Maanta waxaan eegi doonaa laba mawduuc oo muhiim ah: DHCP Snooping iyo "non-default" VLANs Native. Kahor intaadan u gudbin casharka, waxaan kugu martiqaadayaa inaad booqato kanaalkayaga kale ee YouTube halkaas oo aad ka daawan karto muuqaal ku saabsan sida loo horumariyo xusuustaada. Waxaan kugula talinayaa inaad ku biirto kanaalkan, maadaama aan ku dhejineyno waxyaabo badan oo faa'iido leh oo is-hormarinta.
Casharkani waxa uu u go'ay daraasadda qaybaha 1.7b iyo 1.7c ee mawduuca ICND2. Kahor intaanan bilaabin DHCP Snooping, aan xasuusano qaar ka mid ah qodobbada casharadii hore. Haddii aanan khaldanayn, waxaan ku barannay DHCP maalinta 6 iyo maalinta 24. Halkaa, waxaa lagaga hadlay arrimo muhiim ah oo ku saabsan meelaynta cinwaanka IP-ga ee server-ka DHCP iyo is-dhaafsiga fariimaha u dhigma.
Caadi ahaan, marka Isticmaalaha Dhammaadka ahi uu galo shabakad, waxa ay u soo dirtaa codsi baahinta shabakadda oo ay βmaqlaanβ dhammaan aaladaha shabakadda. Haddii ay si toos ah ugu xiran tahay server-ka DHCP, markaas codsigu wuxuu si toos ah ugu socdaa server-ka. Haddii ay jiraan aaladaha gudbinta ee shabakada - router iyo furayaasha - markaa codsiga server-ka ayaa iyaga dhex mara. Ka dib markii uu helay codsiga, server-ka DHCP wuxuu u jawaabayaa isticmaalaha, kaas oo u soo diraya codsi si uu u helo ciwaanka IP-ga, ka dib markaa serverku wuxuu soo saaraa ciwaanka qalabka isticmaalaha. Tani waa sida habka helitaanka cinwaanka IP uu ku dhaco xaaladaha caadiga ah. Sida ku cad tusaalaha jaantuska, Isticmaalaha Dhammaadka wuxuu heli doonaa ciwaanka 192.168.10.10 iyo ciwaanka albaabka 192.168.10.1. Taas ka dib, isticmaaluhu wuxuu awoodi doonaa inuu ka galo internetka isagoo ka soo galaya albaabkan ama wuxuu kula xiriiri doonaa qalabka kale ee shabakada.
Aynu ka soo qaadno in marka lagu daro server-ka dhabta ah ee DHCP, uu jiro server-ka DHCP ee khayaanada ah ee shabakada, taas oo ah, weeraryahanku wuxuu si fudud ugu dhejiyaa server-ka DHCP kumbuyuutarkiisa. Xaaladdan oo kale, isticmaaluhu, marka uu soo galo shabakadda, wuxuu sidoo kale soo diraa fariin baahinta, kaas oo router iyo beddelaad u gudbin doona serverka dhabta ah.
Si kastaba ha noqotee, server-ka qallafsan wuxuu sidoo kale "dhegeeyaa" shabakada, iyo, markii uu helay fariinta baahinta, wuxuu uga jawaabi doonaa isticmaalaha dalabkiisa halkii uu ka ahaan lahaa server-ka DHCP ee dhabta ah. Ka dib markii la helay, isticmaaluhu wuxuu bixin doonaa ogolaanshihiisa, taas oo keentay inuu helo ciwaanka IP ee weerarka 192.168.10.2 iyo ciwaanka albaabka 192.168.10.95.
Habka helitaanka ciwaanka IP-ga waxaa loo soo gaabiyaa DORA wuxuuna ka kooban yahay 4 marxaladood: Daahfurka, Bixinta, Codsiga iyo qirashada. Sida aad arki karto, weeraryahanku wuxuu qalabku siin doonaa ciwaanka IP-ga ee sharciga ah kaas oo ku jira tirada la heli karo ee ciwaannada shabakadaha, laakiin halkii ciwaanka albaabka dhabta ah ee 192.168.10.1, wuxuu "ku sibi karaa" ciwaan been abuur ah 192.168.10.95, yacni ciwaanka kombayutarkiisa.
