Idag kommer vi att titta på två viktiga ämnen: DHCP Snooping och "icke-standard" Native VLAN. Innan du går vidare till lektionen inbjuder jag dig att besöka vår andra YouTube-kanal där du kan se en video om hur du förbättrar ditt minne. Jag rekommenderar att du prenumererar på den här kanalen, eftersom vi lägger ut många användbara tips för självförbättring där.
Den här lektionen ägnas åt att studera underavsnitt 1.7b och 1.7c i ICND2-ämnet. Innan vi börjar med DHCP Snooping, låt oss komma ihåg några punkter från tidigare lektioner. Om jag inte har fel så lärde vi oss om DHCP på dag 6 och dag 24. Där diskuterades viktiga frågor kring tilldelning av IP-adresser av DHCP-servern och utbyte av motsvarande meddelanden.
Vanligtvis, när en slutanvändare loggar in på ett nätverk, skickar den en sändningsförfrågan till nätverket som "hörs" av alla nätverksenheter. Om den är direkt ansluten till en DHCP-server går begäran direkt till servern. Om det finns överföringsenheter på nätverket - routrar och switchar - går förfrågan till servern genom dem. Efter att ha mottagit begäran svarar DHCP-servern användaren, som skickar en begäran om att få en IP-adress, varefter servern utfärdar en sådan adress till användarens enhet. Så här sker processen att få en IP-adress under normala förhållanden. Enligt exemplet i diagrammet kommer slutanvändaren att få adressen 192.168.10.10 och gatewayadressen 192.168.10.1. Efter detta kommer användaren att kunna komma åt Internet via denna gateway eller kommunicera med andra nätverksenheter.
Låt oss anta att det förutom den riktiga DHCP-servern finns en bedräglig DHCP-server på nätverket, det vill säga att angriparen helt enkelt installerar en DHCP-server på sin dator. I det här fallet skickar användaren, efter att ha gått in i nätverket, också ett sändningsmeddelande, som routern och switchen vidarebefordrar till den riktiga servern.
Men den oseriösa servern "lyssnar" också på nätverket och, efter att ha tagit emot sändningsmeddelandet, kommer den att svara användaren med sitt eget erbjudande istället för den riktiga DHCP-servern. Efter att ha mottagit det kommer användaren att ge sitt samtycke, som ett resultat av vilket han kommer att få en IP-adress från angriparen 192.168.10.2 och en gateway-adress 192.168.10.95.
Processen att erhålla en IP-adress förkortas DORA och består av 4 steg: Upptäckt, Erbjudande, Begäran och Bekräftelse. Som du kan se kommer angriparen att ge enheten en laglig IP-adress som finns i det tillgängliga utbudet av nätverksadresser, men istället för den riktiga gatewayadressen 192.168.10.1 kommer han att "slipa" den med en falsk adress 192.168.10.95, det vill säga adressen till sin egen dator.
Efter detta kommer all slutanvändartrafik som riktas till Internet att passera genom angriparens dator. Angriparen kommer att omdirigera den vidare, och användaren kommer inte att känna någon skillnad med denna kommunikationsmetod, eftersom han fortfarande kommer att kunna komma åt Internet.
På samma sätt kommer returtrafik från Internet att flöda till användaren genom angriparens dator. Detta är vad som vanligtvis kallas för mannen i mitten (MiM) attack. All användartrafik kommer att passera genom hackarens dator, som kommer att kunna läsa allt han skickar eller tar emot. Detta är en typ av attack som kan ske på DHCP-nätverk.
Den andra typen av attack kallas Denial of Service (DoS), eller "denial of service". Vad händer? Hackarens dator fungerar inte längre som en DHCP-server, den är nu bara en attackerande enhet. Den skickar en upptäcktsbegäran till den riktiga DHCP-servern och tar emot ett erbjudandemeddelande som svar, skickar sedan en begäran till servern och tar emot en IP-adress från den. Angriparens dator gör detta med några millisekunder, varje gång den får en ny IP-adress.
Beroende på inställningarna har en riktig DHCP-server en pool på hundratals eller flera hundra lediga IP-adresser. Hackarens dator kommer att ta emot IP-adresserna .1, .2, .3 och så vidare tills poolen av adresser är helt slut. Efter detta kommer DHCP-servern inte att kunna tillhandahålla IP-adresser till nya klienter i nätverket. Om en ny användare kommer in i nätverket kommer han inte att kunna få en gratis IP-adress. Detta är poängen med en DoS-attack på en DHCP-server: att förhindra att den utfärdar IP-adresser till nya användare.
För att motverka sådana attacker används konceptet DHCP Snooping. Detta är en OSI lager XNUMX-funktion som fungerar som en ACL och bara fungerar på switchar. För att förstå DHCP Snooping måste du överväga två begrepp: betrodda portar på en betrodd switch och otillförlitliga ej betrodda portar för andra nätverksenheter.
Betrodda portar tillåter alla typer av DHCP-meddelanden att passera. Otillförlitliga portar är portar som klienter är anslutna till, och DHCP Snooping gör det så att alla DHCP-meddelanden som kommer från dessa portar kasseras.
Om vi minns DORA-processen kommer meddelande D från klienten till servern och meddelande O kommer från servern till klienten. Därefter skickas ett meddelande R från klienten till servern, och servern skickar ett meddelande A till klienten.
