අද අපි වැදගත් මාතෘකා දෙකක් දෙස බලමු: DHCP Snooping සහ "පෙරනිමි නොවන" Native VLANs. පාඩමට යාමට පෙර, ඔබගේ මතකය වැඩි දියුණු කරගන්නා ආකාරය පිළිබඳ වීඩියෝවක් නැරඹිය හැකි අපගේ අනෙකුත් YouTube නාලිකාවට පිවිසෙන ලෙස මම ඔබට ආරාධනා කරමි. අපි ස්වයං-වැඩිදියුණු කිරීම සඳහා ප්රයෝජනවත් උපදෙස් රාශියක් එහි පළ කරන බැවින්, ඔබ මෙම නාලිකාවට දායක වන ලෙස මම නිර්දේශ කරමි.
මෙම පාඩම ICND1.7 මාතෘකාවේ 1.7b සහ 2c උප වගන්ති අධ්යයනය කිරීම සඳහා වෙන් කර ඇත. අපි DHCP Snooping සමඟ ආරම්භ කිරීමට පෙර, පෙර පාඩම් වල කරුණු කිහිපයක් මතක තබා ගනිමු. මම වරදවා වටහා නොගත්තොත්, අපි 6 වන දින සහ 24 වන දින DHCP ගැන ඉගෙන ගත්තෙමු. එහිදී, DHCP සේවාදායකය මගින් IP ලිපින පැවරීම සහ ඊට අනුරූප පණිවිඩ හුවමාරු කිරීම සම්බන්ධයෙන් වැදගත් කරුණු සාකච්ඡා කරන ලදී.
සාමාන්යයෙන්, අවසාන පරිශීලකයෙකු ජාලයකට ලොග් වූ විට, එය ජාලයට විකාශන ඉල්ලීමක් යවන අතර එය සියලුම ජාල උපාංගවලට “ඇසෙන” වේ. එය DHCP සේවාදායකයට කෙලින්ම සම්බන්ධ වී ඇත්නම්, ඉල්ලීම කෙලින්ම සේවාදායකයට යයි. ජාලයේ සම්ප්රේෂණ උපාංග තිබේ නම් - රවුටර සහ ස්විචයන් - එවිට සේවාදායකය වෙත ඉල්ලීම ඔවුන් හරහා යයි. ඉල්ලීම ලැබීමෙන් පසු, DHCP සේවාදායකය පරිශීලකයාට ප්රතිචාර දක්වයි, ඔහු ඔහුට IP ලිපිනයක් ලබා ගැනීම සඳහා ඉල්ලීමක් යවයි, ඉන්පසු සේවාදායකයා එවැනි ලිපිනයක් පරිශීලකයාගේ උපාංගයට නිකුත් කරයි. සාමාන්ය තත්ව යටතේ IP ලිපිනයක් ලබා ගැනීමේ ක්රියාවලිය සිදු වන්නේ එලෙසයි. රූප සටහනේ උදාහරණයට අනුව, අවසාන පරිශීලකයාට 192.168.10.10 ලිපිනය සහ 192.168.10.1 ද්වාර ලිපිනය ලැබෙනු ඇත. මෙයින් පසු, පරිශීලකයාට මෙම ද්වාරය හරහා අන්තර්ජාලයට පිවිසීමට හෝ වෙනත් ජාල උපාංග සමඟ සන්නිවේදනය කිරීමට හැකි වනු ඇත.
අපි හිතමු නියම DHCP සේවාදායකයට අමතරව, ජාලයේ වංචනික DHCP සේවාදායකයක් තිබේ, එනම් ප්රහාරකයා ඔහුගේ පරිගණකයට DHCP සේවාදායකයක් ස්ථාපනය කරයි. මෙම අවස්ථාවෙහිදී, පරිශීලකයා, ජාලයට ඇතුළු වූ පසු, විකාශන පණිවිඩයක් ද යවන අතර, රවුටරය සහ ස්විචය සැබෑ සේවාදායකය වෙත යොමු කරනු ඇත.
