Данас ћемо се осврнути на две важне теме: ДХЦП њушкање и „неподразумеване“ матичне ВЛАН мреже. Пре него што пређемо на лекцију, позивам вас да посетите наш други Јутјуб канал где можете погледати видео о томе како да побољшате своје памћење. Препоручујем да се претплатите на овај канал, јер тамо објављујемо много корисних савета за самоусавршавање.
Ова лекција је посвећена проучавању пододељака 1.7б и 1.7ц теме ИЦНД2. Пре него што почнемо са ДХЦП њушкањем, подсетимо се неких тачака из претходних лекција. Ако се не варам, о ДХЦП-у смо научили 6. и 24. дана. Тамо су разматрана важна питања у вези са додељивањем ИП адреса од стране ДХЦП сервера и разменом одговарајућих порука.
Обично, када се крајњи корисник пријави на мрежу, он мрежи шаље захтев за емитовање који „чују“ сви мрежни уређаји. Ако је директно повезан са ДХЦП сервером, онда захтев иде директно на сервер. Ако на мрежи постоје уређаји за пренос - рутери и свичеви - онда захтев ка серверу иде преко њих. По пријему захтева, ДХЦП сервер одговара кориснику, који му шаље захтев за добијање ИП адресе, након чега сервер издаје такву адресу корисниковом уређају. Овако се процес добијања ИП адресе одвија у нормалним условима. Према примеру на дијаграму, крајњи корисник ће добити адресу 192.168.10.10 и адресу мрежног пролаза 192.168.10.1. Након тога, корисник ће моћи да приступи Интернету преко овог гејтвеја или да комуницира са другим мрежним уређајима.
Претпоставимо да поред правог ДХЦП сервера на мрежи постоји и лажни ДХЦП сервер, односно нападач једноставно инсталира ДХЦП сервер на свој рачунар. У овом случају, корисник, након што је ушао у мрежу, такође шаље емитовану поруку коју ће рутер и свич проследити на прави сервер.
Међутим, лажни сервер такође „слуша“ мрежу и, пошто прими емитовану поруку, одговориће кориснику својом понудом уместо правог ДХЦП сервера. Након што га прими, корисник ће дати своју сагласност, услед чега ће од нападача добити ИП адресу 192.168.10.2 и адресу гејтвеја 192.168.10.95.
Процес добијања ИП адресе је скраћено ДОРА и састоји се од 4 фазе: Откривање, Понуда, Захтев и Потврда. Као што видите, нападач ће уређају дати легалну ИП адресу која се налази у доступном опсегу мрежних адреса, али уместо праве адресе гејтвеја 192.168.10.1, „избациће“ је лажном адресом 192.168.10.95, односно адресу сопственог рачунара.
Након тога, сав саобраћај крајњег корисника усмерен ка Интернету проћи ће кроз рачунар нападача. Нападач ће га преусмерити даље, а корисник неће осетити никакву разлику са овим начином комуникације, јер ће и даље моћи да приступи Интернету.
На исти начин, повратни саобраћај са Интернета ће тећи до корисника преко рачунара нападача. Ово је оно што се обично назива нападом Човек у средини (МиМ). Сав кориснички саобраћај ће проћи кроз рачунар хакера, који ће моћи да прочита све што пошаље или прими. Ово је једна врста напада који се може десити на ДХЦП мрежама.
Други тип напада назива се ускраћивање услуге (ДоС) или „ускраћивање услуге“. Шта се дешава? Хакеров рачунар више не делује као ДХЦП сервер, он је сада само уређај за напад. Шаље захтев за откривање правом ДХЦП серверу и као одговор прима поруку понуде, затим шаље захтев серверу и од њега добија ИП адресу. Рачунар нападача то ради сваких неколико милисекунди, сваки пут када добије нову ИП адресу.
У зависности од подешавања, прави ДХЦП сервер има скуп од стотина или неколико стотина слободних ИП адреса. Хакеров рачунар ће примати ИП адресе .1, .2, .3 и тако даље док се фонд адреса потпуно не исцрпи. Након овога, ДХЦП сервер неће моћи да обезбеди ИП адресе новим клијентима на мрежи. Ако нови корисник уђе у мрежу, неће моћи да добије бесплатну ИП адресу. Ово је поента ДоС напада на ДХЦП сервер: спречити га да издаје ИП адресе новим корисницима.
Да би се супротставили таквим нападима, користи се концепт ДХЦП њушкања. Ово је функција ОСИ слоја XNUMX која делује као АЦЛ и ради само на прекидачима. Да бисте разумели ДХЦП њушкање, морате да размотрите два концепта: поуздане портове поузданог прекидача и непоуздане непоуздане портове за друге мрежне уређаје.
Поуздани портови омогућавају пролазак било које врсте ДХЦП поруке. Непоуздани портови су портови на које су клијенти повезани, а ДХЦП Сноопинг чини тако да ће све ДХЦП поруке које долазе са тих портова бити одбачене.
Ако се присетимо ДОРА процеса, порука Д долази од клијента до сервера, а порука О долази од сервера до клијента. Затим, порука Р се шаље од клијента до сервера, а сервер шаље поруку А клијенту.
Поруке Д и Р са необезбеђених портова се прихватају, а поруке попут О и А се одбацују. Када је функција ДХЦП Сноопинг омогућена, сви портови комутатора се подразумевано сматрају небезбедним. Ова функција се може користити и за свич у целини и за појединачне ВЛАН мреже. На пример, ако је ВЛАН10 повезан са портом, можете омогућити ову функцију само за ВЛАН10 и тада ће његов порт постати непоуздани.