Taas ka dib, dhammaan taraafikada isticmaalaha ugu dambeeya ee lagu hagayo internetka ayaa sii mari doona kombuyuutarka weerarka. Weeraryahanku wuu sii hagaajin doonaa, isticmaaluhuna ma dareemi doono wax farqi ah habkan isgaarsiinta, maadaama uu weli awoodi doono inuu galo internetka.
Si la mid ah, soo celinta taraafikada internetka waxay u qulquli doontaa isticmaalaha iyada oo loo marayo kombuyuutarka weerarka. Kani waa waxa caadi ahaan loogu yeero ninka ku sugan bartamaha dhexe (MiM). Dhammaan taraafikada isticmaalaha waxay dhex mari doonaan kombuyuutarka jabsiga, kaas oo awood u yeelan doona inuu akhriyo wax kasta oo uu soo diro ama helo. Kani waa hal nooc oo weerar ah oo ka dhici kara shabakadaha DHCP.
Nooca labaad ee weerarka waxa loo yaqaan Diidmada Adeegga (DoS), ama βdiidmada adeegga.β Maxaa dhacaya? Kumbuyuutarka hackersku hadda uma dhaqmo sidii server DHCP, hadda waa uun qalab weerar. Waxay u dirtaa codsi Discovery server-ka dhabta ah ee DHCP oo waxay helaysaa fariinta soo jeedin jawaab ahaan, ka dib waxay u dirtaa Codsi serverka oo waxay ka helaysaa ciwaanka IP. Kumbiyuutarka qofka wax weeraraya waxa uu sameeyaa tan dhowrkii ilbiriqsi kasta, mar kasta oo uu helo ciwaanka IP-ga cusub.
Iyadoo ku xiran goobaha, server-ka DHCP ee dhabta ah wuxuu leeyahay barkad boqolaal ama dhowr boqol oo ciwaan IP ah oo banaan. Kumbuyuutarka hacker-ku wuxuu heli doonaa ciwaanada IP-yada .1, .2, .3, iyo wixii la mid ah ilaa inta ciwaanadu ay dhamaanayaan. Taas ka dib, server-ka DHCP ma awoodi doono inuu bixiyo ciwaannada IP-ga macaamiisha cusub ee shabakada. Haddii isticmaale cusub uu galo shabakada, ma awoodi doono inuu helo ciwaanka IP-ga bilaashka ah. Tani waa barta weerarka DoS ee server-ka DHCP: si looga hortago inuu soo saaro ciwaannada IP-ga isticmaalayaasha cusub.
Si looga hortago weerarradan oo kale, fikradda DHCP Snooping ayaa la isticmaalaa. Kani waa shaqada lakabka XNUMX ee OSI oo u dhaqma sida ACL oo kaliya oo ka shaqaysa shishadaha. Si aad u fahamto DHCP Snooping, waxaad u baahan tahay inaad tixgeliso laba fikradood: dekedaha la aamini karo ee beddelka la aamini karo iyo dekedaha aan la aamini karin ee aaladaha shabakadaha kale.
Dekadaha la aamini karo waxay ogolaadaan nooc kasta oo fariin DHCP ah inay dhex maraan. Dekedo aan la aamini karin waa dekedo ay macaamiishu ku xidhan yihiin, DHCP Snooping ayaana ka dhigaysa in farriimaha DHCP ee ka imanaya dekedaha la tuuro.
Haddi aan dib u xasuusano habsocodkii DORA, fariinta D waxa ay ka imanaysaa macmiilka serferka, fariinta Ona waxa ay ka imanaysaa adeegaha macmiilka. Marka xigta, fariin R ayaa laga soo diraa macmiilka oo loo diro server-ka, server-kuna wuxuu u diraa fariin A macmiilka.