කෙසේ වෙතත්, තක්කඩි සේවාදායකය ද ජාලයට "සවන් දෙන" අතර, විකාශන පණිවිඩය ලැබීමෙන් පසු, සැබෑ DHCP සේවාදායකය වෙනුවට පරිශීලකයාට තමන්ගේම පිරිනැමීමකින් ප්රතිචාර දක්වනු ඇත. එය ලැබීමෙන් පසු, පරිශීලකයා ඔහුගේ කැමැත්ත ලබා දෙනු ඇත, එහි ප්රතිඵලයක් ලෙස ඔහුට ප්රහාරකයාගෙන් IP ලිපිනයක් 192.168.10.2 සහ ද්වාර ලිපිනය 192.168.10.95 ලැබෙනු ඇත.
IP ලිපිනයක් ලබා ගැනීමේ ක්රියාවලිය DORA ලෙස කෙටි කර ඇති අතර එය අදියර 4 කින් සමන්විත වේ: සොයාගැනීම, පිරිනැමීම, ඉල්ලීම සහ පිළිගැනීම. ඔබට පෙනෙන පරිදි, ප්රහාරකයා උපාංගයට පවතින ජාල ලිපින පරාසයේ ඇති නීත්යානුකූල IP ලිපිනයක් ලබා දෙනු ඇත, නමුත් සැබෑ ද්වාර ලිපිනය 192.168.10.1 වෙනුවට, ඔහු එය 192.168.10.95 ව්යාජ ලිපිනයකින් “ලිස්සා” යනු ඇත. එනම් ඔහුගේම පරිගණකයේ ලිපිනයයි.
මෙයින් පසු, අන්තර්ජාලය වෙත යොමු කරන සියලුම අවසාන පරිශීලක ගමනාගමනය ප්රහාරකයාගේ පරිගණකය හරහා ගමන් කරයි. ප්රහාරකයා එය තවදුරටත් හරවා යවනු ඇති අතර, පරිශීලකයාට මෙම සන්නිවේදන ක්රමය සමඟ කිසිදු වෙනසක් දැනෙන්නේ නැත, මන්ද ඔහුට තවමත් අන්තර්ජාලයට ප්රවේශ විය හැකි බැවිනි.
එලෙසම, අන්තර්ජාලයෙන් ආපසු ගමනාගමනය ප්රහාරකයාගේ පරිගණකය හරහා පරිශීලකයා වෙත ගලා එනු ඇත. Man in the Middle (MiM) ප්රහාරය ලෙස පොදුවේ හඳුන්වන්නේ මෙයයි. සියලුම පරිශීලක ගමනාගමනය හැකර්ගේ පරිගණකය හරහා ගමන් කරනු ඇත, ඔහුට ඔහු යවන හෝ ලැබෙන සියල්ල කියවීමට හැකි වනු ඇත. මෙය DHCP ජාල මත සිදු විය හැකි එක් ප්රහාරයකි.
දෙවන වර්ගයේ ප්රහාරය හැඳින්වෙන්නේ සේවා ප්රතික්ෂේප කිරීම (DoS) හෝ "සේවාව ප්රතික්ෂේප කිරීම" ලෙසිනි. සිදුවන්නේ කුමක් ද? හැකර්ගේ පරිගණකය තවදුරටත් DHCP සේවාදායකයක් ලෙස ක්රියා නොකරයි, එය දැන් ප්රහාරක උපාංගයක් පමණි. එය සැබෑ DHCP සේවාදායකයට ඩිස්කවරි ඉල්ලීමක් යවන අතර ප්රතිචාර වශයෙන් පිරිනැමීමේ පණිවිඩයක් ලබා ගනී, පසුව සේවාදායකයට ඉල්ලීමක් යවා එයින් IP ලිපිනයක් ලබා ගනී. ප්රහාරකයාගේ පරිගණකය සෑම මිලි තත්පර කිහිපයකට වරක් මෙය සිදු කරයි, සෑම අවස්ථාවකදීම නව IP ලිපිනයක් ලැබේ.
සැකසීම් මත පදනම්ව, සැබෑ DHCP සේවාදායකයේ පුරප්පාඩු වූ IP ලිපින සිය ගණනක් හෝ සිය ගණනක සංචිතයක් ඇත. හැකර්ගේ පරිගණකයට IP ලිපින .1, .2, .3, සහ යනාදී ලිපින සංචිතය සම්පූර්ණයෙන්ම අවසන් වන තුරු ලැබෙනු ඇත. මෙයින් පසු, DHCP සේවාදායකයට ජාලයේ නව සේවාදායකයින්ට IP ලිපින ලබා දීමට නොහැකි වනු ඇත. නව පරිශීලකයෙකු ජාලයට ඇතුල් වුවහොත් ඔහුට නොමිලේ IP ලිපිනයක් ලබා ගැනීමට නොහැකි වනු ඇත. DHCP සේවාදායකයක් මත DoS ප්රහාරයක ලක්ෂ්යය මෙයයි: නව පරිශීලකයින්ට IP ලිපින නිකුත් කිරීම වැළැක්වීමට.
