I dag skal vi se på to viktige emner: DHCP Snooping og "ikke-standard" Native VLAN. Før du går videre til leksjonen, inviterer jeg deg til å besøke vår andre YouTube-kanal hvor du kan se en video om hvordan du kan forbedre hukommelsen din. Jeg anbefaler at du abonnerer på denne kanalen, da vi legger ut mange nyttige tips for selvforbedring der.
Denne leksjonen er viet til studiet av underavsnitt 1.7b og 1.7c i ICND2-emnet. Før vi begynner med DHCP Snooping, la oss huske noen punkter fra tidligere leksjoner. Hvis jeg ikke tar feil, lærte vi om DHCP på dag 6 og dag 24. Der ble det diskutert viktige spørsmål angående tildeling av IP-adresser av DHCP-serveren og utveksling av tilsvarende meldinger.
Vanligvis, når en sluttbruker logger på et nettverk, sender den en kringkastingsforespørsel til nettverket som blir "hørt" av alle nettverksenheter. Hvis den er direkte koblet til en DHCP-server, går forespørselen direkte til serveren. Hvis det er overføringsenheter på nettverket - rutere og svitsjer - går forespørselen til serveren gjennom dem. Etter å ha mottatt forespørselen, svarer DHCP-serveren til brukeren, som sender ham en forespørsel om å få en IP-adresse, hvoretter serveren utsteder en slik adresse til brukerens enhet. Slik foregår prosessen med å få en IP-adresse under normale forhold. I henhold til eksempelet i diagrammet vil sluttbruker motta adressen 192.168.10.10 og gatewayadressen 192.168.10.1. Etter dette vil brukeren kunne få tilgang til Internett gjennom denne gatewayen eller kommunisere med andre nettverksenheter.
La oss anta at i tillegg til den ekte DHCP-serveren, er det en falsk DHCP-server på nettverket, det vil si at angriperen ganske enkelt installerer en DHCP-server på datamaskinen sin. I dette tilfellet sender brukeren, etter å ha kommet inn i nettverket, også en kringkastingsmelding, som ruteren og bryteren vil videresende til den virkelige serveren.
Imidlertid "lytter" den useriøse serveren også til nettverket, og etter å ha mottatt kringkastingsmeldingen, vil den svare brukeren med sitt eget tilbud i stedet for den ekte DHCP-serveren. Etter å ha mottatt det, vil brukeren gi sitt samtykke, som et resultat av dette vil han motta en IP-adresse fra angriperen 192.168.10.2 og en gateway-adresse 192.168.10.95.
Prosessen med å skaffe en IP-adresse er forkortet til DORA og består av 4 stadier: Oppdagelse, Tilbud, Forespørsel og Bekreftelse. Som du kan se, vil angriperen gi enheten en lovlig IP-adresse som er i det tilgjengelige området av nettverksadresser, men i stedet for den virkelige gateway-adressen 192.168.10.1, vil han "glide" den med en falsk adresse 192.168.10.95, det vil si adressen til sin egen datamaskin.
Etter dette vil all sluttbrukertrafikk rettet til Internett gå gjennom angriperens datamaskin. Angriperen vil omdirigere den videre, og brukeren vil ikke føle noen forskjell med denne kommunikasjonsmetoden, siden han fortsatt vil kunne få tilgang til Internett.
På samme måte vil returtrafikk fra Internett flyte til brukeren gjennom angriperens datamaskin. Dette er det som vanligvis kalles Man in the Middle (MiM) angrep. All brukertrafikk vil gå gjennom hackerens datamaskin, som vil kunne lese alt han sender eller mottar. Dette er en type angrep som kan finne sted på DHCP-nettverk.
Den andre typen angrep kalles Denial of Service (DoS), eller «denial of service». Hva skjer? Hackerens datamaskin fungerer ikke lenger som en DHCP-server, den er nå bare en angripende enhet. Den sender en oppdagelsesforespørsel til den virkelige DHCP-serveren og mottar en tilbudsmelding som svar, og sender deretter en forespørsel til serveren og mottar en IP-adresse fra den. Angriperens datamaskin gjør dette med noen millisekunder, hver gang den mottar en ny IP-adresse.
Avhengig av innstillingene har en ekte DHCP-server en pool på hundrevis eller flere hundre ledige IP-adresser. Hackerens datamaskin vil motta IP-adressene .1, .2, .3, og så videre til utvalget av adresser er helt oppbrukt. Etter dette vil ikke DHCP-serveren kunne gi IP-adresser til nye klienter på nettverket. Hvis en ny bruker kommer inn i nettverket, vil han ikke kunne få en gratis IP-adresse. Dette er poenget med et DoS-angrep på en DHCP-server: å hindre den i å utstede IP-adresser til nye brukere.
For å motvirke slike angrep brukes konseptet DHCP Snooping. Dette er en OSI-lag XNUMX-funksjon som fungerer som en ACL og bare fungerer på brytere. For å forstå DHCP Snooping, må du vurdere to konsepter: klarerte porter til en klarert svitsj og upålitelige uklarerte porter for andre nettverksenheter.
Klarerte porter lar alle typer DHCP-meldinger passere. Ikke-klarerte porter er porter som klienter er koblet til, og DHCP Snooping gjør det slik at alle DHCP-meldinger som kommer fra disse portene blir forkastet.
Hvis vi husker DORA-prosessen, kommer melding D fra klienten til serveren, og melding O kommer fra serveren til klienten. Deretter sendes en melding R fra klienten til serveren, og serveren sender en melding A til klienten.
