Bugün iki önemli konuyu ele alacağız: DHCP Snooping ve "varsayılan olmayan" Yerel VLAN'lar. Derse geçmeden önce sizi, hafızanızı nasıl geliştireceğinize dair bir video izleyebileceğiniz diğer YouTube kanalımızı ziyaret etmeye davet ediyorum. Bu kanala abone olmanızı tavsiye ederim, çünkü burada kişisel gelişim için pek çok faydalı ipucu paylaşıyoruz.
Bu ders, ICND1.7 konusunun 1.7b ve 2c alt bölümlerinin çalışılmasına ayrılmıştır. DHCP Snooping ile devam etmeden önce, önceki derslerden bazı noktaları hatırlayalım. DHCP'yi yanılmıyorsam 6. ve 24. günlerde öğrendik. DHCP sunucusu tarafından IP adreslerinin atanması ve uygun mesajların değiş tokuşu ile ilgili önemli konular tartışıldı.
Tipik olarak, bir Son Kullanıcı ağa girdiğinde, ağa tüm ağ cihazlarının "duyduğu" bir yayın isteği gönderir. Doğrudan bir DHCP sunucusuna bağlıysa, istek doğrudan sunucuya gider. Ağda iletim cihazları varsa - yönlendiriciler ve anahtarlar - sunucuya yapılan istek bunlardan geçer. İsteği aldıktan sonra, DHCP sunucusu kullanıcıya yanıt verir, ona bir IP adresi isteği gönderir ve ardından sunucu, kullanıcının cihazına böyle bir adres verir. Normal şartlarda IP adresi alma işlemi bu şekilde gerçekleşir. Şemadaki örneğe göre, Son Kullanıcı 192.168.10.10 adresini ve 192.168.10.1 ağ geçidi adresini alacaktır. Bundan sonra, kullanıcı bu ağ geçidi üzerinden İnternet'e erişebilecek veya diğer ağ cihazlarıyla iletişim kurabilecektir.
Gerçek bir DHCP sunucusuna ek olarak, ağda hileli bir DHCP sunucusu olduğunu, yani bir saldırganın bilgisayarına yalnızca bir DHCP sunucusu yüklediğini varsayalım. Bu durumda, ağa giren kullanıcı, aynı şekilde yönlendirici ve anahtarın gerçek sunucuya ileteceği bir yayın mesajı gönderir.
Bununla birlikte, haydut sunucu da ağı "dinler" ve bir yayın mesajı aldıktan sonra, kullanıcıya gerçek DHCP sunucusu yerine teklifiyle yanıt verir. Kullanıcı, bunu aldıktan sonra, saldırgandan 192.168.10.2 IP adresini ve 192.168.10.95 ağ geçidi adresini alacak şekilde onay verecektir.
IP adresi alma işlemi DORA olarak kısaltılır ve 4 aşamadan oluşur: Keşif, Teklif, Talep ve Onay. Gördüğünüz gibi, saldırgan cihaza kullanılabilir ağ adresleri aralığında bulunan yasal bir IP adresi verecek, ancak gerçek ağ geçidi adresi 192.168.10.1 yerine, ona sahte bir adres 192.168.10.95 "kaydıracak". kendi bilgisayarlarının adresidir.
Bundan sonra, internete yönlendirilen tüm son kullanıcı trafiği, saldırganın bilgisayarından geçecektir. Saldırgan onu daha fazla yönlendirecek ve kullanıcı yine de İnternet'e erişebileceği için bu iletişim yönteminde herhangi bir fark hissetmeyecektir.
Aynı şekilde internetten ters trafik de saldırganın bilgisayarı üzerinden kullanıcıya gelecektir. Bu, genellikle Ortadaki Adam (MiM) saldırısı olarak adlandırılan şeydir. Tüm kullanıcı trafiği, gönderdiği veya aldığı her şeyi okuyabilecek olan bilgisayar korsanının bilgisayarından geçecektir. Bu, DHCP ağlarında gerçekleşebilecek bir saldırı türüdür.
İkinci tür saldırı Hizmet Reddi (DoS) olarak adlandırılır. Ne oluyor? Bilgisayar korsanının bilgisayarı artık bir DHCP sunucusu gibi davranmaz, artık sadece saldıran bir cihazdır. Gerçek DHCP sunucusuna Keşif İsteği gönderir ve yanıt olarak Teklif mesajı alır, ardından sunucuya İstek gönderir ve sunucudan bir IP adresi alır. Saldırganın bilgisayarı bunu her birkaç milisaniyede bir yapar ve her seferinde yeni bir IP adresi alır.
