วันนี้เราจะมาดูสองหัวข้อสำคัญ: DHCP Snooping และ Native VLAN ที่ “ไม่ใช่ค่าเริ่มต้น” ก่อนที่จะเข้าสู่บทเรียน ฉันขอเชิญคุณเยี่ยมชมช่อง YouTube อื่นของเรา ซึ่งคุณสามารถชมวิดีโอเกี่ยวกับวิธีพัฒนาความจำของคุณ ฉันขอแนะนำให้คุณติดตามช่องนี้ เนื่องจากเราโพสต์เคล็ดลับที่เป็นประโยชน์มากมายสำหรับการพัฒนาตนเองไว้ที่นั่น
บทเรียนนี้เน้นไปที่การศึกษาส่วนย่อย 1.7b และ 1.7c ของหัวข้อ ICND2 ก่อนที่เราจะเริ่มต้น DHCP Snooping เรามาจำประเด็นบางส่วนจากบทเรียนก่อนหน้านี้กันก่อน ถ้าจำไม่ผิด เราได้เรียนรู้เกี่ยวกับ DHCP ในวันที่ 6 และวันที่ 24 ที่นั่น มีการหารือประเด็นสำคัญเกี่ยวกับการกำหนดที่อยู่ IP โดยเซิร์ฟเวอร์ DHCP และการแลกเปลี่ยนข้อความที่เกี่ยวข้อง
โดยทั่วไป เมื่อผู้ใช้เข้าสู่ระบบเครือข่าย ผู้ใช้จะส่งคำขอออกอากาศไปยังเครือข่ายที่อุปกรณ์เครือข่ายทั้งหมด "ได้ยิน" หากเชื่อมต่อโดยตรงกับเซิร์ฟเวอร์ DHCP คำขอจะถูกส่งไปยังเซิร์ฟเวอร์โดยตรง หากมีอุปกรณ์ส่งสัญญาณบนเครือข่าย - เราเตอร์และสวิตช์ - คำขอไปยังเซิร์ฟเวอร์จะต้องผ่านอุปกรณ์เหล่านั้น หลังจากได้รับคำขอแล้ว เซิร์ฟเวอร์ DHCP จะตอบสนองต่อผู้ใช้โดยส่งคำขอเพื่อรับที่อยู่ IP ให้เขา หลังจากนั้นเซิร์ฟเวอร์จะออกที่อยู่ดังกล่าวไปยังอุปกรณ์ของผู้ใช้ นี่คือวิธีที่กระบวนการรับที่อยู่ IP เกิดขึ้นภายใต้สภาวะปกติ ตามตัวอย่างในแผนภาพ ผู้ใช้จะได้รับที่อยู่ 192.168.10.10 และที่อยู่เกตเวย์ 192.168.10.1 หลังจากนี้ผู้ใช้จะสามารถเข้าถึงอินเทอร์เน็ตผ่านเกตเวย์นี้หรือสื่อสารกับอุปกรณ์เครือข่ายอื่น ๆ ได้
สมมติว่านอกเหนือจากเซิร์ฟเวอร์ DHCP จริงแล้ว ยังมีเซิร์ฟเวอร์ DHCP ที่ฉ้อโกงบนเครือข่ายนั่นคือผู้โจมตีเพียงติดตั้งเซิร์ฟเวอร์ DHCP บนคอมพิวเตอร์ของเขา ในกรณีนี้ผู้ใช้เมื่อเข้าสู่เครือข่ายแล้วจะส่งข้อความออกอากาศซึ่งเราเตอร์และสวิตช์จะส่งต่อไปยังเซิร์ฟเวอร์จริง
อย่างไรก็ตามเซิร์ฟเวอร์โกงยัง "ฟัง" เครือข่ายและเมื่อได้รับข้อความออกอากาศแล้วจะตอบกลับผู้ใช้ด้วยข้อเสนอของตัวเองแทนที่จะเป็นเซิร์ฟเวอร์ DHCP จริง เมื่อได้รับแล้วผู้ใช้จะต้องให้ความยินยอมด้วยเหตุนี้เขาจะได้รับที่อยู่ IP จากผู้โจมตี 192.168.10.2 และที่อยู่เกตเวย์ 192.168.10.95
