Kajeno re tla sheba lihlooho tse peli tsa bohlokoa: DHCP Snooping le "non-default" Native VLANs. Pele u fetela thutong, ke u mema hore u etele mocha oa rona o mong oa YouTube moo o ka shebellang video ea ho ntlafatsa mohopolo oa hau. Ke khothaletsa hore u ingolise ho mocha ona, kaha re beha malebela a mangata a bohlokoa bakeng sa ho intlafatsa moo.
Thuto ena e lebisitsoe boithutong ba likaroloana tsa 1.7b le 1.7c tsa sehlooho sa ICND2. Pele re qala ka DHCP Snooping, a re hopoleng lintlha tse ling tsa lithuto tse fetileng. Haeba ke sa fose, re ithutile ka DHCP ka Letsatsi la 6 le Letsatsi la 24. Moo, ho ile ha buisanoa ka litaba tsa bohlokoa mabapi le ho abeloa liaterese tsa IP ke seva sa DHCP le phapanyetsano ea melaetsa e tsamaisanang le eona.
Ka tloaelo, ha Mosebelisi a kena marang-rang, o romela kopo ea khaso ho marang-rang e "utloang" ke lisebelisoa tsohle tsa marang-rang. Haeba e amana ka ho toba le seva sa DHCP, joale kopo e ea ka ho toba ho seva. Haeba ho na le lisebelisoa tsa phetisetso marang-rang - li-routers le li-switches - joale kopo ho seva e feta ho tsona. Ka mor'a ho fumana kopo, seva sa DHCP se arabela mosebedisi, ea mo romellang kopo ea ho fumana aterese ea IP, ka mor'a moo seva se fana ka aterese e joalo ho sesebelisoa sa mosebedisi. Ke kamoo mokhoa oa ho fumana aterese ea IP o hlahang tlas'a maemo a tloaelehileng. Ho latela mohlala o setšoantšong, Mosebelisi o tla fumana aterese 192.168.10.10 le aterese ea heke 192.168.10.1. Kamora sena, mosebelisi o tla khona ho fihlella Marang-rang ka tsela ena kapa a buisane le lisebelisoa tse ling tsa marang-rang.
A re nke hore ho phaella ho seva sa sebele sa DHCP, ho na le seva sa DHCP sa bolotsana marang-rang, ke hore, mohlaseli o kenya feela seva sa DHCP khomphuteng ea hae. Tabeng ena, mosebedisi, ha a se a kene marang-rang, o boetse o romela molaetsa oa phatlalatso, oo router le switjha li tla o fetisetsa ho seva sa sebele.
Leha ho le joalo, seva sa rogue se boetse se "mamela" marang-rang, 'me, ha se se se amohetse molaetsa oa phatlalatso, se tla arabela mosebedisi ka tlhahiso ea sona ho e-na le seva sa sebele sa DHCP. Ha a se a e amohetse, mosebelisi o tla fana ka tumello ea hae, ka lebaka leo a tla fumana aterese ea IP ho mohlaseli 192.168.10.2 le aterese ea heke 192.168.10.95.
Mokhoa oa ho fumana aterese ea IP o khutsufalitsoe e le DORA 'me o na le mekhahlelo e 4: Discovery, Offer, Request and Acknowledgment. Joalokaha u ka bona, mohlaseli o tla fa sesebelisoa aterese ea IP ea molao e fumanehang sebakeng se fumanehang sa liaterese tsa marang-rang, empa ho e-na le aterese ea sebele ea heke 192.168.10.1, o tla "e thella" ka aterese ea bohata 192.168.10.95, ke hore, aterese ea komporo ea hae.
Ka mor'a sena, sephethephethe sohle sa basebelisi ba ho qetela se lebisitsoeng ho Internet se tla feta khomphuteng ea mohlaseli. Mohlaseli o tla e tsamaisa hape, 'me mosebelisi a ke ke a utloa phapang leha e le efe ka mokhoa ona oa puisano, kaha o ntse a tla khona ho kena Inthaneteng.
Ka mokhoa o ts'oanang, sephethephethe sa ho khutla se tsoang Inthaneteng se tla phallela ho mosebedisi ka k'homphieutha ea mohlaseli. Sena ke seo hangata se bitsoang tlhaselo ea Man in the Middle (MiM). Sephethephethe sohle sa basebelisi se tla feta k'homphieutheng ea mohatelli, ea tla khona ho bala ntho e 'ngoe le e 'ngoe eo a e romelang kapa a e amohelang. Ena ke mofuta o mong oa tlhaselo e ka etsahalang marang-rang a DHCP.
Mofuta oa bobeli oa tlhaselo o bitsoa Denial of Service (DoS), kapa "denial of service." Se etsahalang? K'homphieutha ea mohatelli ha e sa sebetsa joaloka seva sa DHCP, e se e le sesebelisoa se hlaselang feela. E romela kopo ea Discovery ho seva sa sebele sa DHCP mme e fumana molaetsa oa Offer ka karabo, ebe e romela Kopo ho seva ebe e fumana aterese ea IP ho eona. Khomphuta ea mohlaseli e etsa sena ka metsotsoana e meng le e meng e seng mekae, nako le nako e fumana aterese e ncha ea IP.
