Ngayon ay titingnan natin ang dalawang mahahalagang paksa: DHCP Snooping at "non-default" Native VLANs. Bago magpatuloy sa aralin, inaanyayahan kita na bisitahin ang aming iba pang channel sa YouTube kung saan maaari kang manood ng isang video kung paano pagbutihin ang iyong memorya. Inirerekomenda ko na mag-subscribe ka sa channel na ito, dahil nag-post kami ng maraming kapaki-pakinabang na tip para sa pagpapabuti ng sarili doon.
Ang araling ito ay nakatuon sa pag-aaral ng mga subsection 1.7b at 1.7c ng paksa ng ICND2. Bago tayo magsimula sa DHCP Snooping, tandaan natin ang ilang puntos mula sa mga nakaraang aralin. Kung hindi ako nagkakamali, natutunan namin ang tungkol sa DHCP noong Day 6 at Day 24. Doon, napag-usapan ang mahahalagang isyu tungkol sa pagtatalaga ng mga IP address ng DHCP server at ang pagpapalitan ng mga kaukulang mensahe.
Karaniwan, kapag nag-log in ang isang End User sa isang network, nagpapadala ito ng kahilingan sa pag-broadcast sa network na “naririnig” ng lahat ng device sa network. Kung ito ay direktang konektado sa isang DHCP server, ang kahilingan ay direktang mapupunta sa server. Kung may mga transmission device sa network - mga router at switch - kung gayon ang kahilingan sa server ay dumaan sa kanila. Ang pagkakaroon ng natanggap na kahilingan, ang DHCP server ay tumugon sa gumagamit, na nagpapadala sa kanya ng isang kahilingan upang makakuha ng isang IP address, pagkatapos kung saan ang server ay nag-isyu ng naturang address sa aparato ng gumagamit. Ito ay kung paano ang proseso ng pagkuha ng isang IP address ay nangyayari sa ilalim ng normal na mga kondisyon. Ayon sa halimbawa sa diagram, matatanggap ng End User ang address na 192.168.10.10 at ang address ng gateway na 192.168.10.1. Pagkatapos nito, magagawa ng user na ma-access ang Internet sa pamamagitan ng gateway na ito o makipag-ugnayan sa ibang mga network device.
Ipagpalagay natin na bilang karagdagan sa tunay na DHCP server, mayroong isang mapanlinlang na DHCP server sa network, iyon ay, ang umaatake ay nag-i-install lamang ng isang DHCP server sa kanyang computer. Sa kasong ito, ang gumagamit, na pumasok sa network, ay nagpapadala din ng isang broadcast message, na kung saan ang router at switch ay ipapasa sa totoong server.
Gayunpaman, ang rogue server ay "nakikinig" din sa network, at, pagkatanggap ng broadcast message, ay tutugon sa user gamit ang sarili nitong alok sa halip na ang tunay na DHCP server. Kapag natanggap ito, ibibigay ng user ang kanyang pahintulot, bilang resulta kung saan makakatanggap siya ng IP address mula sa attacker 192.168.10.2 at isang gateway address na 192.168.10.95.
Ang proseso ng pagkuha ng IP address ay dinaglat bilang DORA at binubuo ng 4 na yugto: Pagtuklas, Alok, Kahilingan at Pagkilala. Gaya ng nakikita mo, bibigyan ng attacker ang device ng legal na IP address na nasa available na hanay ng mga network address, ngunit sa halip na ang totoong gateway address na 192.168.10.1, "i-slip" niya ito gamit ang isang pekeng address na 192.168.10.95, iyon ay, ang address ng kanyang sariling computer.
Pagkatapos nito, ang lahat ng trapiko ng end-user na nakadirekta sa Internet ay dadaan sa computer ng umaatake. Ire-redirect pa ito ng attacker, at hindi madarama ng user ang anumang pagkakaiba sa pamamaraang ito ng komunikasyon, dahil maa-access pa rin niya ang Internet.
Sa parehong paraan, dadaloy sa user ang bumalik na trapiko mula sa Internet sa pamamagitan ng computer ng umaatake. Ito ang karaniwang tinatawag na Man in the Middle (MiM) attack. Ang lahat ng trapiko ng gumagamit ay dadaan sa computer ng hacker, na makakapagbasa ng lahat ng kanyang ipinapadala o natatanggap. Ito ay isang uri ng pag-atake na maaaring maganap sa mga DHCP network.
Ang pangalawang uri ng pag-atake ay tinatawag na Denial of Service (DoS), o "denial of service." Ano ang mangyayari? Ang computer ng hacker ay hindi na kumikilos bilang isang DHCP server, isa na lamang itong umaatakeng device. Nagpapadala ito ng kahilingan sa Discovery sa totoong DHCP server at tumatanggap ng mensahe ng Alok bilang tugon, pagkatapos ay nagpapadala ng Kahilingan sa server at tumatanggap ng IP address mula rito. Ginagawa ito ng computer ng umaatake bawat ilang millisecond, sa bawat oras na tumatanggap ng bagong IP address.