กระบวนการรับที่อยู่ IP เรียกย่อว่า DORA และประกอบด้วย 4 ขั้นตอน: การค้นพบ ข้อเสนอ การร้องขอ และการรับทราบ อย่างที่คุณเห็น ผู้โจมตีจะให้ที่อยู่ IP ทางกฎหมายแก่อุปกรณ์ซึ่งอยู่ในช่วงที่อยู่เครือข่ายที่มีอยู่ แต่แทนที่จะเป็นที่อยู่เกตเวย์จริง 192.168.10.1 เขาจะ "ส่ง" ด้วยที่อยู่ปลอม 192.168.10.95 นั่นคือที่อยู่ของเครื่องคอมพิวเตอร์ของเขาเอง
หลังจากนี้ การรับส่งข้อมูลของผู้ใช้ปลายทางทั้งหมดที่ตรงไปยังอินเทอร์เน็ตจะถูกส่งผ่านคอมพิวเตอร์ของผู้โจมตี ผู้โจมตีจะเปลี่ยนเส้นทางต่อไป และผู้ใช้จะไม่รู้สึกถึงความแตกต่างใดๆ เกี่ยวกับวิธีการสื่อสารนี้ เนื่องจากเขาจะยังสามารถเข้าถึงอินเทอร์เน็ตได้
ในทำนองเดียวกัน การรับส่งข้อมูลกลับจากอินเทอร์เน็ตจะไหลไปยังผู้ใช้ผ่านคอมพิวเตอร์ของผู้โจมตี นี่คือสิ่งที่เรียกกันทั่วไปว่าการโจมตีแบบ Man in the Middle (MiM) การรับส่งข้อมูลผู้ใช้ทั้งหมดจะถูกส่งผ่านคอมพิวเตอร์ของแฮ็กเกอร์ซึ่งจะสามารถอ่านทุกสิ่งที่เขาส่งหรือรับได้ นี่เป็นการโจมตีประเภทหนึ่งที่สามารถเกิดขึ้นบนเครือข่าย DHCP
การโจมตีประเภทที่สองเรียกว่า Denial of Service (DoS) หรือ “denial of service” เกิดอะไรขึ้น? คอมพิวเตอร์ของแฮกเกอร์ไม่ได้ทำหน้าที่เป็นเซิร์ฟเวอร์ DHCP อีกต่อไป แต่ขณะนี้เป็นเพียงอุปกรณ์โจมตีเท่านั้น โดยจะส่งคำขอ Discovery ไปยังเซิร์ฟเวอร์ DHCP จริงและรับข้อความ Offer เป็นการตอบกลับ จากนั้นส่งคำขอไปยังเซิร์ฟเวอร์และรับที่อยู่ IP จากเซิร์ฟเวอร์ดังกล่าว คอมพิวเตอร์ของผู้โจมตีทำทุกๆ สองสามมิลลิวินาที แต่ละครั้งจะได้รับที่อยู่ IP ใหม่
ขึ้นอยู่กับการตั้งค่า เซิร์ฟเวอร์ DHCP จริงมีกลุ่มที่อยู่ IP ว่างหลายร้อยหรือหลายร้อยรายการ คอมพิวเตอร์ของแฮกเกอร์จะได้รับที่อยู่ IP .1, .2, .3 และอื่นๆ จนกว่ากลุ่มที่อยู่จะหมดลง หลังจากนี้ เซิร์ฟเวอร์ DHCP จะไม่สามารถให้ที่อยู่ IP แก่ไคลเอนต์ใหม่บนเครือข่ายได้ หากผู้ใช้ใหม่เข้าสู่เครือข่าย เขาจะไม่สามารถรับที่อยู่ IP ฟรีได้ นี่คือจุดสำคัญของการโจมตี DoS บนเซิร์ฟเวอร์ DHCP: เพื่อป้องกันไม่ให้ออกที่อยู่ IP ให้กับผู้ใช้ใหม่
