Astăzi vom analiza două subiecte importante: DHCP Snooping și VLAN-uri native „non-implicite”. Înainte de a trece la lecție, vă invit să vizitați celălalt canal YouTube, unde puteți viziona un videoclip despre cum să vă îmbunătățiți memoria. Vă recomand să vă abonați la acest canal, deoarece postăm acolo o mulțime de sfaturi utile pentru auto-îmbunătățire.
Această lecție este dedicată studiului subsecțiunilor 1.7b și 1.7c ale subiectului ICND2. Înainte de a începe cu DHCP Snooping, să ne amintim câteva puncte din lecțiile anterioare. Dacă nu mă înșel, am aflat despre DHCP în Ziua 6 și Ziua 24. Acolo s-au discutat aspecte importante privind atribuirea adreselor IP de către serverul DHCP și schimbul de mesaje corespunzătoare.
De obicei, atunci când un utilizator final se conectează la o rețea, acesta trimite o solicitare de difuzare către rețea care este „auzită” de toate dispozitivele din rețea. Dacă este conectat direct la un server DHCP, atunci cererea merge direct la server. Dacă în rețea există dispozitive de transmisie - routere și comutatoare - atunci cererea către server trece prin ele. După ce a primit cererea, serverul DHCP răspunde utilizatorului, care îi trimite o solicitare pentru a obține o adresă IP, după care serverul emite o astfel de adresă dispozitivului utilizatorului. Așa are loc procesul de obținere a unei adrese IP în condiții normale. Conform exemplului din diagramă, utilizatorul final va primi adresa 192.168.10.10 și adresa gateway-ului 192.168.10.1. După aceasta, utilizatorul va putea să acceseze Internetul prin această poartă sau să comunice cu alte dispozitive din rețea.
Să presupunem că, pe lângă serverul DHCP real, există un server DHCP fraudulos în rețea, adică atacatorul instalează pur și simplu un server DHCP pe computerul său. În acest caz, utilizatorul, după ce a intrat în rețea, trimite și un mesaj de difuzare, pe care routerul și comutatorul îl vor redirecționa către serverul real.
Cu toate acestea, serverul necinstiți „ascultă” și rețeaua și, după ce a primit mesajul difuzat, va răspunde utilizatorului cu propria sa ofertă în locul serverului DHCP real. După ce l-a primit, utilizatorul își va da consimțământul, în urma căruia va primi o adresă IP de la atacator 192.168.10.2 și o adresă de gateway 192.168.10.95.
Procesul de obținere a unei adrese IP este prescurtat ca DORA și constă din 4 etape: Descoperire, Oferta, Solicitare și Confirmare. După cum puteți vedea, atacatorul va oferi dispozitivului o adresă IP legală care se află în gama disponibilă de adrese de rețea, dar în loc de adresa reală de gateway 192.168.10.1, o va „strecura” cu o adresă falsă 192.168.10.95, adică adresa propriului computer.
După aceasta, tot traficul utilizatorului final direcționat către Internet va trece prin computerul atacatorului. Atacatorul îl va redirecționa în continuare, iar utilizatorul nu va simți nicio diferență cu această metodă de comunicare, deoarece va putea în continuare să acceseze Internetul.
În același mod, traficul returnat de pe Internet va circula către utilizator prin computerul atacatorului. Acesta este ceea ce se numește în mod obișnuit atacul Man in the Middle (MiM). Tot traficul utilizatorilor va trece prin computerul hackerului, care va putea citi tot ce trimite sau primește. Acesta este un tip de atac care poate avea loc pe rețelele DHCP.
Al doilea tip de atac se numește Denial of Service (DoS) sau „denial of service”. Ce se întâmplă? Computerul hackerului nu mai acționează ca un server DHCP, acum este doar un dispozitiv de atac. Trimite o cerere de descoperire către serverul DHCP real și primește un mesaj de ofertă ca răspuns, apoi trimite o cerere către server și primește o adresă IP de la acesta. Computerul atacatorului face acest lucru la fiecare câteva milisecunde, primind de fiecare dată o nouă adresă IP.
