Lero tiwona mitu iwiri yofunika: DHCP Snooping ndi "non-default" Native VLANs. Ndisanapitirire phunziroli, ndikukupemphani kuti muyendere njira yathu ina ya YouTube komwe mungawonere kanema wamomwe mungakulitsire kukumbukira kwanu. Ndikupangira kuti mulembetse ku tchanelochi, popeza tikulemba malangizo ambiri othandiza kuti mudzitukule kumeneko.
Phunziroli laperekedwa pakuphunzira ndime 1.7b ndi 1.7c ya mutu wa ICND2. Tisanayambe ndi DHCP Snooping, tiyeni tikumbukire mfundo zina zamaphunziro apitawa. Ngati sindikulakwitsa, tinaphunzira za DHCP mu Tsiku 6 ndi Tsiku 24. Kumeneko, nkhani zofunika zinakambidwa ponena za kuperekedwa kwa ma adilesi a IP ndi seva ya DHCP ndi kusinthana kwa mauthenga ofanana.
Nthawi zambiri, Wogwiritsa Ntchito Akalowa pa netiweki, amatumiza pempho lowulutsa ku netiweki lomwe "likumveka" ndi zida zonse za netiweki. Ngati ilumikizidwa mwachindunji ndi seva ya DHCP, ndiye pempholo limapita mwachindunji ku seva. Ngati pali zida zotumizira pamaneti - ma routers ndi ma switch - ndiye pempho la seva limadutsamo. Atalandira pempholi, seva ya DHCP imayankha wogwiritsa ntchito, yemwe amamutumizira pempho kuti apeze adilesi ya IP, pambuyo pake seva imatulutsa adilesi yotere ku chipangizo cha wogwiritsa ntchito. Umu ndi momwe njira yopezera adilesi ya IP imachitikira nthawi zonse. Malinga ndi chitsanzo chomwe chili pachithunzichi, Wogwiritsa Ntchito Adzalandira adilesi 192.168.10.10 ndi adilesi yachipata 192.168.10.1. Pambuyo pake, wogwiritsa ntchito azitha kugwiritsa ntchito intaneti kudzera pachipata ichi kapena kulumikizana ndi zida zina zapaintaneti.
Tiyerekeze kuti kuwonjezera pa seva yeniyeni ya DHCP, pali seva yachinyengo ya DHCP pa intaneti, ndiko kuti, wowukirayo amangoyika seva ya DHCP pa kompyuta yake. Pankhaniyi, wogwiritsa ntchito, atalowa mu netiweki, amatumizanso uthenga wowulutsa, womwe rauta ndi chosinthira chidzatumiza ku seva yeniyeni.
Komabe, seva yachinyengo imakhalanso "imamvetsera" pa intaneti, ndipo, italandira uthenga wofalitsa, idzayankha wogwiritsa ntchitoyo ndi zopereka zake m'malo mwa seva yeniyeni ya DHCP. Atalandira, wogwiritsa ntchitoyo apereka chilolezo chake, chifukwa chake adzalandira adilesi ya IP kuchokera kwa wowukira 192.168.10.2 ndi adilesi yachipata 192.168.10.95.
Njira yopezera adilesi ya IP imafupikitsidwa ngati DORA ndipo ili ndi magawo anayi: Kupeza, Kupereka, Pempho ndi Kuvomereza. Monga mukuwonera, wowukirayo adzapatsa chipangizocho adilesi yovomerezeka ya IP yomwe ili pamaadiresi omwe alipo, koma m'malo mwa adilesi yeniyeni ya 4, "adzaigwedeza" ndi adilesi yabodza 192.168.10.1, ndiye kuti, adilesi ya kompyuta yake.
Pambuyo pake, magalimoto onse opita ku intaneti amadutsa pakompyuta ya wowukirayo. Wowukirayo adzawongoleranso, ndipo wogwiritsa ntchito sangamve kusiyana kulikonse ndi njira iyi yolumikizirana, popeza azitha kugwiritsa ntchito intaneti.
Momwemonso, kubweza magalimoto kuchokera pa intaneti kudzayenda kwa wogwiritsa ntchito kudzera pakompyuta ya wowukirayo. Izi ndizomwe zimatchedwa kuti Man in the Middle (MiM). Magalimoto onse ogwiritsira ntchito adzadutsa pakompyuta ya wowonongayo, yemwe azitha kuwerenga zonse zomwe amatumiza kapena kulandira. Uwu ndi mtundu umodzi wowukira womwe ungachitike pamanetiweki a DHCP.
Kuwukira kwachiwiri kumatchedwa Denial of Service (DoS), kapena "kukana ntchito." Zomwe zimachitika? Kompyuta ya woberayo sikhalanso ngati seva ya DHCP, tsopano yangokhala chipangizo chowukira. Imatumiza pempho la Discovery ku seva yeniyeni ya DHCP ndipo imalandira uthenga Wopereka poyankha, kenako imatumiza Pempho kwa seva ndikulandira adilesi ya IP kuchokera kwa iyo. Kompyuta ya wowukirayo imachita izi ma milliseconds angapo, nthawi iliyonse ikalandira adilesi yatsopano ya IP.