Када омогућите ДХЦП Сноопинг, ви, као систем администратор, мораћете да уђете у подешавања прекидача и да конфигуришете портове на такав начин да се само портови на које су повезани уређаји слични серверу сматрају непоузданим. То значи било коју врсту сервера, не само ДХЦП.
На пример, ако је други прекидач, рутер или прави ДХЦП сервер повезан на порт, онда је овај порт конфигурисан као поуздан. Преостали портови комутатора на које су повезани уређаји крајњег корисника или бежичне приступне тачке морају бити конфигурисани као небезбедни. Стога, сваки уређај као што је приступна тачка на коју су корисници повезани повезује се са комутатором преко непоузданог порта.
Ако рачунар нападача пошаље поруке типа О и А комутчу, они ће бити блокирани, односно такав саобраћај неће моћи да прође кроз непоуздани порт. Ово је начин на који ДХЦП њушкање спречава типове напада о којима смо горе говорили.
Поред тога, ДХЦП Сноопинг креира табеле ДХЦП везивања. Након што клијент добије ИП адресу од сервера, ова адреса, заједно са МАЦ адресом уређаја који ју је примио, биће унета у табелу ДХЦП Сноопинг. Ове две карактеристике ће бити повезане са несигурним портом на који је клијент повезан.
Ово помаже, на пример, да се спречи ДоС напад. Ако је клијент са датом МАЦ адресом већ добио ИП адресу, зашто би му онда била потребна нова ИП адреса? У овом случају, сваки покушај такве активности биће спречен одмах након провере уноса у табели.
Следећа ствар о којој треба да разговарамо је Неподразумевана или „неподразумевана“ Нативе ВЛАН. Више пута смо се дотакли теме ВЛАН-а, посветивши 4 видео лекције овим мрежама. Ако сте заборавили шта је ово, саветујем вам да прегледате ове лекције.
Знамо да је у Цисцо прекидачима подразумевани изворни ВЛАН ВЛАН1. Постоје напади који се зову ВЛАН Хоппинг. Претпоставимо да је рачунар на дијаграму повезан са првим прекидачем преко подразумеване матичне мреже ВЛАН1, а последњи прекидач је повезан са рачунаром преко ВЛАН10 мреже. Између прекидача се успоставља трунк.
Обично, када саобраћај са првог рачунара стигне на комутатор, он зна да је порт на који је овај рачунар повезан део ВЛАН1. Даље, овај саобраћај иде у трунк између два прекидача, а први прекидач размишља овако: „овај саобраћај је дошао из матичног ВЛАН-а, тако да не морам да га означавам“, и прослеђује неозначени саобраћај дуж транк-а, што стиже до другог прекидача.
Прекидач 2, пошто је примио неозначени саобраћај, размишља овако: „пошто је овај саобраћај неозначен, то значи да припада ВЛАН1, тако да не могу да га пошаљем преко ВЛАН10.“ Као резултат тога, саобраћај који шаље први рачунар не може да стигне до другог рачунара.
У стварности, то би требало да се деси - ВЛАН1 саобраћај не би требало да улази у ВЛАН10. Сада замислимо да иза првог рачунара постоји нападач који креира оквир са ознаком ВЛАН10 и шаље га комутатору. Ако се сећате како ВЛАН функционише, онда знате да ако означени саобраћај дође до прекидача, он ништа не ради са оквиром, већ га једноставно преноси даље дуж трупа. Као резултат тога, други прекидач ће примати саобраћај са ознаком коју је креирао нападач, а не први прекидач.
То значи да замењујете изворни ВЛАН нечим другим осим ВЛАН1.
Пошто други прекидач не зна ко је креирао ВЛАН10 ознаку, он једноставно шаље саобраћај на други рачунар. Овако долази до напада ВЛАН Хоппинг-а, када нападач продре у мрежу која му је у почетку била недоступна.
Да бисте спречили такве нападе, потребно је да креирате Рандом ВЛАН, или насумичне ВЛАН мреже, на пример ВЛАН999, ВЛАН666, ВЛАН777, итд., које нападач уопште не може да користи. У исто време идемо на трунк портове прекидача и конфигуришемо их да раде, на пример, са Нативе ВЛАН666. У овом случају мењамо Нативе ВЛАН за трунк портове са ВЛАН1 на ВЛАН66, односно користимо било коју мрежу осим ВЛАН1 као Нативе ВЛАН.
Портови са обе стране транк-а морају бити конфигурисани за исти ВЛАН, иначе ћемо добити грешку неподударања ВЛАН броја.
Након овог подешавања, ако хакер одлучи да изврши ВЛАН Хоппинг напад, неће успети, јер изворни ВЛАН1 није додељен ниједном од трунк портова комутатора. Ово је метод заштите од напада креирањем неподразумеваних матичних ВЛАН-ова.
Хвала вам што сте остали са нама. Да ли вам се свиђају наши чланци? Желите да видите још занимљивијег садржаја? Подржите нас тако што ћете наручити или препоручити пријатељима, 30% попуста за кориснике Хабра на јединствени аналог сервера почетног нивоа, који смо ми измислили за вас: (доступно са РАИД1 и РАИД10, до 24 језгра и до 40 ГБ ДДР4).
Делл Р730кд 2 пута јефтинији? Само овде у Холандији! Делл Р420 - 2к Е5-2430 2.2Гхз 6Ц 128ГБ ДДР3 2к960ГБ ССД 1Гбпс 100ТБ - од 99 долара! Читали о
Извор: ввв.хабр.цом