În funcție de setări, un server DHCP real are un grup de sute sau câteva sute de adrese IP libere. Computerul hackerului va primi adrese IP .1, .2, .3 și așa mai departe până când grupul de adrese este complet epuizat. După aceasta, serverul DHCP nu va putea furniza adrese IP noilor clienți din rețea. Dacă un utilizator nou intră în rețea, acesta nu va putea obține o adresă IP gratuită. Acesta este scopul unui atac DoS asupra unui server DHCP: pentru a-l împiedica să emită adrese IP către noi utilizatori.
Pentru a contracara astfel de atacuri, este folosit conceptul de DHCP Snooping. Aceasta este o funcție OSI de nivel 2 care acționează ca un ACL și funcționează numai pe comutatoare. Pentru a înțelege DHCP Snooping, trebuie să luați în considerare două concepte: porturi de încredere ale unui comutator de încredere și porturi de încredere neîncrezute pentru alte dispozitive de rețea.
Porturile de încredere permit trecerea oricărui tip de mesaj DHCP. Porturile neîncrezătoare sunt porturi la care sunt conectați clienții, iar DHCP Snooping face ca orice mesaj DHCP care vine de la acele porturi să fie aruncat.
Dacă ne amintim procesul DORA, mesajul D vine de la client la server, iar mesajul O vine de la server la client. Apoi, un mesaj R este trimis de la client către server, iar serverul trimite un mesaj A către client.
Mesajele D și R din porturile nesecurizate sunt acceptate, iar mesajele precum O și A sunt aruncate. Când funcția DHCP Snooping este activată, toate porturile de comutare sunt considerate nesecurizate în mod implicit. Această funcție poate fi utilizată atât pentru comutator ca întreg, cât și pentru VLAN-uri individuale. De exemplu, dacă VLAN10 este conectat la un port, puteți activa această caracteristică numai pentru VLAN10, iar apoi portul său va deveni neîncrezător.
Când activați DHCP Snooping, dumneavoastră, în calitate de administrator de sistem, va trebui să intrați în setările comutatorului și să configurați porturile în așa fel încât numai porturile la care sunt conectate dispozitive similare cu serverul să fie considerate nede încredere. Aceasta înseamnă orice tip de server, nu doar DHCP.
De exemplu, dacă un alt comutator, router sau server DHCP real este conectat la un port, atunci acest port este configurat ca de încredere. Porturile de comutare rămase la care sunt conectate dispozitivele utilizatorului final sau punctele de acces fără fir trebuie configurate ca nesigure. Prin urmare, orice dispozitiv, cum ar fi un punct de acces la care sunt conectați utilizatorii, se conectează la comutator printr-un port care nu are încredere.
Dacă computerul atacatorului trimite mesaje de tip O și A către switch, acestea vor fi blocate, adică un astfel de trafic nu va putea trece prin portul neîncrezat. Acesta este modul în care DHCP Snooping previne tipurile de atacuri discutate mai sus.
În plus, DHCP Snooping creează tabele de legare DHCP. După ce clientul primește o adresă IP de la server, această adresă, împreună cu adresa MAC a dispozitivului care a primit-o, vor fi introduse în tabelul DHCP Snooping. Aceste două caracteristici vor fi asociate cu portul nesigur la care este conectat clientul.
Acest lucru ajută, de exemplu, la prevenirea unui atac DoS. Dacă un client cu o anumită adresă MAC a primit deja o adresă IP, atunci de ce ar trebui să necesite o nouă adresă IP? În acest caz, orice încercare la o astfel de activitate va fi împiedicată imediat după verificarea înscrierii în tabel.