Depende sa mga setting, ang isang tunay na DHCP server ay mayroong daan-daan o ilang daang bakanteng mga IP address. Ang computer ng hacker ay makakatanggap ng mga IP address .1, .2, .3, at iba pa hanggang sa ganap na maubos ang pool ng mga address. Pagkatapos nito, hindi na makakapagbigay ang DHCP server ng mga IP address sa mga bagong kliyente sa network. Kung papasok ang isang bagong user sa network, hindi siya makakakuha ng libreng IP address. Ito ang punto ng pag-atake ng DoS sa isang DHCP server: upang pigilan ito sa pagbibigay ng mga IP address sa mga bagong user.
Upang kontrahin ang mga naturang pag-atake, ginagamit ang konsepto ng DHCP Snooping. Ito ay isang OSI layer XNUMX na function na kumikilos tulad ng isang ACL at gumagana lamang sa mga switch. Upang maunawaan ang DHCP Snooping, kailangan mong isaalang-alang ang dalawang konsepto: pinagkakatiwalaang port ng Trusted switch at hindi pinagkakatiwalaang Untrusted port para sa iba pang network device.
Ang mga pinagkakatiwalaang port ay nagbibigay-daan sa anumang uri ng mensahe ng DHCP na dumaan. Ang mga hindi pinagkakatiwalaang port ay mga port kung saan konektado ang mga kliyente, at ginagawa ito ng DHCP Snooping upang ang anumang mga mensahe ng DHCP na nagmumula sa mga port na iyon ay itatapon.
Kung aalalahanin natin ang proseso ng DORA, ang mensahe D ay mula sa kliyente patungo sa server, at ang mensaheng O ay mula sa server patungo sa kliyente. Susunod, ang isang mensaheng R ay ipinadala mula sa kliyente patungo sa server, at ang server ay nagpapadala ng isang mensaheng A sa kliyente.
Ang mga mensaheng D at R mula sa mga hindi secure na port ay tinatanggap, at ang mga mensahe tulad ng O at A ay itinatapon. Kapag ang DHCP Snooping function ay pinagana, ang lahat ng switch port ay itinuturing na hindi secure bilang default. Ang function na ito ay maaaring gamitin kapwa para sa switch bilang isang buo at para sa mga indibidwal na VLAN. Halimbawa, kung nakakonekta ang VLAN10 sa isang port, maaari mong paganahin ang feature na ito para lang sa VLAN10, at pagkatapos ay magiging hindi mapagkakatiwalaan ang port nito.
Kapag pinagana mo ang DHCP Snooping, ikaw, bilang isang system administrator, ay kailangang pumunta sa mga setting ng switch at i-configure ang mga port sa paraang ang mga port lamang kung saan nakakonekta ang mga device na katulad ng server ay itinuturing na hindi pinagkakatiwalaan. Nangangahulugan ito ng anumang uri ng server, hindi lamang DHCP.
Halimbawa, kung ang isa pang switch, router o tunay na DHCP server ay konektado sa isang port, ang port na ito ay naka-configure bilang pinagkakatiwalaan. Ang natitirang mga switch port kung saan nakakonekta ang mga end-user device o wireless access point ay dapat na i-configure bilang hindi secure. Samakatuwid, ang anumang device gaya ng access point kung saan nakakonekta ang mga user ay kumokonekta sa switch sa pamamagitan ng hindi pinagkakatiwalaang port.
Kung ang computer ng umaatake ay nagpapadala ng mga mensahe ng uri O at A sa switch, sila ay mai-block, iyon ay, ang naturang trapiko ay hindi makakadaan sa hindi pinagkakatiwalaang port. Ito ay kung paano pinipigilan ng DHCP Snooping ang mga uri ng pag-atake na tinalakay sa itaas.
Bukod pa rito, ang DHCP Snooping ay lumilikha ng mga DHCP binding table. Pagkatapos makatanggap ang kliyente ng IP address mula sa server, ang address na ito, kasama ang MAC address ng device na nakatanggap nito, ay ilalagay sa DHCP Snooping table. Iuugnay ang dalawang katangiang ito sa hindi secure na port kung saan nakakonekta ang kliyente.
Nakakatulong ito, halimbawa, upang maiwasan ang pag-atake ng DoS. Kung ang isang kliyente na may ibinigay na MAC address ay nakatanggap na ng isang IP address, kung gayon bakit ito nangangailangan ng isang bagong IP address? Sa kasong ito, ang anumang pagtatangka sa naturang aktibidad ay mapipigilan kaagad pagkatapos suriin ang entry sa talahanayan.
