Сьогодні ми розглянемо дві важливі теми: DHCP Snooping та «недефолтні» Native VLAN. Перед тим, як перейти до уроку, запрошую вас відвідати інший канал YouTube, де ви зможете переглянути відео про те, як покращити свою пам'ять. Рекомендую вам підписатися на цей канал, тому що там ми розміщуємо безліч корисних порад для самовдосконалення.
Цей урок присвячений вивченню підрозділів 1.7b та 1.7с тематики ICND2. Перед тим, як приступити до DHCP Snooping, згадаймо деякі моменти з попередніх уроків. Якщо я не помиляюся, ми вивчали DHCP на уроках «День 6» та «День 24». Там обговорювалися важливі питання щодо призначення IP-адрес DHCP-сервером та обміну відповідними повідомленнями.
Зазвичай, коли кінцевий користувач End User входить у мережу, він надсилає до мережі широкомовний запит, який «чують» усі мережні пристрої. Якщо він безпосередньо з'єднаний з DHCP-сервером, запит надходить безпосередньо на сервер. Якщо ж у мережі є передавальні пристрої – роутери та свитчі – запит серверу проходить через них. Отримавши запит, DHCP-сервер відповідає користувачу, той надсилає йому запит на отримання IP-адреси, після чого сервер видає таку адресу пристрою користувача. Саме так відбувається процес отримання IP-адреси у нормальних умовах. Згідно з прикладом на схемі, End User отримає адресу 192.168.10.10 та адресу шлюзу 192.168.10.1. Після цього користувач зможе виходити через цей шлюз в інтернет або зв'язуватися з іншими мережевими пристроями.
Припустимо, що крім справжнього DHCP-сервера в мережі є шахрайський DHCP-сервер, тобто зловмисник просто встановлює DHCP-сервер на своєму комп'ютері. У цьому випадку користувач, увійшовши в мережу, також відсилає широкомовне повідомлення, яке роутер і свитч перешлють справжньому серверу.
Однак шахрайський сервер також «слухає» мережу, і, отримавши broadcast-повідомлення, відповість користувачеві замість цього DHCP-сервера своєю пропозицією. Отримавши його, користувач дасть свою згоду, внаслідок чого отримає IP-адресу від зловмисника 192.168.10.2 та адресу шлюзу 192.168.10.95.
Процес отримання IP-адреси скорочено називається DORA і складається з 4-х етапів: Discovery, Offer, Request та Acknowledgement. Як бачимо, зловмисник видасть пристрою легальну IP-адресу, яка знаходиться в доступному діапазоні мережевих адрес, проте замість справжньої адреси шлюзу 192.168.10.1 «підсуне» йому фальшиву адресу 192.168.10.95, тобто адресу власного комп'ютера.
Після цього весь трафік кінцевого користувача, спрямований в інтернет, проходитиме через комп'ютер зловмисника. Зловмисник перенаправлятиме його далі, і користувач не відчує жодної різниці за такого способу зв'язку, оскільки все одно зможе виходити в інтернет.
Так само зворотній трафік з інтернету надходитиме користувачеві через комп'ютер зловмисника. Це те, що прийнято називати атакою Man in the Middle (MiM) - "людина посередині". Весь трафік користувача проходитиме через комп'ютер хакера, який зможе читати все, що той надсилає або отримує. Це один тип атаки, яка може мати місце у DHCP-мережах.
Другий тип атаки називається Denial of Service (DoS), або «відмова у служінні». Що при цьому відбувається? Комп'ютер хакера вже не виступає в ролі DHCP-сервера, тепер він просто атакуючий пристрій. Він посилає справжньому DHCP-серверу Discovery-запит і отримує у відповідь повідомлення Offer, потім відсилає серверу Request і отримує від нього IP-адресу. Комп'ютер атакуючого робить це кожні кілька мілісекунд, щоразу отримуючи нову IP-адресу.
Залежно від налаштувань, цей DHCP-сервер має пул із сотні або кількох сотень вакантних IP-адрес. Комп'ютер хакера отримають IP-адреси .1, .2, .3 і так, поки пул адрес не буде повністю вичерпаний. Після цього DHCP-сервер не зможе постачати IP-адреси нових клієнтів мережі. Якщо новий користувач увійде до мережі, то він не зможе отримати вільну IP-адресу. Ось у чому полягає сенс DoS-атаки на DHCP-сервер: позбавити його можливості видавати IP-адреси новим користувачам.
Для протистояння таким атакам використовується концепція DHCP Snooping. Це функція другого рівня OSI, що діє на зразок ACL і працює тільки на свитках. Для розуміння DHCP Snooping потрібно розглянути два поняття: довірені порти свитча Trusted та ненадійні порти Untrusted для інших мережних пристроїв.