เพื่อตอบโต้การโจมตีดังกล่าว จึงมีการใช้แนวคิดของการสอดแนม DHCP นี่คือฟังก์ชัน OSI เลเยอร์ XNUMX ที่ทำหน้าที่เหมือน ACL และใช้งานได้กับสวิตช์เท่านั้น เพื่อให้เข้าใจถึง DHCP Snooping คุณต้องพิจารณาสองแนวคิด: พอร์ตที่เชื่อถือได้ของสวิตช์ที่เชื่อถือได้ และพอร์ตที่ไม่น่าเชื่อถือที่ไม่น่าเชื่อถือสำหรับอุปกรณ์เครือข่ายอื่นๆ
พอร์ตที่เชื่อถือได้อนุญาตให้ข้อความ DHCP ประเภทใดก็ได้สามารถผ่านได้ พอร์ตที่ไม่น่าเชื่อถือคือพอร์ตที่ไคลเอ็นต์เชื่อมต่ออยู่ และ DHCP Snooping สร้างขึ้นเพื่อให้ข้อความ DHCP ใดๆ ที่มาจากพอร์ตเหล่านั้นจะถูกละทิ้ง
หากเราจำกระบวนการ DORA ได้ ข้อความ D จะมาจากไคลเอนต์ไปยังเซิร์ฟเวอร์ และข้อความ O จะมาจากเซิร์ฟเวอร์ไปยังไคลเอนต์ ถัดไป ข้อความ R จะถูกส่งจากไคลเอนต์ไปยังเซิร์ฟเวอร์ และเซิร์ฟเวอร์ส่งข้อความ A ไปยังไคลเอนต์
ยอมรับข้อความ D และ R จากพอร์ตที่ไม่ปลอดภัย และข้อความเช่น O และ A จะถูกละทิ้ง เมื่อเปิดใช้งานฟังก์ชัน DHCP Snooping พอร์ตสวิตช์ทั้งหมดจะถือว่าไม่ปลอดภัยตามค่าเริ่มต้น ฟังก์ชั่นนี้สามารถใช้ได้ทั้งกับสวิตช์โดยรวมและสำหรับ VLAN แต่ละตัว ตัวอย่างเช่น หาก VLAN10 เชื่อมต่อกับพอร์ต คุณสามารถเปิดใช้งานคุณสมบัตินี้สำหรับ VLAN10 เท่านั้น จากนั้นพอร์ตจะไม่น่าเชื่อถือ
เมื่อคุณเปิดใช้งาน DHCP Snooping ในฐานะผู้ดูแลระบบ คุณจะต้องเข้าสู่การตั้งค่าสวิตช์และกำหนดค่าพอร์ตในลักษณะที่ถือว่าไม่น่าเชื่อถือเฉพาะพอร์ตที่อุปกรณ์ที่คล้ายกับเซิร์ฟเวอร์เชื่อมต่ออยู่ นี่หมายถึงเซิร์ฟเวอร์ทุกประเภท ไม่ใช่แค่ DHCP
ตัวอย่างเช่น หากมีสวิตช์ เราเตอร์ หรือเซิร์ฟเวอร์ DHCP จริงเชื่อมต่อกับพอร์ต พอร์ตนี้จะถูกกำหนดค่าว่าเชื่อถือได้ พอร์ตสวิตช์ที่เหลือซึ่งมีการเชื่อมต่ออุปกรณ์ของผู้ใช้ปลายทางหรือจุดเข้าใช้งานแบบไร้สายจะต้องได้รับการกำหนดค่าว่าไม่ปลอดภัย ดังนั้น อุปกรณ์ใดๆ เช่น จุดเข้าใช้งานที่ผู้ใช้เชื่อมต่ออยู่ จะเชื่อมต่อกับสวิตช์ผ่านพอร์ตที่ไม่น่าเชื่อถือ