එවැනි ප්රහාරවලට මුහුණ දීම සඳහා, DHCP Snooping සංකල්පය භාවිතා වේ. මෙය ACL ලෙස ක්රියා කරන සහ ස්විච මත පමණක් ක්රියා කරන OSI ස්ථරය XNUMX ශ්රිතයකි. DHCP Snooping අවබෝධ කර ගැනීම සඳහා, ඔබ සංකල්ප දෙකක් සලකා බැලිය යුතුය: විශ්වාසදායක ස්විචයක විශ්වාසදායක වරායන් සහ අනෙකුත් ජාල උපාංග සඳහා විශ්වාස නොකළ විශ්වාස නොකළ වරායන්.
විශ්වාසදායී වරායන් ඕනෑම ආකාරයක DHCP පණිවිඩයක් හරහා යාමට ඉඩ සලසයි. විශ්වාස නොකළ වරායන් යනු සේවාලාභීන් සම්බන්ධ කර ඇති වරායන් වන අතර DHCP Snooping මඟින් එම වරායන් වෙතින් එන ඕනෑම DHCP පණිවිඩයක් ඉවත දමනු ලැබේ.
අපි DORA ක්රියාවලිය සිහිපත් කරන්නේ නම්, D පණිවිඩය සේවාදායකයාගෙන් සේවාදායකයට පැමිණෙන අතර O පණිවිඩය සේවාදායකයෙන් සේවාදායකයාට පැමිණේ. ඊළඟට, සේවාදායකයාගෙන් R පණිවිඩයක් සේවාදායකයට යවනු ලබන අතර, සේවාදායකයා විසින් සේවාදායකයාට A පණිවිඩයක් යවයි.
අනාරක්ෂිත වරායන්ගෙන් පණිවිඩ D සහ R පිළිගනු ලබන අතර O සහ A වැනි පණිවිඩ ඉවත දමනු ලැබේ. DHCP Snooping ශ්රිතය සක්රීය කර ඇති විට, සියලුම ස්විච් පෝට් පෙරනිමියෙන් අනාරක්ෂිත ලෙස සලකනු ලැබේ. මෙම කාර්යය සමස්තයක් ලෙස ස්විචය සඳහා සහ තනි VLAN සඳහා භාවිතා කළ හැක. උදාහරණයක් ලෙස, VLAN10 වරායකට සම්බන්ධ කර ඇත්නම්, ඔබට මෙම විශේෂාංගය සක්රීය කළ හැක්කේ VLAN10 සඳහා පමණි, එවිට එහි වරාය විශ්වාසදායක නොවේ.
ඔබ DHCP Snooping සක්රීය කරන විට, පද්ධති පරිපාලකයෙකු ලෙස, ඔබට ස්විච් සැකසුම් වෙත ගොස් සේවාදායකයට සමාන උපාංග සම්බන්ධ කර ඇති වරායන් පමණක් විශ්වාසදායක නොවන ලෙස සලකනු ලබන ආකාරයට වරායන් වින්යාස කිරීමට සිදුවේ. මෙයින් අදහස් කරන්නේ DHCP පමණක් නොව ඕනෑම ආකාරයක සේවාදායකයක් ය.
උදාහරණයක් ලෙස, වෙනත් ස්විචයක්, රවුටරයක් හෝ සැබෑ DHCP සේවාදායකයක් වරායකට සම්බන්ධ කර ඇත්නම්, මෙම වරාය විශ්වාසදායක ලෙස වින්යාස කර ඇත. අවසාන පරිශීලක උපාංග හෝ රැහැන් රහිත ප්රවේශ ස්ථාන සම්බන්ධ කර ඇති ඉතිරි ස්විච් පෝට් අනාරක්ෂිත ලෙස වින්යාස කළ යුතුය. එබැවින්, පරිශීලකයන් සම්බන්ධ කර ඇති ප්රවේශ ස්ථානයක් වැනි ඕනෑම උපාංගයක් විශ්වාස නොකළ වරායක් හරහා ස්විචය වෙත සම්බන්ධ වේ.