Ayarlara bağlı olarak, gerçek bir DHCP sunucusunda yüzlerce veya birkaç yüz boş IP adresi havuzu bulunur. Bilgisayar korsanının bilgisayarı, adres havuzu tamamen tükenene kadar .1, .2, .3 vb. IP adreslerini alacaktır. Bundan sonra, DHCP sunucusu ağdaki yeni istemcilere IP adresleri sağlayamayacaktır. Ağa yeni bir kullanıcı girerse, ücretsiz bir IP adresi alamayacaktır. Bir DHCP sunucusuna yapılan bir DoS saldırısının amacı budur: yeni kullanıcılara IP adresleri verme yeteneğinden mahrum bırakmak.
Bu tür saldırılara karşı koymak için DHCP Snooping kavramı kullanılır. Bu, bir ACL gibi davranan ve yalnızca anahtarlarda çalışan bir OSI katman XNUMX özelliğidir. DHCP Snooping'i anlamak için iki kavramı göz önünde bulundurmanız gerekir: güvenilir anahtar bağlantı noktaları Güvenilir ve güvenilmeyen bağlantı noktaları Diğer ağ cihazları için güvenilmeyen.
Güvenilir bağlantı noktaları, her türlü DHCP mesajının geçmesine izin verir. Güvenilmeyen bağlantı noktaları, istemcilerin bağlı olduğu bağlantı noktalarıdır ve DHCP Snooping, bu bağlantı noktalarından gelen tüm DHCP mesajlarının bırakılmasını sağlar.
DORA işlemini hatırlayacak olursak client'tan server'a D mesajı, server'dan client'a O mesajı gelir. Ardından, istemciden sunucuya R mesajı gönderilir ve sunucu istemciye A mesajını gönderir.
Güvenli olmayan bağlantı noktalarından gelen D ve R mesajları kabul edilir ve O ve A gibi mesajlar atılır. DHCP Snooping etkinleştirildiğinde, tüm anahtar bağlantı noktaları varsayılan olarak güvensiz kabul edilir. Bu işlev, hem bir bütün olarak anahtar için hem de tek tek VLAN'lar için kullanılabilir. Örneğin, VLAN10 bir bağlantı noktasına bağlıysa, bu özelliği yalnızca VLAN10 için etkinleştirebilirsiniz ve ardından bağlantı noktası güvenilmez hale gelir.
Bir sistem yöneticisi olarak, DHCP Snooping'i etkinleştirirken, anahtar ayarlarına gitmeniz ve bağlantı noktalarını, yalnızca sunucu gibi cihazların bağlı olduğu bağlantı noktalarının güvenilmez olarak kabul edileceği şekilde yapılandırmanız gerekir. Bu, yalnızca DHCP'yi değil, herhangi bir sunucu türünü ifade eder.
Örneğin, bağlantı noktasına başka bir anahtar, yönlendirici veya gerçek DHCP sunucusu bağlıysa, bu bağlantı noktası güvenilir olarak yapılandırılır. Son kullanıcı cihazlarının veya kablosuz erişim noktalarının bağlı olduğu anahtar bağlantı noktalarının geri kalanı güvensiz olarak yapılandırılmalıdır. Bu nedenle, kullanıcıların bağlandığı herhangi bir erişim noktası tipi cihaz, anahtara güvenilmeyen bir bağlantı noktası üzerinden bağlanır.
Saldırganın bilgisayarı anahtara O ve A gibi mesajlar gönderirse bunlar engellenir yani bu tür trafik güvenilmeyen bir porttan geçemez. DHCP Snooping, yukarıda tartışılan saldırı türlerini bu şekilde önler.
Ek olarak, DHCP gözetleme, DHCP bağlama tabloları oluşturur. İstemci sunucudan bir IP adresi aldıktan sonra, bu adres, onu alan cihazın MAC adresi ile birlikte DHCP Snooping tablosuna girilecektir. Bu iki özellik, istemcinin bağlı olduğu güvenli olmayan bağlantı noktasına bağlanacaktır.
Bu, örneğin bir DoS saldırısını önlemeye yardımcı olur. Belirli bir MAC adresine sahip bir istemci zaten bir IP adresi almışsa, neden yeni bir IP adresi gerektirsin? Bu durumda, tablodaki kayıt kontrol edildikten hemen sonra bu tür bir faaliyete girişilmesi engellenecektir.