หากคอมพิวเตอร์ของผู้โจมตีส่งข้อความประเภท O และ A ไปยังสวิตช์ ข้อความเหล่านั้นจะถูกบล็อกนั่นคือการรับส่งข้อมูลดังกล่าวจะไม่สามารถผ่านพอร์ตที่ไม่น่าเชื่อถือได้ นี่คือวิธีที่ DHCP Snooping ป้องกันการโจมตีประเภทต่างๆ ที่กล่าวถึงข้างต้น
นอกจากนี้ DHCP Snooping ยังสร้างตารางการรวม DHCP หลังจากที่ไคลเอนต์ได้รับที่อยู่ IP จากเซิร์ฟเวอร์ ที่อยู่นี้พร้อมกับที่อยู่ MAC ของอุปกรณ์ที่ได้รับจะถูกป้อนลงในตาราง DHCP Snooping ลักษณะทั้งสองนี้จะเชื่อมโยงกับพอร์ตที่ไม่ปลอดภัยซึ่งไคลเอ็นต์เชื่อมต่ออยู่
สิ่งนี้จะช่วยป้องกันการโจมตี DoS เป็นต้น หากลูกค้าที่มีที่อยู่ MAC ที่ระบุได้รับที่อยู่ IP แล้ว เหตุใดจึงต้องมีที่อยู่ IP ใหม่ ในกรณีนี้ ความพยายามใดๆ ในกิจกรรมดังกล่าวจะถูกป้องกันทันทีหลังจากตรวจสอบรายการในตาราง
สิ่งต่อไปที่เราต้องพูดคุยคือ Nondefault หรือ Native VLAN ที่ "ไม่ใช่ค่าเริ่มต้น" เราได้พูดถึงหัวข้อ VLAN ซ้ำแล้วซ้ำเล่าโดยอุทิศบทเรียนวิดีโอ 4 บทให้กับเครือข่ายเหล่านี้ หากคุณลืมว่านี่คืออะไร ฉันขอแนะนำให้คุณทบทวนบทเรียนเหล่านี้
เรารู้ว่าใน Cisco สวิตช์ Native VLAN เริ่มต้นคือ VLAN1 มีการโจมตีที่เรียกว่า VLAN Hopping สมมติว่าคอมพิวเตอร์ในแผนภาพเชื่อมต่อกับสวิตช์ตัวแรกโดยเครือข่ายดั้งเดิม VLAN1 และสวิตช์ตัวสุดท้ายเชื่อมต่อกับคอมพิวเตอร์โดยเครือข่าย VLAN10 มีการสร้างลำตัวระหว่างสวิตช์
โดยทั่วไป เมื่อการรับส่งข้อมูลจากคอมพิวเตอร์เครื่องแรกมาถึงสวิตช์ จะรู้ว่าพอร์ตที่คอมพิวเตอร์เครื่องนี้เชื่อมต่ออยู่นั้นเป็นส่วนหนึ่งของ VLAN1 ถัดไป การรับส่งข้อมูลนี้จะไปที่ Trunk ระหว่างสวิตช์ทั้งสอง และสวิตช์แรกคิดดังนี้: “การรับส่งข้อมูลนี้มาจาก Native VLAN ดังนั้นฉันจึงไม่จำเป็นต้องแท็กมัน” และส่งต่อการรับส่งข้อมูลที่ไม่ได้ติดแท็กไปตาม Trunk ซึ่ง มาถึงสวิตช์ที่สอง
สวิตช์ 2 หลังจากได้รับทราฟฟิกที่ไม่ได้ติดแท็ก คิดดังนี้: “เนื่องจากทราฟฟิกนี้ไม่ติดแท็ก หมายความว่ามันเป็นของ VLAN1 ดังนั้นฉันจึงไม่สามารถส่งผ่าน VLAN10 ได้” เป็นผลให้การรับส่งข้อมูลที่ส่งโดยคอมพิวเตอร์เครื่องแรกไม่สามารถเข้าถึงคอมพิวเตอร์เครื่องที่สองได้