ප්රහාරකයාගේ පරිගණකය ස්විචයට O සහ A වර්ගයේ පණිවිඩ යවන්නේ නම්, ඒවා අවහිර කරනු ලැබේ, එනම් එවැනි ගමනාගමනයට විශ්වාස නොකළ වරාය හරහා යාමට නොහැකි වනු ඇත. DHCP Snooping ඉහත සාකච්ඡා කළ ප්රහාර වර්ග වලක්වන්නේ මේ ආකාරයටයි.
අතිරේකව, DHCP Snooping DHCP බන්ධන වගු නිර්මාණය කරයි. සේවාදායකයාට සේවාදායකයෙන් IP ලිපිනයක් ලැබුණු පසු, මෙම ලිපිනය, එය ලැබුණු උපාංගයේ MAC ලිපිනය සමඟ, DHCP Snooping වගුවට ඇතුල් කරනු ලැබේ. මෙම ලක්ෂණ දෙක සේවාදායකයා සම්බන්ධ කර ඇති අනාරක්ෂිත වරාය සමඟ සම්බන්ධ වනු ඇත.
මෙය, උදාහරණයක් ලෙස, DoS ප්රහාරයක් වැලැක්වීමට උපකාරී වේ. ලබා දී ඇති MAC ලිපිනයක් සහිත සේවාදායකයෙකුට දැනටමත් IP ලිපිනයක් ලැබී තිබේ නම්, එයට නව IP ලිපිනයක් අවශ්ය වන්නේ ඇයි? මෙම අවස්ථාවෙහිදී, එවැනි ක්රියාකාරකමක ඕනෑම උත්සාහයක් වගුවේ ඇතුළත් කිරීම පරීක්ෂා කිරීමෙන් වහාම වළක්වනු ලැබේ.
අප සාකච්ඡා කිරීමට අවශ්ය මීළඟ දෙය වන්නේ Nondefault, නැතහොත් "පෙරනිමි නොවන" ස්වදේශීය VLAN ය. අපි මෙම ජාල සඳහා වීඩියෝ පාඩම් 4 ක් කැප කරමින් VLANs මාතෘකාව පිළිබඳව නැවත නැවතත් ස්පර්ශ කර ඇත. මෙය කුමක්දැයි ඔබට අමතක වී ඇත්නම්, මෙම පාඩම් සමාලෝචනය කිරීමට මම ඔබට උපදෙස් දෙමි.
අපි දන්නවා Cisco switch වල default Native VLAN එක VLAN1 කියලා. VLAN Hopping කියලා attacks තියෙනවා. රූප සටහනේ ඇති පරිගණකය VLAN1 පෙරනිමි ස්වදේශීය ජාලයෙන් පළමු ස්විචයට සම්බන්ධ කර ඇති බවත්, අවසාන ස්විචය VLAN10 ජාලයෙන් පරිගණකයට සම්බන්ධ කර ඇති බවත් උපකල්පනය කරමු. ස්විචයන් අතර කඳක් ස්ථාපිත කර ඇත.
සාමාන්යයෙන්, පළමු පරිගණකයේ තදබදය ස්විචය වෙත පැමිණි විට, මෙම පරිගණකය සම්බන්ධ කර ඇති වරාය VLAN1 හි කොටසක් බව එය දනී. ඊළඟට, මෙම ගමනාගමනය ස්විච දෙක අතර ඇති කඳට යන අතර, පළමු ස්විචය මෙසේ සිතයි: “මෙම ගමනාගමනය ආවේ ස්වදේශික VLAN වලින්, එබැවින් මට එය ටැග් කිරීමට අවශ්ය නැත,” සහ ටැග් නොකළ ට්රැෆික් කඳ දිගේ ඉදිරියට ගෙන යයි. දෙවන ස්විචය වෙත පැමිණේ.
ස්විච් 2, ටැග් නොකළ ගමනාගමනය ලැබුණු පසු, මෙසේ සිතයි: "මෙම ගමනාගමනය ටැග් නොකළ බැවින්, එයින් අදහස් වන්නේ එය VLAN1 ට අයත් බවයි, එබැවින් මට එය VLAN10 හරහා යැවිය නොහැක." එහි ප්රතිඵලයක් ලෙස පළමු පරිගණකය මගින් එවන ගමනාගමනය දෙවන පරිගණකය වෙත ළඟා විය නොහැක.