Ho ipapisitsoe le litlhophiso, seva ea 'nete ea DHCP e na le letamo la liaterese tsa IP tse makholo kapa tse makholo a 'maloa. K'homphieutha ea mohatelli e tla fumana liaterese tsa IP .1, .2, .3, joalo-joalo ho fihlela letamo la liaterese le felile ka ho feletseng. Kamora sena, seva sa DHCP se ke ke sa khona ho fana ka liaterese tsa IP ho bareki ba bacha marang-rang. Haeba mosebelisi e mocha a kena marang-rang, a ke ke a khona ho fumana aterese ea mahala ea IP. Ena ke ntlha ea tlhaselo ea DoS ho seva sa DHCP: ho e thibela ho fana ka liaterese tsa IP ho basebelisi ba bacha.
Ho loantša litlhaselo tse joalo, khopolo ea DHCP Snooping e sebelisoa. Ena ke tšebetso ea OSI layer XNUMX e sebetsang joalo ka ACL mme e sebetsa feela ho li-switches. Ho utloisisa DHCP Snooping, o hloka ho nahana ka lintlha tse peli: likou tse tšeptjoang tsa switch e Tšeptjoang le likou tse sa tšepahaleng tse sa tšepahaleng bakeng sa lisebelisoa tse ling tsa marang-rang.
Likou tse tšeptjoang li lumella mofuta ofe kapa ofe oa molaetsa oa DHCP ho feta. Likou tse sa tšepahaleng ke likou tseo bareki ba hokahaneng ho tsona, 'me DHCP Snooping e etsa hore melaetsa efe kapa efe ea DHCP e tsoang likoung tseo e lahloe.
Haeba re hopola ts'ebetso ea DORA, molaetsa oa D o tsoa ho mofani ho ea ho seva, 'me molaetsa oa O o tsoa ho seva ho ea ho mofani. Ka mor'a moo, molaetsa oa R o romelloa ho tloha ho mofani ho ea ho seva, 'me seva se romela molaetsa A ho mofani.
Melaetsa ea D le R e tsoang likoung tse sa sireletsehang ea amoheloa, 'me melaetsa e kang O le A ea lahloa. Ha ts'ebetso ea DHCP Snooping e lumelletsoe, likou tsohle tsa switjha li nkuoa li sa sireletseha ka ho sa feleng. Ts'ebetso ena e ka sebelisoa ka bobeli bakeng sa switjha ka kakaretso le bakeng sa VLAN ka bomong. Mohlala, haeba VLAN10 e hokahane le boema-kepe, o ka nolofalletsa tšobotsi ena bakeng sa VLAN10 feela, ebe kou ea eona e tla fetoha e sa tšepahaleng.
Ha o nolofalletsa DHCP Snooping, uena, joaloka mookameli oa tsamaiso, u tla tlameha ho kena ho li-switch setting le ho lokisa likou ka tsela eo feela likou tseo lisebelisoa tse tšoanang le seva li kopantsoeng ho tsona li nkoang li sa tšepahale. Sena se bolela mofuta ofe kapa ofe oa seva, eseng DHCP feela.
Ka mohlala, haeba sesebelisoa se seng, router kapa seva sa sebele sa DHCP se hokahane le boema-kepe, joale boema-kepe bona bo lokisoa joalo ka ha bo tšeptjoa. Li-switch port tse setseng tseo lisebelisoa tsa basebelisi ba ho qetela kapa libaka tsa phihlello tsa waelese li hokahaneng li tlameha ho hlophisoa e le tse sa sireletsehang. Ka hona, sesebelisoa leha e le sefe se kang sebaka sa ho fihlella seo basebelisi ba hokahaneng ho sona se hokela ho switjha ka koung e sa tšepahaleng.
Haeba k'homphieutha ea mohlaseli e romela melaetsa ea mofuta oa O le A ho switjha, e tla thibeloa, ke hore, sephethephethe se joalo se ke ke sa khona ho feta koung e sa tšepahaleng. Ena ke tsela eo DHCP Snooping e thibelang mefuta ea litlhaselo tse boletsoeng ka holimo.
Ho feta moo, DHCP Snooping e theha litafole tse tlamang tsa DHCP. Ka mor'a hore mofani a fumane aterese ea IP ho tswa ho seva, aterese ena, hammoho le aterese ea MAC ea sesebelisoa se e amohetseng, e tla kenngoa tafoleng ea DHCP Snooping. Litšobotsi tsena tse peli li tla amahanngoa le kou e sa sireletsehang eo moreki a hokahaneng le eona.
Sena se thusa, ka mohlala, ho thibela tlhaselo ea DoS. Haeba moreki ea nang le aterese ea MAC e fanoeng o se a fumane aterese ea IP, joale ke hobane'ng ha a hloka aterese e ncha ea IP? Tabeng ena, boiteko leha e le bofe ba mosebetsi o joalo bo tla thibeloa hang ka mor'a ho hlahloba ho kena tafoleng.
