld is, betekent dit dat het tot VLAN1 behoort, dus ik kan het niet via VLAN10 verzenden." Als gevolg hiervan kan verkeer dat door de eerste computer wordt verzonden, de tweede computer niet bereiken.
In werkelijkheid zou het zo moeten gebeuren: VLAN1-verkeer mag niet in VLAN10 terechtkomen. Laten we ons nu voorstellen dat er achter de eerste computer een aanvaller zit die een frame maakt met de VLAN10-tag en dit naar de switch stuurt. Als u zich herinnert hoe VLAN werkt, dan weet u dat als getagd verkeer de switch bereikt, het niets met het frame doet, maar het gewoon verder langs de trunk verzendt. Als gevolg hiervan ontvangt de tweede switch verkeer met een tag die door de aanvaller is gemaakt, en niet door de eerste switch.
Dit betekent dat u het Native VLAN vervangt door iets anders dan VLAN1.
Omdat de tweede switch niet weet wie de VLAN10-tag heeft gemaakt, stuurt deze eenvoudigweg verkeer naar de tweede computer. Dit is hoe een VLAN Hopping-aanval plaatsvindt, wanneer een aanvaller een netwerk binnendringt dat aanvankelijk voor hem ontoegankelijk was.
Om dergelijke aanvallen te voorkomen, moet u Random VLAN of willekeurige VLAN's maken, bijvoorbeeld VLAN999, VLAN666, VLAN777, enz., die helemaal niet door een aanvaller kunnen worden gebruikt. Tegelijkertijd gaan we naar de trunkpoorten van de switches en configureren ze om bijvoorbeeld met Native VLAN666 te werken. In dit geval veranderen we het Native VLAN voor trunkpoorten van VLAN1 in VLAN66, dat wil zeggen dat we elk ander netwerk dan VLAN1 als Native VLAN gebruiken.
De poorten aan beide zijden van de trunk moeten worden geconfigureerd op hetzelfde VLAN, anders ontvangen we een foutmelding over het niet overeenkomen van het VLAN-nummer.
Als een hacker na deze opstelling besluit een VLAN Hopping-aanval uit te voeren, zal hij daar niet in slagen, omdat native VLAN1 aan geen van de trunkpoorten van de switches is toegewezen. Dit is de methode om te beschermen tegen aanvallen door niet-standaard native VLAN's te maken.
Bedankt dat je bij ons bent gebleven. Vind je onze artikelen leuk? Wil je meer interessante inhoud zien? Steun ons door een bestelling te plaatsen of door vrienden aan te bevelen, 30% korting voor Habr-gebruikers op een unieke analoog van instapservers, die door ons voor u is uitgevonden: (beschikbaar met RAID1 en RAID10, tot 24 cores en tot 40GB DDR4).
Dell R730xd 2 keer goedkoper? Alleen hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees over
Bron: www.habr.com