Hoje veremos dois tópicos importantes: DHCP Snooping e VLANs nativas “não padrão”. Antes de prosseguir para a aula, convido você a visitar nosso outro canal no YouTube, onde poderá assistir a um vídeo sobre como melhorar sua memória. Recomendo que você se inscreva neste canal, pois lá postamos muitas dicas úteis de autoaperfeiçoamento.
Esta lição é dedicada ao estudo das subseções 1.7b e 1.7c do tópico ICND2. Antes de começarmos com o DHCP Snooping, vamos lembrar alguns pontos das lições anteriores. Se não me engano, aprendemos sobre DHCP no dia 6 e no dia 24. Lá foram discutidas questões importantes relacionadas à atribuição de endereços IP pelo servidor DHCP e à troca de mensagens correspondentes.
Normalmente, quando um usuário final faz login em uma rede, ele envia uma solicitação de transmissão à rede que é “ouvida” por todos os dispositivos da rede. Se estiver conectado diretamente a um servidor DHCP, a solicitação irá diretamente para o servidor. Se houver dispositivos de transmissão na rede - roteadores e switches - a solicitação ao servidor passa por eles. Recebida a solicitação, o servidor DHCP responde ao usuário, que lhe envia uma solicitação para obter um endereço IP, após o que o servidor emite esse endereço para o dispositivo do usuário. É assim que ocorre o processo de obtenção de um endereço IP em condições normais. Conforme exemplo do diagrama, o Usuário Final receberá o endereço 192.168.10.10 e o endereço do gateway 192.168.10.1. Depois disso, o usuário poderá acessar a Internet através deste gateway ou se comunicar com outros dispositivos da rede.
Vamos supor que além do servidor DHCP real, exista um servidor DHCP fraudulento na rede, ou seja, o invasor simplesmente instala um servidor DHCP em seu computador. Neste caso, o usuário, ao entrar na rede, também envia uma mensagem de broadcast, que o roteador e o switch encaminharão para o servidor real.
No entanto, o servidor não autorizado também “escuta” a rede e, tendo recebido a mensagem de transmissão, responderá ao usuário com sua própria oferta, em vez do servidor DHCP real. Ao recebê-lo, o usuário dará o seu consentimento, pelo que receberá do invasor um endereço IP 192.168.10.2 e um endereço de gateway 192.168.10.95.
O processo de obtenção de um endereço IP é abreviado como DORA e consiste em 4 etapas: Descoberta, Oferta, Solicitação e Reconhecimento. Como você pode ver, o invasor fornecerá ao dispositivo um endereço IP legal que está na faixa de endereços de rede disponíveis, mas em vez do endereço de gateway real 192.168.10.1, ele o “deslizará” com um endereço falso 192.168.10.95, isto é, o endereço do seu próprio computador.
Depois disso, todo o tráfego do usuário final direcionado à Internet passará pelo computador do invasor. O invasor irá redirecioná-lo ainda mais, e o usuário não sentirá nenhuma diferença com esse meio de comunicação, pois ainda poderá acessar a Internet.
Da mesma forma, o tráfego de retorno da Internet fluirá para o usuário através do computador do invasor. Isso é o que é comumente chamado de ataque Man in the Middle (MiM). Todo o tráfego do usuário passará pelo computador do hacker, que poderá ler tudo o que ele enviar ou receber. Este é um tipo de ataque que pode ocorrer em redes DHCP.
O segundo tipo de ataque é chamado de negação de serviço (DoS) ou “negação de serviço”. O que acontece? O computador do hacker não atua mais como um servidor DHCP, é agora apenas um dispositivo de ataque. Ele envia uma solicitação de descoberta ao servidor DHCP real e recebe uma mensagem de oferta em resposta, depois envia uma solicitação ao servidor e recebe dele um endereço IP. O computador do invasor faz isso a cada poucos milissegundos, recebendo sempre um novo endereço IP.
Dependendo das configurações, um servidor DHCP real possui um conjunto de centenas ou várias centenas de endereços IP vagos. O computador do hacker receberá endereços IP .1, .2, .3 e assim por diante até que o conjunto de endereços esteja completamente esgotado. Depois disso, o servidor DHCP não poderá fornecer endereços IP a novos clientes na rede. Se um novo usuário entrar na rede, ele não conseguirá obter um endereço IP gratuito. Este é o objetivo de um ataque DoS em um servidor DHCP: impedir que ele emita endereços IP para novos usuários.
Para combater esses ataques, é usado o conceito de DHCP Snooping. Esta é uma função OSI da camada XNUMX que atua como uma ACL e funciona apenas em switches. Para entender o DHCP Snooping, você precisa considerar dois conceitos: portas confiáveis de um switch confiável e portas não confiáveis para outros dispositivos de rede.
Portas confiáveis permitem a passagem de qualquer tipo de mensagem DHCP. Portas não confiáveis são portas às quais os clientes estão conectados, e o DHCP Snooping faz com que quaisquer mensagens DHCP provenientes dessas portas sejam descartadas.
Se recordarmos o processo DORA, a mensagem D vem do cliente para o servidor e a mensagem O vem do servidor para o cliente. Em seguida, uma mensagem R é enviada do cliente para o servidor, e o servidor envia uma mensagem A para o cliente.