Kutengera makonda, seva yeniyeni ya DHCP ili ndi dziwe la mazana kapena mazana angapo opanda ma adilesi a IP. Kompyuta ya owononga adzalandira ma adilesi a IP .1, .2, .3, ndi zina zotero mpaka ma adilesi atha. Pambuyo pake, seva ya DHCP sidzatha kupereka ma adilesi a IP kwa makasitomala atsopano pamaneti. Ngati wogwiritsa ntchito watsopano alowa pa intaneti, sangathe kupeza adilesi yaulere ya IP. Iyi ndiye mfundo yakuukira kwa DoS pa seva ya DHCP: kuteteza kuti isapereke ma adilesi a IP kwa ogwiritsa ntchito atsopano.
Pofuna kuthana ndi kuukira kotereku, lingaliro la DHCP Snooping limagwiritsidwa ntchito. Ichi ndi ntchito ya OSI wosanjikiza 2 yomwe imagwira ntchito ngati ACL ndipo imangogwira ma switch. Kuti mumvetsetse DHCP Snooping, muyenera kuganizira mfundo ziwiri: madoko odalirika a switch yodalirika komanso madoko Osadalirika a zida zina zama network.
Madoko odalirika amalola mtundu uliwonse wa uthenga wa DHCP kudutsa. Madoko osadalirika ndi madoko omwe makasitomala amalumikizidwako, ndipo DHCP Snooping imapangitsa kuti mauthenga aliwonse a DHCP akuchokera kumadokowo adzatayidwe.
Ngati tikumbukira ndondomeko ya DORA, uthenga D umachokera kwa kasitomala kupita ku seva, ndipo uthenga O umachokera ku seva kupita kwa kasitomala. Kenako, uthenga R umatumizidwa kuchokera kwa kasitomala kupita ku seva, ndipo seva imatumiza uthenga A kwa kasitomala.
Mauthenga D ndi R ochokera kumadoko osatetezedwa amavomerezedwa, ndipo mauthenga ngati O ndi A amatayidwa. Ntchito ya DHCP Snooping ikayatsidwa, ma doko onse osinthira amawonedwa ngati osatetezeka mwachisawawa. Izi zitha kugwiritsidwa ntchito posinthana lonse komanso ma VLAN. Mwachitsanzo, ngati VLAN10 yolumikizidwa ndi doko, mutha kuloleza izi pa VLAN10 yokha, ndiyeno doko lake likhala losadalirika.
Mukatsegula DHCP Snooping, inu, monga woyang'anira dongosolo, mudzayenera kulowa muzosintha ndikukonzekera madoko m'njira yakuti madoko okha omwe zipangizo zofanana ndi seva zimagwirizanitsidwa zimaonedwa kuti ndizosadalirika. Izi zikutanthauza mtundu uliwonse wa seva, osati DHCP yokha.
Mwachitsanzo, ngati chosinthira china, rauta kapena seva yeniyeni ya DHCP ilumikizidwa ku doko, ndiye kuti dokoli limapangidwa ngati lodalirika. Ma doko otsala omwe amalumikizidwa ndi zida za ogwiritsa ntchito kapena malo opanda zingwe ayenera kukhazikitsidwa ngati osatetezeka. Chifukwa chake, chipangizo chilichonse monga malo ofikira omwe ogwiritsa ntchito amalumikizidwa amalumikizana ndi chosinthira kudzera padoko losadalirika.
Ngati kompyuta ya wowukirayo itumiza mauthenga amtundu wa O ndi A ku switch, iwo adzatsekedwa, ndiko kuti, magalimoto oterowo sangathe kudutsa padoko losadalirika. Umu ndi momwe DHCP Snooping imalepheretsa mitundu yakuukira yomwe takambirana pamwambapa.
Kuphatikiza apo, DHCP Snooping imapanga matebulo omangiriza a DHCP. Wothandizira atalandira adilesi ya IP kuchokera ku seva, adilesi iyi, pamodzi ndi adilesi ya MAC ya chipangizo chomwe adachilandira, idzalowetsedwa mu tebulo la DHCP Snooping. Makhalidwe awiriwa adzalumikizidwa ndi doko lopanda chitetezo lomwe kasitomala amalumikizidwa.
Izi zimathandiza, mwachitsanzo, kupewa kuukira kwa DoS. Ngati kasitomala yemwe ali ndi adilesi ya MAC adalandira kale adilesi ya IP, ndiye chifukwa chiyani ikufunika adilesi yatsopano ya IP? Pankhaniyi, kuyesa kulikonse pazochitika zoterezi kudzalepheretsedwa mwamsanga mutatha kufufuza zomwe zili patebulo.