Ntho e latelang eo re hlokang ho bua ka eona ke Nondefault, kapa "non-default" Native VLANs. Re amme ka makhetlo a mangata sehlooho sa VLAN, re fana ka lithuto tsa video tse 4 ho marang-rang ana. Haeba u lebetse hore na sena ke eng, ke u eletsa hore u hlahlobe lithuto tsena.
Rea tseba hore Cisco e fetoha VLAN ea Native ea kamehla ke VLAN1. Ho na le litlhaselo tse bitsoang VLAN Hopping. A re nke hore k'homphieutha e setšoantšong e hokahane le sesebelisoa sa pele ka marang-rang a tloaelehileng a VLAN1, 'me sesebelisoa sa ho qetela se hokahane le k'homphieutha ka marang-rang a VLAN10. Ho thehoa kutu pakeng tsa li-switches.
Ka tloaelo, ha sephethephethe se tsoang k'homphieutheng ea pele se fihla ho switjha, sea tseba hore kou eo komporo ena e hokahaneng ho eona ke karolo ea VLAN1. Ka mor'a moo, sephethephethe sena se ea kutung pakeng tsa li-switches tse peli, 'me sesebelisoa sa pele se nahana ka tsela ena: "sephethephethe sena se tsoa ho Native VLAN, kahoo ha ke hloke ho e tšoaea,"' me e fetisetsa sephethephethe se sa tsitsang haufi le kutu, e fihla phetohong ea bobeli.
Switjha 2, ha o se o fumane sephethephethe se sa reroang, o nahana tjena: "kaha sephethephethe sena se sa tšoauoa, ho bolela hore ke sa VLAN1, kahoo ha ke khone ho se romella VLAN10." Ka lebaka leo, sephethephethe se rometsoeng ke k'homphieutha ea pele ha se khone ho fihla khomphuteng ea bobeli.
Ha e le hantle, ke kamoo e lokelang ho etsahala kateng - sephethephethe sa VLAN1 ha sea lokela ho kena VLAN10. Joale a re nahaneng hore ka mor'a k'homphieutha ea pele ho na le mohlaseli ea etsang foreimi e nang le tag ea VLAN10 ebe o e romela ho switjha. Haeba u hopola hore na VLAN e sebetsa joang, joale ua tseba hore haeba sephethephethe se tšoailoe se fihla ho switjha, ha se etse letho ka foreimi, empa se e fetisetsa ho feta kutu. Ka lebaka leo, sesebelisoa sa bobeli se tla fumana sephethephethe se nang le tag e entsoeng ke mohlaseli, eseng ka sesebelisoa sa pele.
Sena se bolela hore o nkela Native VLAN sebaka ka ntho e 'ngoe ntle le VLAN1.
Kaha sesebelisoa sa bobeli ha se tsebe hore na ke mang ea entseng letšoao la VLAN10, e romela feela sephethephethe khomphuteng ea bobeli. Ena ke tsela eo tlhaselo ea VLAN Hopping e hlahang ka eona, ha mohlaseli a kenella marang-rang ao qalong a neng a sa khone ho a fumana ho eena.
Ho thibela litlhaselo tse joalo, ho hlokahala hore u thehe Random VLAN, kapa VLAN e sa reroang, mohlala VLAN999, VLAN666, VLAN777, joalo-joalo, e ke keng ea sebelisoa ke mohlaseli ho hang. Ka nako e ts'oanang, re ea likoung tsa trunk tsa li-switches ebe re li lokisetsa hore li sebetse, ka mohlala, le Native VLAN666. Tabeng ena, re fetola Native VLAN bakeng sa likou tsa trunk ho tloha VLAN1 ho ea VLAN66, ke hore, re sebelisa marang-rang leha e le afe ntle le VLAN1 e le Native VLAN.
Likou tse mahlakoreng ka bobeli a kutu li tlameha ho hlophisoa ho VLAN e tšoanang, ho seng joalo re tla fumana phoso e sa lumellaneng ea nomoro ea VLAN.
Kamora ho seta sena, haeba senokoane se etsa qeto ea ho etsa tlhaselo ea VLAN Hopping, e ke ke ea atleha, hobane VLAN1 ea matsoalloa ha e abeloe likoung life kapa life tsa li-switch. Ona ke mokhoa oa ho itšireletsa khahlanong le litlhaselo ka ho theha li-VLAN tsa matsoalloa tseo e seng tsa kamehla.
Kea leboha ka ho lula le rona. Na u rata lingoliloeng tsa rona? U batla ho bona litaba tse ling tse khahlisang? Re tšehetse ka ho etsa odara kapa ho khothaletsa metsoalle, Theolelo ea 30% bakeng sa basebelisi ba Habr ho analog e ikhethang ea li-server tsa boemo ba ho kena, e iqapetsoeng ke rona bakeng sa hau: (e fumaneha ka RAID1 le RAID10, ho fihla ho li-cores tse 24 le ho fihla ho 40GB DDR4).
Dell R730xd makhetlo a 2 ka theko e tlase? Ke mona feela naheng ea Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ho tloha $99! Bala ka
Source: www.habr.com