As mensagens D e R de portas não seguras são aceitas e mensagens como O e A são descartadas. Quando a função DHCP Snooping está habilitada, todas as portas do switch são consideradas inseguras por padrão. Esta função pode ser usada tanto para o switch como um todo quanto para VLANs individuais. Por exemplo, se a VLAN10 estiver conectada a uma porta, você poderá ativar esse recurso apenas para a VLAN10 e, então, sua porta não será confiável.
Ao habilitar o DHCP Snooping, você, como administrador do sistema, terá que entrar nas configurações do switch e configurar as portas de forma que apenas as portas às quais dispositivos semelhantes ao servidor estão conectados sejam consideradas não confiáveis. Isso significa qualquer tipo de servidor, não apenas DHCP.
Por exemplo, se outro switch, roteador ou servidor DHCP real estiver conectado a uma porta, essa porta será configurada como confiável. As portas restantes do switch às quais os dispositivos do usuário final ou pontos de acesso sem fio estão conectados devem ser configuradas como inseguras. Portanto, qualquer dispositivo, como um ponto de acesso ao qual os usuários estão conectados, conecta-se ao switch por meio de uma porta não confiável.
Caso o computador do invasor envie mensagens do tipo O e A para o switch, elas serão bloqueadas, ou seja, tal tráfego não conseguirá passar pela porta não confiável. É assim que o DHCP Snooping evita os tipos de ataques discutidos acima.
Além disso, o DHCP Snooping cria tabelas de ligação DHCP. Após o cliente receber um endereço IP do servidor, esse endereço, junto com o endereço MAC do dispositivo que o recebeu, será inserido na tabela DHCP Snooping. Estas duas características estarão associadas à porta insegura à qual o cliente está conectado.
Isto ajuda, por exemplo, a prevenir um ataque DoS. Se um cliente com um determinado endereço MAC já recebeu um endereço IP, então por que deveria exigir um novo endereço IP? Neste caso, qualquer tentativa de tal atividade será evitada imediatamente após a verificação do lançamento na tabela.
A próxima coisa que precisamos discutir são VLANs nativas não padrão ou “não padrão”. Já tocamos repetidamente no tópico VLANs, dedicando 4 vídeo-aulas a essas redes. Se você esqueceu o que é isso, aconselho que revise essas lições.
Sabemos que nos switches Cisco a VLAN nativa padrão é VLAN1. Existem ataques chamados VLAN Hopping. Vamos supor que o computador no diagrama esteja conectado ao primeiro switch pela rede nativa padrão VLAN1 e o último switch esteja conectado ao computador pela rede VLAN10. Um tronco é estabelecido entre os switches.
Normalmente, quando o tráfego do primeiro computador chega ao switch, ele sabe que a porta à qual o computador está conectado faz parte da VLAN1. Em seguida, esse tráfego vai para o tronco entre os dois switches, e o primeiro switch pensa assim: “esse tráfego veio da VLAN nativa, então não preciso marcá-lo” e encaminha o tráfego não etiquetado ao longo do tronco, que chega ao segundo switch.
O switch 2, tendo recebido tráfego não marcado, pensa assim: “como esse tráfego não está marcado, significa que pertence à VLAN1, então não posso enviá-lo pela VLAN10”. Como resultado, o tráfego enviado pelo primeiro computador não consegue chegar ao segundo computador.
Na realidade, é assim que deveria acontecer - o tráfego da VLAN1 não deve entrar na VLAN10. Agora vamos imaginar que atrás do primeiro computador existe um invasor que cria um quadro com a tag VLAN10 e o envia para o switch. Se você se lembra de como a VLAN funciona, sabe que, se o tráfego marcado chegar ao switch, ele não fará nada com o quadro, simplesmente o transmitirá ao longo do tronco. Como resultado, o segundo switch receberá tráfego com uma tag criada pelo invasor e não pelo primeiro switch.
Isso significa que você está substituindo a VLAN nativa por algo diferente da VLAN1.
Como o segundo switch não sabe quem criou a tag VLAN10, ele simplesmente envia o tráfego para o segundo computador. É assim que ocorre um ataque de VLAN Hopping, quando um invasor penetra em uma rede que inicialmente lhe era inacessível.
Para evitar tais ataques, você precisa criar VLANs aleatórias, ou VLANs aleatórias, por exemplo VLAN999, VLAN666, VLAN777, etc., que não podem ser usadas por um invasor. Ao mesmo tempo, vamos até as portas tronco dos switches e os configuramos para funcionar, por exemplo, com Native VLAN666. Neste caso, alteramos a VLAN Nativa das portas tronco de VLAN1 para VLAN66, ou seja, utilizamos qualquer rede diferente da VLAN1 como VLAN Nativa.
As portas em ambos os lados do tronco devem ser configuradas para a mesma VLAN, caso contrário receberemos um erro de incompatibilidade de número de VLAN.
Após esta configuração, se um hacker decidir realizar um ataque VLAN Hopping, ele não terá sucesso, pois a VLAN1 nativa não está atribuída a nenhuma das portas tronco dos switches. Este é o método de proteção contra ataques através da criação de VLANs nativas não padrão.
Obrigado por ficar com a gente. Gostou dos nossos artigos? Quer ver mais conteúdos interessantes? Apoie-nos fazendo um pedido ou recomendando a amigos, 30% de desconto para usuários do Habr em um análogo exclusivo de servidores básicos, que foi inventado por nós para você: (disponível com RAID1 e RAID10, até 24 núcleos e até 40 GB DDR4).
Dell R730xd 2 vezes mais barato? Só aqui na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US$ 99! Ler sobre
Fonte: habr.com