Fariimaha D iyo R ee dekedaha aan la hubin waa la aqbalaa, farriimaha sida O iyo A waa la tuuray. Marka shaqada DHCP Snooping la furo, dhammaan dekedaha beddelka waxa loo tixgaliyaa kuwo aan ammaan ahayn. Shaqadan waxaa loo isticmaali karaa labadaba furaha guud ahaan iyo VLAN-yada gaarka ah. Tusaale ahaan, haddii VLAN10 ay ku xiran tahay deked, waxaad awood u siin kartaa sifadan kaliya VLAN10, ka dibna dekeddeedu waxay noqon doontaa mid aan la aamini karin.
Markaad awood u siiso DHCP Snooping, adiga, maamulaha nidaamka, waa inaad gasho goobaha beddelka oo aad dejiso dekedaha si kaliya dekedaha ay aaladaha la midka ah server-ku ku xidhan yihiin loo arko kuwo aan la aamini karin. Tani waxay ka dhigan tahay nooc kasta oo server ah, ma aha oo kaliya DHCP.
Tusaale ahaan, haddii beddel kale, router ama server DHCP dhabta ah uu ku xiran yahay deked, markaa dekeddan waxaa loo qaabeeyey sidii la aamini karo. Dekedaha beddelka ee soo hadhay ee aaladaha isticmaalaha ugu dambeeya ama meelaha marinka bilaa-waayirka ah ay ku xidhan yihiin waa in loo qaabeeyaa sidii kuwo aan ammaan ahayn. Sidaa darteed, qalab kasta sida barta gelitaanka ee isticmaalayaashu ku xiran yihiin waxay ku xiraan furaha iyada oo loo marayo deked aan la aamini karin.
Haddii kombayutarka qofka weerarka geystay uu u soo diro farriimaha nooca O iyo A ee furaha, waa la xannibi doonaa, taas oo ah, gaadiidkaas oo kale ma awoodaan inay ka gudbaan dekedda aan la aamini karin. Tani waa sida ay DHCP Snooping uga hortagto noocyada weerarrada aan kor ku soo sheegnay.
Intaa waxaa dheer, DHCP Snooping waxay abuurtaa miisaska xidhitaanka DHCP. Ka dib marka macmiilku ka helo ciwaanka IP-ga serfarka, ciwaanka, iyo ciwaanka MAC ee qalabkii helay, waxa la geli doona miiska Snooping DHCP. Labadan sifo waxay la xidhiidhi doonaan deked aan ammaan ahayn oo macmiilku ku xidhan yahay.
Tani waxay caawisaa, tusaale ahaan, si looga hortago weerarka DoS. Haddii macmiil leh ciwaanka MAC ee la siiyay uu hore u helay ciwaanka IP, markaa maxay ugu baahan tahay ciwaanka IP-ga cusub? Xaaladdan oo kale, isku day kasta oo hawshan oo kale ah waa laga hortagi doonaa isla markiiba ka dib markaad hubiso gelitaanka miiska.
Waxa xiga ee aan u baahanahay inaan ka wada hadalno waa Nondefault, ama "non-default" VLANs Native. Waxaan marar badan taabanay mowduuca VLAN-yada, anagoo u bixinay 4 cashar oo muuqaal ah shabakadahan. Haddii aad illowday waxa tani tahay, waxaan kugula talinayaa inaad dib u eegto casharradan.
Waxaan ognahay in Cisco ku beddelo VLAN-ga asalka ah ee Native waa VLAN1. Waxaa jira weeraro loo yaqaan VLAN Hopping. Aynu ka soo qaadno in kumbiyuutarka jaantuska ku jira uu ku xidhan yahay beddelka koowaad ee shabakadda asalka ah ee VLAN1, beddelka u dambeeyana uu ku xidhan yahay shabakadda VLAN10. Jirrid ayaa ka dhex qotoma furayaasha.