Următorul lucru pe care trebuie să îl discutăm este VLAN-urile native non-implicite sau „non-implicite”. Am atins în mod repetat subiectul VLAN-urilor, dedicând 4 lecții video acestor rețele. Dacă ați uitat ce este aceasta, vă sfătuiesc să revizuiți aceste lecții.
Știm că în comutatoarele Cisco, VLAN nativ implicit este VLAN1. Există atacuri numite VLAN Hopping. Să presupunem că computerul din diagramă este conectat la primul comutator prin rețeaua nativă implicită VLAN1, iar ultimul comutator este conectat la computer prin rețeaua VLAN10. Între comutatoare este stabilit un trunchi.
De obicei, când traficul de la primul computer ajunge la comutator, acesta știe că portul la care este conectat acest computer face parte din VLAN1. Apoi, acest trafic merge către trunchiul dintre cele două comutatoare, iar primul comutator gândește astfel: „acest trafic a venit de la VLAN nativ, deci nu trebuie să-l etichetez” și redirecționează traficul neetichetat de-a lungul trunchiului, care ajunge la al doilea comutator.
Comutatorul 2, după ce a primit trafic neetichetat, gândește astfel: „din moment ce acest trafic este neetichetat, înseamnă că aparține VLAN1, deci nu îl pot trimite prin VLAN10”. Ca urmare, traficul trimis de primul computer nu poate ajunge la al doilea computer.
În realitate, așa ar trebui să se întâmple - traficul VLAN1 nu ar trebui să intre în VLAN10. Acum să ne imaginăm că în spatele primului computer se află un atacator care creează un cadru cu eticheta VLAN10 și îl trimite către comutator. Dacă vă amintiți cum funcționează VLAN, atunci știți că, dacă traficul etichetat ajunge la comutator, nu face nimic cu cadrul, ci pur și simplu îl transmite mai departe de-a lungul trunchiului. Ca rezultat, al doilea comutator va primi trafic cu o etichetă care a fost creată de atacator, și nu de primul comutator.
Aceasta înseamnă că înlocuiți VLAN-ul nativ cu altceva decât VLAN1.
Deoarece al doilea comutator nu știe cine a creat eticheta VLAN10, pur și simplu trimite trafic către al doilea computer. Așa are loc un atac VLAN Hopping, când un atacator pătrunde într-o rețea care i-a fost inițial inaccesibilă.
Pentru a preveni astfel de atacuri, trebuie să creați VLAN aleatoriu sau VLAN-uri aleatoare, de exemplu VLAN999, VLAN666, VLAN777 etc., care nu pot fi folosite deloc de un atacator. În același timp, mergem la porturile trunk ale switch-urilor și le configurăm să funcționeze, de exemplu, cu Native VLAN666. În acest caz, schimbăm VLAN-ul nativ pentru porturile trunk de la VLAN1 la VLAN66, adică folosim orice altă rețea decât VLAN1 ca VLAN nativ.
Porturile de pe ambele părți ale trunchiului trebuie să fie configurate la același VLAN, altfel vom primi o eroare de nepotrivire a numărului VLAN.
După această configurare, dacă un hacker decide să efectueze un atac VLAN Hopping, el nu va reuși, deoarece VLAN1 nativ nu este atribuit niciunui dintre porturile trunk ale switch-urilor. Aceasta este metoda de protecție împotriva atacurilor prin crearea de VLAN-uri native non-implicite.
Vă mulțumim că ați rămas cu noi. Vă plac articolele noastre? Vrei să vezi mai mult conținut interesant? Susține-ne plasând o comandă sau recomandând prietenilor, Reducere de 30% pentru utilizatorii Habr la un analog unic de servere entry-level, care a fost inventat de noi pentru tine: (disponibil cu RAID1 și RAID10, până la 24 de nuclee și până la 40 GB DDR4).
Dell R730xd de 2 ori mai ieftin? Numai aici in Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - de la 99 USD! Citește despre
Sursa: www.habr.com