යථාර්ථයේ දී, මෙය සිදුවිය යුත්තේ මෙයයි - VLAN1 ගමනාගමනය VLAN10 වෙත නොපැමිණිය යුතුය. දැන් අපි හිතමු පළමු පරිගණකය පිටුපස VLAN10 ටැගය සහිත රාමුවක් සාදා එය ස්විචයට යවන ප්රහාරකයෙකු සිටින බව. VLAN ක්රියා කරන ආකාරය ඔබට මතක නම්, ටැග් කළ ගමනාගමනය ස්විචයට ළඟා වුවහොත්, එය රාමුව සමඟ කිසිවක් නොකරන නමුත් එය කඳ දිගේ තවදුරටත් සම්ප්රේෂණය කරන බව ඔබ දන්නවා. එහි ප්රතිඵලයක් වශයෙන්, දෙවන ස්විචයට ප්රහාරකයා විසින් නිර්මාණය කරන ලද ටැගයක් සමඟ ගමනාගමනය ලැබෙනු ඇත, සහ පළමු ස්විචය මගින් නොවේ.
මෙයින් අදහස් කරන්නේ ඔබ VLAN1 හැර වෙනත් දෙයක් සමඟ ස්වදේශීය VLAN ප්රතිස්ථාපනය කරන බවයි.
දෙවන ස්විචය VLAN10 ටැගය නිර්මාණය කළේ කවුරුන්ද යන්න නොදන්නා බැවින්, එය සරලව දෙවන පරිගණකය වෙත ගමනාගමනය යවයි. ප්රහාරකයෙකු ඔහුට මුලින් ප්රවේශ විය නොහැකි ජාලයකට විනිවිද ගිය විට VLAN Hopping ප්රහාරයක් සිදු වන්නේ එලෙස ය.
එවැනි ප්රහාර වැළැක්වීම සඳහා, ඔබ සසම්භාවී VLAN හෝ අහඹු VLAN සෑදිය යුතුය, උදාහරණයක් ලෙස VLAN999, VLAN666, VLAN777, ආදිය, ප්රහාරකයෙකුට කිසිසේත් භාවිතා කළ නොහැක. ඒ සමගම, අපි ස්විචවල කඳ වරායන් වෙත ගොස් ඒවා වැඩ කිරීමට වින්යාස කරන්න, උදාහරණයක් ලෙස, Native VLAN666 සමඟ. මෙම අවස්ථාවෙහිදී, අපි trunk ports සඳහා වන Native VLAN VLAN1 සිට VLAN66 දක්වා වෙනස් කරමු, එනම් VLAN1 හැර වෙනත් ඕනෑම ජාලයක් Native VLAN ලෙස භාවිතා කරමු.
කඳෙහි දෙපැත්තේ ඇති වරායන් එකම VLAN වෙත වින්යාසගත කළ යුතුය, එසේ නොමැතිනම් අපට VLAN අංකය නොගැලපෙන දෝෂයක් ලැබෙනු ඇත.
මෙම සැකසුමෙන් පසුව, හැකර් කෙනෙක් VLAN Hopping ප්රහාරයක් එල්ල කිරීමට තීරණය කළහොත්, ඔහු සාර්ථක නොවනු ඇත, මන්ද ස්වවිච්ච VLAN1 ස්විචයේ කිසිදු ට්රන්ක් පෝට් එකකට පවරා නොමැති බැවිනි. පෙරනිමි නොවන ස්වදේශීය VLAN නිර්මාණය කිරීමෙන් ප්රහාරවලින් ආරක්ෂා වීමේ ක්රමය මෙයයි.
අප සමඟ රැඳී සිටීම ගැන ඔබට ස්තුතියි. ඔබ අපේ ලිපි වලට කැමතිද? වඩාත් රසවත් අන්තර්ගතය බැලීමට අවශ්යද? ඇණවුමක් කිරීමෙන් හෝ මිතුරන්ට නිර්දේශ කිරීමෙන් අපට සහාය වන්න, ඔබ වෙනුවෙන් අප විසින් නිර්මාණය කරන ලද ප්රවේශ මට්ටමේ සේවාදායකයන්ගේ අද්විතීය ප්රතිසමයක් මත Habr භාවිතා කරන්නන් සඳහා 30% ක වට්ටමක්:
Dell R730xd 2 ගුණයක් ලාභදායීද? මෙතන විතරයි
මූලාශ්රය: www.habr.com