ในความเป็นจริง นี่คือสิ่งที่จะเกิดขึ้น - การรับส่งข้อมูล VLAN1 ไม่ควรเข้าสู่ VLAN10 ทีนี้ลองจินตนาการว่าด้านหลังคอมพิวเตอร์เครื่องแรกมีผู้โจมตีที่สร้างเฟรมด้วยแท็ก VLAN10 และส่งไปที่สวิตช์ หากคุณจำได้ว่า VLAN ทำงานอย่างไร คุณจะรู้ว่าหากทราฟฟิกที่แท็กไปถึงสวิตช์ จะไม่ทำอะไรเลยกับเฟรม แต่เพียงส่งสัญญาณต่อไปตามลำตัว ด้วยเหตุนี้ สวิตช์ตัวที่สองจะได้รับการรับส่งข้อมูลด้วยแท็กที่สร้างขึ้นโดยผู้โจมตี ไม่ใช่จากสวิตช์ตัวแรก
ซึ่งหมายความว่าคุณกำลังแทนที่ Native VLAN ด้วยสิ่งอื่นที่ไม่ใช่ VLAN1
เนื่องจากสวิตช์ตัวที่สองไม่รู้ว่าใครเป็นผู้สร้างแท็ก VLAN10 จึงเพียงแค่ส่งการรับส่งข้อมูลไปยังคอมพิวเตอร์เครื่องที่สอง นี่คือวิธีที่การโจมตี VLAN Hopping เกิดขึ้นเมื่อผู้โจมตีเจาะเครือข่ายที่ไม่สามารถเข้าถึงได้ในตอนแรก
เพื่อป้องกันการโจมตีดังกล่าว คุณต้องสร้าง Random VLAN หรือ Random VLAN เช่น VLAN999, VLAN666, VLAN777 เป็นต้น ซึ่งผู้โจมตีไม่สามารถใช้งานได้เลย ในเวลาเดียวกันเราไปที่พอร์ตลำตัวของสวิตช์และกำหนดค่าให้ทำงานเช่นกับ Native VLAN666 ในกรณีนี้ เราเปลี่ยน Native VLAN สำหรับพอร์ต trunk จาก VLAN1 เป็น VLAN66 นั่นคือ เราใช้เครือข่ายใดๆ ที่ไม่ใช่ VLAN1 เป็น Native VLAN
พอร์ตทั้งสองด้านของ trunk จะต้องได้รับการกำหนดค่าให้เป็น VLAN เดียวกัน มิฉะนั้นเราจะได้รับข้อผิดพลาดหมายเลข VLAN ที่ไม่ตรงกัน
หลังจากการตั้งค่านี้ หากแฮ็กเกอร์ตัดสินใจที่จะทำการโจมตี VLAN Hopping เขาจะไม่ประสบความสำเร็จ เนื่องจาก VLAN1 แบบเนทีฟไม่ได้ถูกกำหนดให้กับพอร์ต trunk ใดๆ ของสวิตช์ นี่คือวิธีการป้องกันการโจมตีโดยการสร้าง VLAN ดั้งเดิมที่ไม่ใช่ค่าเริ่มต้น
ขอบคุณที่อยู่กับเรา คุณชอบบทความของเราหรือไม่? ต้องการดูเนื้อหาที่น่าสนใจเพิ่มเติมหรือไม่ สนับสนุนเราโดยการสั่งซื้อหรือแนะนำให้เพื่อน ส่วนลด 30% สำหรับผู้ใช้ Habr ในอะนาล็อกที่ไม่ซ้ำใครของเซิร์ฟเวอร์ระดับเริ่มต้น ซึ่งเราคิดค้นขึ้นเพื่อคุณ: (ใช้ได้กับ RAID1 และ RAID10 สูงสุด 24 คอร์ และสูงสุด 40GB DDR4)
Dell R730xd ถูกกว่า 2 เท่า? ที่นี่ที่เดียวเท่านั้น ในเนเธอร์แลนด์! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - จาก $99! อ่านเกี่ยวกับ
ที่มา: will.com