Meddelanden D och R från osäkra portar accepteras och meddelanden som O och A kasseras. När DHCP Snooping-funktionen är aktiverad anses alla switchportar vara osäkra som standard. Denna funktion kan användas både för switchen som helhet och för enskilda VLAN. Till exempel, om VLAN10 är ansluten till en port, kan du aktivera den här funktionen endast för VLAN10, och då blir dess port opålitlig.
När du aktiverar DHCP Snooping måste du som systemadministratör gå in i switchinställningarna och konfigurera portarna på ett sådant sätt att endast de portar som enheter liknande servern är anslutna till anses vara opålitliga. Detta betyder vilken typ av server som helst, inte bara DHCP.
Till exempel, om en annan switch, router eller riktig DHCP-server är ansluten till en port, är denna port konfigurerad som betrodd. De återstående switchportarna till vilka slutanvändarenheter eller trådlösa åtkomstpunkter är anslutna måste konfigureras som osäkra. Därför ansluts vilken enhet som helst som en åtkomstpunkt till vilken användare är anslutna till switchen via en opålitlig port.
Om angriparens dator skickar meddelanden av typ O och A till switchen kommer de att blockeras, det vill säga sådan trafik kommer inte att kunna passera genom den opålitliga porten. Detta är hur DHCP Snooping förhindrar de typer av attacker som diskuterats ovan.
Dessutom skapar DHCP Snooping DHCP-bindningstabeller. Efter att klienten fått en IP-adress från servern kommer denna adress, tillsammans med MAC-adressen för enheten som tog emot den, att matas in i DHCP Snooping-tabellen. Dessa två egenskaper kommer att associeras med den osäkra porten som klienten är ansluten till.
Detta hjälper till att till exempel förhindra en DoS-attack. Om en klient med en given MAC-adress redan har fått en IP-adress, varför skulle den då kräva en ny IP-adress? I detta fall kommer alla försök till sådan aktivitet att förhindras omedelbart efter att ha kontrollerat posten i tabellen.
Nästa sak vi behöver diskutera är Nondefault, eller "icke-standard" Native VLAN. Vi har upprepade gånger berört ämnet VLAN och ägnat 4 videolektioner åt dessa nätverk. Om du har glömt vad detta är, råder jag dig att granska dessa lektioner.
Vi vet att i Cisco-switchar är standard Native VLAN VLAN1. Det finns attacker som kallas VLAN Hopping. Låt oss anta att datorn i diagrammet är ansluten till den första switchen med standardnätverket VLAN1, och att den sista switchen är ansluten till datorn via VLAN10-nätverket. En trunk upprättas mellan växlarna.
Vanligtvis när trafik från den första datorn kommer till switchen vet den att porten som den här datorn är ansluten till är en del av VLAN1. Därefter går denna trafik till trunk mellan de två switcharna, och den första switchen tänker så här: "den här trafiken kom från Native VLAN, så jag behöver inte tagga den," och vidarebefordrar otaggad trafik längs trunkledningen, vilket kommer till den andra omkopplaren.
Switch 2, efter att ha fått otaggad trafik, tänker så här: "eftersom den här trafiken är otaggad betyder det att den tillhör VLAN1, så jag kan inte skicka den över VLAN10." Som ett resultat kan trafik som skickas av den första datorn inte nå den andra datorn.
I verkligheten är det så här det ska gå till - VLAN1-trafik ska inte komma in i VLAN10. Låt oss nu föreställa oss att bakom den första datorn finns en angripare som skapar en ram med VLAN10-taggen och skickar den till switchen. Om du kommer ihåg hur VLAN fungerar, då vet du att om taggad trafik når switchen gör den ingenting med ramen, utan sänder den helt enkelt vidare längs stammen. Som ett resultat kommer den andra switchen att ta emot trafik med en tagg som skapades av angriparen och inte av den första switchen.
Det betyder att du ersätter det inbyggda VLAN-nätverket med något annat än VLAN1.
Eftersom den andra switchen inte vet vem som skapade VLAN10-taggen, skickar den helt enkelt trafik till den andra datorn. Det är så en VLAN Hopping-attack uppstår när en angripare penetrerar ett nätverk som från början var otillgängligt för honom.
För att förhindra sådana attacker behöver du skapa Random VLAN, eller slumpmässiga VLAN, till exempel VLAN999, VLAN666, VLAN777, etc., som inte alls kan användas av en angripare. Samtidigt går vi till switcharnas trunkportar och konfigurerar dem för att till exempel fungera med Native VLAN666. I det här fallet ändrar vi Native VLAN för trunkportar från VLAN1 till VLAN66, det vill säga vi använder alla andra nätverk än VLAN1 som Native VLAN.
Portarna på båda sidor av trunk måste konfigureras till samma VLAN, annars får vi ett fel i VLAN-nummer.
Om en hackare efter denna inställning bestämmer sig för att utföra en VLAN Hopping-attack kommer han inte att lyckas, eftersom inbyggt VLAN1 inte är tilldelat någon av switcharnas trunkportar. Detta är metoden för att skydda mot attacker genom att skapa inbyggda VLAN som inte är standard.
Tack för att du stannar hos oss. Gillar du våra artiklar? Vill du se mer intressant innehåll? Stöd oss genom att lägga en beställning eller rekommendera till vänner, 30 % rabatt för Habr-användare på en unik analog av nybörjarservrar, som uppfanns av oss för dig: (tillgänglig med RAID1 och RAID10, upp till 24 kärnor och upp till 40 GB DDR4).
Dell R730xd 2 gånger billigare? Bara här i Nederländerna! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - från $99! Läs om
Källa: will.com