Ang susunod na bagay na kailangan nating talakayin ay Nondefault, o "non-default" Native VLANs. Paulit-ulit naming nahawakan ang paksa ng mga VLAN, naglalaan ng 4 na aralin sa video sa mga network na ito. Kung nakalimutan mo kung ano ito, ipinapayo ko sa iyo na suriin ang mga araling ito.
Alam namin na sa Cisco switch ang default na Native VLAN ay VLAN1. May mga pag-atake na tinatawag na VLAN Hopping. Ipagpalagay natin na ang computer sa diagram ay konektado sa unang switch ng default na katutubong network na VLAN1, at ang huling switch ay konektado sa computer ng VLAN10 network. Ang isang puno ng kahoy ay itinatag sa pagitan ng mga switch.
Karaniwan, kapag ang trapiko mula sa unang computer ay dumating sa switch, alam nito na ang port kung saan nakakonekta ang computer na ito ay bahagi ng VLAN1. Susunod, ang trapikong ito ay napupunta sa trunk sa pagitan ng dalawang switch, at ganito ang iniisip ng unang switch: "nagmula ang trapikong ito sa Native VLAN, kaya hindi ko na kailangang i-tag ito," at ipinapasa ang hindi naka-tag na trapiko sa kahabaan ng trunk, na dumating sa pangalawang switch.
Ang Switch 2, na nakatanggap ng hindi naka-tag na trapiko, ay ganito ang iniisip: "dahil ang trapikong ito ay hindi naka-tag, nangangahulugan ito na kabilang ito sa VLAN1, kaya hindi ko ito maipadala sa VLAN10." Bilang resulta, ang trapiko na ipinadala ng unang computer ay hindi makakarating sa pangalawang computer.
Sa katotohanan, ito ang dapat mangyari - ang trapiko ng VLAN1 ay hindi dapat makapasok sa VLAN10. Ngayon isipin natin na sa likod ng unang computer ay mayroong isang umaatake na lumikha ng isang frame na may tag na VLAN10 at ipinadala ito sa switch. Kung naaalala mo kung paano gumagana ang VLAN, alam mo na kung ang naka-tag na trapiko ay umabot sa switch, wala itong ginagawa sa frame, ngunit ipinapadala lamang ito sa kahabaan ng trunk. Bilang resulta, ang pangalawang switch ay makakatanggap ng trapiko na may tag na ginawa ng umaatake, at hindi ng unang switch.
Nangangahulugan ito na pinapalitan mo ang Native VLAN ng isang bagay maliban sa VLAN1.
Dahil hindi alam ng pangalawang switch kung sino ang gumawa ng VLAN10 tag, nagpapadala lang ito ng trapiko sa pangalawang computer. Ito ay kung paano nangyayari ang isang pag-atake ng VLAN Hopping, kapag ang isang umaatake ay tumagos sa isang network na sa una ay hindi naa-access sa kanya.
Upang maiwasan ang mga ganitong pag-atake, kailangan mong lumikha ng Random VLAN, o mga random na VLAN, halimbawa VLAN999, VLAN666, VLAN777, atbp., na hindi maaaring gamitin ng isang umaatake. Kasabay nito, pumunta kami sa mga trunk port ng mga switch at i-configure ang mga ito upang gumana, halimbawa, sa Native VLAN666. Sa kasong ito, binago namin ang Native VLAN para sa mga trunk port mula VLAN1 hanggang VLAN66, ibig sabihin, ginagamit namin ang anumang network maliban sa VLAN1 bilang Native VLAN.
Ang mga port sa magkabilang panig ng trunk ay dapat na i-configure sa parehong VLAN, kung hindi, makakatanggap kami ng error sa mismatch ng VLAN number.
Pagkatapos ng setup na ito, kung magpasya ang isang hacker na magsagawa ng pag-atake ng VLAN Hopping, hindi siya magtatagumpay, dahil ang katutubong VLAN1 ay hindi nakatalaga sa alinman sa mga trunk port ng mga switch. Ito ang paraan ng pagprotekta laban sa mga pag-atake sa pamamagitan ng paglikha ng mga hindi default na katutubong VLAN.
Salamat sa pananatili sa amin. Gusto mo ba ang aming mga artikulo? Gustong makakita ng mas kawili-wiling nilalaman? Suportahan kami sa pamamagitan ng pag-order o pagrekomenda sa mga kaibigan, 30% na diskwento para sa mga gumagamit ng Habr sa isang natatanging analogue ng mga entry-level na server, na inimbento namin para sa iyo: (magagamit sa RAID1 at RAID10, hanggang 24 na core at hanggang 40GB DDR4).
Dell R730xd 2 beses na mas mura? Dito lang sa Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mula $99! Basahin ang tungkol sa
Pinagmulan: www.habr.com