Sida caadiga ah, marka taraafikada kombuyuutarka ugu horreeya uu yimaado furaha, waxay ogtahay in dekedda uu ku xiran yahay kumbuyuutarku ay ka mid tahay VLAN1. Marka xigta, taraafikadani waxay aadaysaa jirridda labada shixnad ee u dhaxaysa, dabeeciga koowaad wuxuu u maleynayaa sidan: "Taraafikadani waxay ka timid VLAN Native, markaa uma baahni inaan ku calaamadiyo," wuxuuna u sii gudbiyaa taraafikada aan la calaamadin ee jirida, kaas oo soo gaaray daarankii labaad.
Beddelka 2, isagoo helay taraafikada aan calaamadda lahayn, wuxuu u maleynayaa sidan: "maadaama taraafikadan aan la calaamadin, waxay la macno tahay inay iska leedahay VLAN1, markaa kama diri karo VLAN10." Sidaa darteed, taraafikada uu soo diray kumbiyuutarka koowaad ma gaari karo kombuyuutarka labaad.
Xaqiiqda, tani waa sida ay tahay inay dhacdo - VLAN1 taraafikada waa inaysan gelin VLAN10. Hadda aan qiyaasno in kombuyuutarkii ugu horreeyay gadaashiisa uu jiro weeraryahan abuuraya frame leh sumadda VLAN10 oo u diraya furaha. Haddii aad xasuusato sida VLAN u shaqeyso, markaa waxaad ogtahay in haddii taraafikada la calaamadeeyay ay gaarto furaha, waxba kama qabanayso jir, laakiin waxay si fudud ugu gudbisaa jirridda. Natiijo ahaan, beddelka labaad wuxuu heli doonaa taraafikada oo leh sumad uu sameeyay qofka weerarka geystay, oo aan ahayn beddelka koowaad.
Tani waxay ka dhigan tahay inaad ku beddeshay VLAN-ka Dhaladka ah wax aan ahayn VLAN1.
Maaddaama beddelka labaad aanu garanayn cidda samaysay VLAN10 tag, waxay si fudud u dirtaa taraafikada kombuyuutarka labaad. Tani waa sida uu u dhaco weerarka Hopping VLAN, marka uu soo galo weeraryahan shabakad aan markii horeba geli karin.
Si looga hortago weerarada noocaan ah, waxaad u baahan tahay inaad abuurto Random VLAN, ama VLANs random, tusaale ahaan VLAN999, VLAN666, VLAN777, iwm, kuwaas oo uusan isticmaali karin haba yaraatee. Isla mar ahaantaana, waxaan aadnaa dekedaha jirridda ee furayaasha oo aan u habeynno si ay u shaqeeyaan, tusaale ahaan, Native VLAN666. Xaaladdan oo kale, waxaan u beddelnaa Native VLAN ee dekedaha jirridda laga bilaabo VLAN1 ilaa VLAN66, taas oo ah, waxaan u isticmaalnaa shabakad kasta oo aan VLAN1 sida VLAN Native ah.
Dekadaha labada dhinac ee jirridda waa in lagu qaabeeyaa isla VLAN, haddii kale waxaan heli doonaa qalad la'aanta lambarka VLAN.
Qalabayntan ka dib, haddii hacker uu go'aansado inuu fuliyo weerarka VLAN Hopping, kuma guulaysan doono, sababtoo ah VLAN1 hooyo looma qoondeeyo mid ka mid ah dekedaha jirridda ee furayaasha. Kani waa habka looga hortago weerarrada iyadoo la abuurayo VLAN-yada asalka ah ee aan asalka ahayn.
Waad ku mahadsan tahay inaad nala joogto. Ma jeceshahay maqaalladayada? Ma doonaysaa inaad aragto wax badan oo xiiso leh? Nagu taageer adigoo dalbanaya amar ama kula talinaya asxaabta, 30% qiimo dhimis isticmaalayaasha Habr analooga u gaarka ah ee server-yada heerka gelitaanka, kaas oo anaga aan adiga kuu hindisay: (waxaa laga heli karaa RAID1 iyo RAID10, ilaa 24 cores iyo ilaa 40GB DDR4).
Dell R730xd 2 jeer ka jaban? Kaliya halkan Nederlaan! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - laga bilaabo $99! Wax ka akhri
Source: www.habr.com