Tartışmamız gereken bir sonraki şey, Varsayılan Olmayan veya "varsayılan olmayan" Yerel VLAN'lardır. Bu ağlara 4 video dersi ayırarak VLAN'lar konusuna defalarca değindik. Ne olduğunu unuttuysanız, bu dersleri gözden geçirmenizi tavsiye ederim.
Cisco anahtarlarında varsayılan Native VLAN'ın VLAN1 olduğunu biliyoruz. VLAN Hopping denen saldırılar var. Diyagramdaki bilgisayarın ilk anahtara varsayılan yerel VLAN1 ile ve son anahtarın bilgisayara VLAN10 ile bağlı olduğunu varsayalım. Anahtarlar arasında bir gövde düzenlenmiştir.
Genellikle ilk bilgisayardan gelen trafik switch'e geldiğinde bu bilgisayarın bağlı olduğu portun VLAN1'in bir parçası olduğunu bilir. Daha sonra bu trafik iki switch arasından trunk'a girer, birinci switch ise "bu trafik Native VLAN'dan geldi, yani etiketlememe gerek yok" diye düşünür ve etiketlenmemiş trafiği, gelen trunk üzerinden iletir. ikinci anahtar.
Anahtar 2, etiketsiz trafik aldıktan sonra şöyle düşünür: "Bu trafik etiketsiz olduğuna göre, VLAN1'e ait olduğu anlamına gelir, bu yüzden VLAN10 üzerinden gönderemem." Sonuç olarak, birinci bilgisayar tarafından gönderilen trafik ikinci bilgisayara ulaşamaz.
Aslında böyle olması gerekir - VLAN1 trafiği VLAN10 ağına girmemelidir. Şimdi ilk bilgisayarın arkasında VLAN10 etiketi ile bir çerçeve oluşturup bunu anahtara gönderen bir saldırgan olduğunu düşünelim. VLAN'ın nasıl çalıştığını hatırlarsanız, etiketli trafiğin anahtara ulaşması durumunda çerçeveyle hiçbir şey yapmadığını, sadece ana hat boyunca daha ileriye ilettiğini bilirsiniz. Sonuç olarak, ikinci anahtar trafiği birinci anahtar tarafından değil, saldırgan tarafından oluşturulan bir etiketle alacaktır.
Bu, Yerel VLAN'ı VLAN1 dışında bir şeyle değiştirdiğiniz anlamına gelir.
İkinci anahtar, VLAN10 etiketini kimin oluşturduğunu bilmediğinden, sadece trafiği ikinci bilgisayara gönderir. Bir saldırgan, başlangıçta erişemediği bir ağa girdiğinde, bir VLAN Atlama saldırısı bu şekilde gerçekleşir.
Bu tür saldırıları önlemek için Rastgele VLAN'lar veya bir saldırgan tarafından hiçbir şekilde kullanılamayan VLAN999, VLAN666, VLAN777 vb. rastgele VLAN'lar oluşturmanız gerekir. Aynı zamanda switchlerin trunk portlarına gidip örneğin Native VLAN666 ile çalışacak şekilde yapılandırıyoruz. Bu durumda, trunk portları için Native VLAN'ı VLAN1'den VLAN66'ya değiştiriyoruz, yani Native VLAN olarak VLAN1 dışında herhangi bir ağı kullanıyoruz.
Trunk'ın her iki tarafındaki portlar aynı VLAN'a yapılandırılmalıdır, aksi takdirde bir VLAN numarası uyuşmazlığı hatası alırız.
Böyle bir ayardan sonra, bir bilgisayar korsanı bir VLAN Atlamalı saldırı gerçekleştirmeye karar verirse, bunu başaramaz çünkü yerel VLAN1, anahtarların herhangi bir ana hat bağlantı noktasına atanmamıştır. Bu, varsayılan olmayan yerel VLAN'lar oluşturarak saldırılara karşı koruma yöntemidir.
Bizimle kaldığın için teşekkürler. Yazılarımızı beğeniyor musunuz? Daha ilginç içerik görmek ister misiniz? Sipariş vererek veya arkadaşlarınıza tavsiye ederek bize destek olun, Habr kullanıcıları için, bizim tarafımızdan sizin için icat ettiğimiz benzersiz bir giriş seviyesi sunucu analogunda %30 indirim:
Dell R730xd 2 kat daha mı ucuz? Sadece burada
Kaynak: habr.com