Meldinger D og R fra usikrede porter godtas, og meldinger som O og A forkastes. Når DHCP Snooping-funksjonen er aktivert, anses alle svitsjporter som usikre som standard. Denne funksjonen kan brukes både for bryteren som helhet og for individuelle VLAN. For eksempel, hvis VLAN10 er koblet til en port, kan du aktivere denne funksjonen bare for VLAN10, og porten blir da ikke klarert.
Når du aktiverer DHCP Snooping, må du som systemadministrator gå inn i svitsjinnstillingene og konfigurere portene på en slik måte at kun portene som enheter som ligner på serveren er koblet til anses som uklarerte. Dette betyr enhver type server, ikke bare DHCP.
For eksempel, hvis en annen svitsj, ruter eller ekte DHCP-server er koblet til en port, er denne porten konfigurert som klarert. De gjenværende svitsjportene som sluttbrukerenheter eller trådløse tilgangspunkter er koblet til, må konfigureres som usikre. Derfor kobles enhver enhet som et tilgangspunkt som brukerne er koblet til svitsjen via en uklarert port.
Hvis angriperens datamaskin sender meldinger av type O og A til svitsjen, vil de bli blokkert, det vil si at slik trafikk ikke kan passere gjennom den ikke-klarerte porten. Dette er hvordan DHCP Snooping forhindrer angrepstypene som er omtalt ovenfor.
I tillegg oppretter DHCP Snooping DHCP-bindingstabeller. Etter at klienten mottar en IP-adresse fra serveren, vil denne adressen, sammen med MAC-adressen til enheten som mottok den, legges inn i DHCP Snooping-tabellen. Disse to egenskapene vil være assosiert med den usikre porten som klienten er koblet til.
Dette hjelper for eksempel til å forhindre et DoS-angrep. Hvis en klient med en gitt MAC-adresse allerede har mottatt en IP-adresse, hvorfor skulle den da kreve en ny IP-adresse? I dette tilfellet vil ethvert forsøk på slik aktivitet bli forhindret umiddelbart etter å ha sjekket oppføringen i tabellen.
Det neste vi må diskutere er Nondefault, eller "ikke-standard" Native VLAN-er. Vi har gjentatte ganger berørt temaet VLAN, og viet 4 videoleksjoner til disse nettverkene. Hvis du har glemt hva dette er, anbefaler jeg deg å gå gjennom disse leksjonene.
Vi vet at i Cisco-svitsjer er standard Native VLAN VLAN1. Det er angrep som kalles VLAN Hopping. La oss anta at datamaskinen i diagrammet er koblet til den første svitsjen med standard native nettverk VLAN1, og den siste svitsjen er koblet til datamaskinen med VLAN10-nettverket. Det etableres en trunk mellom bryterne.
Vanligvis, når trafikk fra den første datamaskinen kommer til svitsjen, vet den at porten som denne datamaskinen er koblet til er en del av VLAN1. Deretter går denne trafikken til stammen mellom de to svitsjene, og den første svitsjen tenker slik: "denne trafikken kom fra det opprinnelige VLANet, så jeg trenger ikke å merke det," og videresender umerket trafikk langs stammen, som kommer til den andre bryteren.
Switch 2, etter å ha mottatt umerket trafikk, tenker slik: "siden denne trafikken er umerket, betyr det at den tilhører VLAN1, så jeg kan ikke sende den over VLAN10." Som et resultat kan ikke trafikk som sendes av den første datamaskinen nå den andre datamaskinen.
I virkeligheten er det slik det skal skje - VLAN1-trafikk skal ikke komme inn i VLAN10. La oss nå forestille oss at bak den første datamaskinen er det en angriper som lager en ramme med VLAN10-taggen og sender den til bryteren. Hvis du husker hvordan VLAN fungerer, så vet du at hvis merket trafikk når bryteren, gjør den ingenting med rammen, men sender den ganske enkelt videre langs stammen. Som et resultat vil den andre bryteren motta trafikk med en tag som ble opprettet av angriperen, og ikke av den første bryteren.
Dette betyr at du erstatter Native VLAN med noe annet enn VLAN1.
Siden den andre bryteren ikke vet hvem som opprettet VLAN10-taggen, sender den ganske enkelt trafikk til den andre datamaskinen. Dette er hvordan et VLAN Hopping-angrep oppstår når en angriper trenger inn i et nettverk som i utgangspunktet var utilgjengelig for ham.
For å forhindre slike angrep må du lage tilfeldige VLAN, eller tilfeldige VLAN, for eksempel VLAN999, VLAN666, VLAN777 osv., som ikke kan brukes av en angriper i det hele tatt. Samtidig går vi til trunkportene til svitsjene og konfigurerer dem til å fungere for eksempel med Native VLAN666. I dette tilfellet endrer vi Native VLAN for trunkporter fra VLAN1 til VLAN66, det vil si at vi bruker et hvilket som helst annet nettverk enn VLAN1 som Native VLAN.
Portene på begge sider av stammen må konfigureres til samme VLAN, ellers vil vi motta en feil med VLAN-nummer.
Etter dette oppsettet, hvis en hacker bestemmer seg for å utføre et VLAN Hopping-angrep, vil han ikke lykkes, fordi native VLAN1 ikke er tilordnet noen av trunkportene til svitsjene. Dette er metoden for å beskytte mot angrep ved å lage ikke-standard native VLAN.
Takk for at du bor hos oss. Liker du artiklene våre? Vil du se mer interessant innhold? Støtt oss ved å legge inn en bestilling eller anbefale til venner, 30 % rabatt for Habr-brukere på en unik analog av inngangsnivåservere, som ble oppfunnet av oss for deg: (tilgjengelig med RAID1 og RAID10, opptil 24 kjerner og opptil 40 GB DDR4).
Dell R730xd 2 ganger billigere? Bare her i Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Lese om
Kilde: www.habr.com