Chotsatira chomwe tiyenera kukambirana ndi Nondefault, kapena "non-default" Native VLANs. Takhudza mobwerezabwereza mutu wa VLAN, tikupereka maphunziro 4 amakanema pamanetiweki. Ngati mwayiwala kuti izi ndi chiyani, ndikukulangizani kuti muwerengenso maphunzirowa.
Tikudziwa kuti mu Cisco kusintha kwa Native Native VLAN ndi VLAN1. Pali ziwonetsero zomwe zimatchedwa VLAN Hopping. Tiyerekeze kuti kompyuta mu chithunzi chikugwirizana ndi lophimba woyamba ndi kusakhulupirika mbadwa maukonde VLAN1, ndi lophimba otsiriza chikugwirizana kompyuta ndi VLAN10 netiweki. Thunthu limakhazikitsidwa pakati pa masiwichi.
Nthawi zambiri, magalimoto oyambira pakompyuta akafika posinthira, amadziwa kuti doko lomwe kompyutayi idalumikizidwa ndi gawo la VLAN1. Kenako, magalimotowa amapita kumtunda pakati pa masiwichi awiriwo, ndipo chosinthira choyamba chimaganiza motere: "magalimoto awa adachokera ku Native VLAN, chifukwa chake sindiyenera kuyiyika," ndikupititsa patsogolo magalimoto osakhazikika pathunthu, omwe. ifika pakusintha kwachiwiri.
Sinthani 2, mutalandira kuchuluka kwa magalimoto osatchulidwa, amaganiza motere: "popeza magalimotowa sanatchulidwe, zikutanthauza kuti ndi a VLAN1, kotero sindingathe kutumiza pa VLAN10." Zotsatira zake, magalimoto otumizidwa ndi kompyuta yoyamba sangathe kufika pakompyuta yachiwiri.
M'malo mwake, umu ndi momwe ziyenera kuchitikira - magalimoto a VLAN1 sayenera kulowa mu VLAN10. Tsopano tiyeni tiyerekeze kuti kuseri kwa kompyuta yoyamba pali wowukira yemwe amapanga chimango ndi VLAN10 tag ndikutumiza ku switch. Ngati mukukumbukira momwe VLAN imagwirira ntchito, ndiye kuti mukudziwa kuti ngati kuchuluka kwa magalimoto kumafika pa switch, sikuchita chilichonse ndi chimango, koma kumangoupititsa patsogolo pa thunthu. Zotsatira zake, chosinthira chachiwiri chidzalandira magalimoto okhala ndi tag yomwe idapangidwa ndi wowukirayo, osati ndi switch yoyamba.
Izi zikutanthauza kuti mukuchotsa Native VLAN ndi china chake osati VLAN1.
Popeza chosinthira chachiwiri sadziwa yemwe adapanga chizindikiro cha VLAN10, chimangotumiza magalimoto ku kompyuta yachiwiri. Umu ndi momwe kuukira kwa VLAN Hopping kumachitika, pamene wowukira akulowa pamaneti omwe poyamba sankamupeza.
Kuti muteteze kuukira kotereku, muyenera kupanga ma VLAN Osasinthika, kapena ma VLAN osasintha, mwachitsanzo VLAN999, VLAN666, VLAN777, ndi zina, zomwe sizingagwiritsidwe ntchito ndi wowukira konse. Nthawi yomweyo, timapita ku madoko a thunthu la masiwichi ndikuwakonza kuti agwire ntchito, mwachitsanzo, ndi Native VLAN666. Pankhaniyi, timasintha Native VLAN pamadoko a thunthu kuchokera ku VLAN1 kupita ku VLAN66, ndiye kuti, timagwiritsa ntchito maukonde ena kupatula VLAN1 ngati Native VLAN.
Madoko kumbali zonse za thunthu ayenera kukhazikitsidwa ku VLAN yomweyo, apo ayi tidzalandira cholakwika chosagwirizana ndi nambala ya VLAN.
Pambuyo pa kukhazikitsidwa uku, ngati wobera asankha kuchita VLAN Hopping kuwukira, sangapambane, chifukwa VLAN1 yachibadwidwe sinapatsidwe madoko aliwonse a ma switch. Iyi ndi njira yodzitetezera ku ziwopsezo popanga ma VLAN osakhazikika.
Zikomo chifukwa chokhala nafe. Kodi mumakonda zolemba zathu? Mukufuna kuwona zambiri zosangalatsa? Tithandizeni potipatsa oda kapena kulimbikitsa anzathu, 30% kuchotsera kwa ogwiritsa ntchito a Habr pa analogi yapadera yamaseva olowera, omwe tinapangira inu: (ikupezeka ndi RAID1 ndi RAID10, mpaka 24 cores mpaka 40GB DDR4).
Dell R730xd 2 nthawi zotsika mtengo? Pokhapokha ku Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - kuchokera $99! Werengani za
Source: www.habr.com