Довірені порти пропускають будь-який тип DHCP-повідомлень. Ненадійні порти – це порти, до яких підключені клієнти, і DHCP Snooping робить так, що будь-які DHCP-повідомлення, що надходять із цих портів, будуть відкидатися.
Якщо згадати DORA-процес, то повідомлення D надходить від клієнта до сервера, а повідомлення – від сервера до клієнта. Далі від клієнта до сервера надсилається повідомлення R, а сервер надсилає клієнту повідомлення А.
Повідомлення D та R від небезпечних портів приймаються, а повідомлення типу O та А відкидаються. При включенні функції DHCP Snooping усі стандартні порти вважаються небезпечними. Цю функцію можна використовувати як загалом для свитча, так окремих VLAN. Наприклад, якщо до порту підключено VLAN10, можна увімкнути цю функцію лише для VLAN10, і тоді її порт стане ненадійним.
Вам, як системному адміністратору, при включенні DHCP Snooping доведеться зайти в налаштування світчу та налаштувати порти таким чином, щоб ненадійними вважалися тільки порти, до яких підключені пристрої, подібні до сервера. Мається на увазі будь-який тип сервера, а не лише DHCP.
Наприклад, якщо до порту приєднано інший свитч, роутер або справжній DHCP-сервер, цей порт налаштовується як довірений. Інші порти освітлення, до яких підключені пристрої кінцевих користувачів або бездротові точки доступу, повинні бути налаштовані як небезпечні. Тому будь-який пристрій типу точки доступу, до якого приєднуються користувачі, підключається до освітлення через untrusted-порт.
Якщо комп'ютер атакуючого надішле свічку повідомлення типу O і А, вони будуть заблоковані, тобто такий трафік не зможе пройти через ненадійний порт. Ось так DHCP Snooping запобігає розглянутим вище типам атак.
Крім того, DHCP Snooping створює таблиці прив'язки DHCP. Після того, як клієнт отримає від сервера IP-адресу, цю адресу разом з MAC-адресою пристрою, що отримав його, будуть занесені в таблицю DHCP Snooping. До цих двох характеристик прив'язаний небезпечний порт, до якого приєднаний клієнт.
Це допомагає, наприклад, запобігти DoS-атаці. Якщо клієнт з даною MAC-адресою вже отримав IP-адресу, то навіщо їй вимагати нову IP-адресу? У такому разі будь-яка спроба такої активності буде запобігти відразу після перевірки запису в таблиці.
Наступне, що ми повинні обговорити – це Nondefault, або недефолтні Native VLAN. Ми неодноразово торкалися теми VLAN, присвятивши цим мережам 4 відеоуроки. Якщо ви забули, що таке, раджу переглянути ці уроки.
Ми знаємо, що у свитчах Cisco за промовчанням Native VLAN – це VLAN1. Існують атаки, які називають VLAN Hopping. Припустимо, що комп'ютер на схемі з'єднаний з першим світильником дефолтної native-мережею VLAN1, а останній світильник з'єднаний з комп'ютером мережею VLAN10. Між свитчами організовано транк.
Зазвичай, коли трафік з першого комп'ютера надходить до світчу, той знає, що порт, до якого підключений комп'ютер, є частиною VLAN1. Далі цей трафік надходить до транку між двома свитчами, при цьому перший свитч думає так: "цей трафік надійшов з Native VLAN, тому мені не потрібно постачати його тегом", і пересилає по транку нетегований трафік, який надходить на другий свитч.
Світч 2, отримавши нетегований трафік, думає так: «якщо цей трафік без тега, значить, він належить мережі VLAN1, тому я не можу надіслати його по мережі VLAN10». В результаті надісланий першим комп'ютером трафік не може досягти другого комп'ютера.
Насправді так і має відбуватися – трафік VLAN1 не повинен потрапити до мережі VLAN10. Тепер давайте уявимо, що за першим комп'ютером знаходиться атакуючий, який створює кадр з тегом VLAN10 і відсилає його свічку. Якщо ви пам'ятаєте, як працює VLAN, то знаєте – якщо тегований трафік сягає світаку, той нічого не робить з кадром, а просто передає його далі по транку. В результаті другий свитч отримає трафік з тегом, створеним атакуючим, а не першим свитчем.
Це означає, що ви замінюєте Native VLAN на щось відмінне від VLAN1.
Оскільки другий свитч не знає, ким був створений тег VLAN10, він просто відсилає трафік другому комп'ютеру. Ось так відбувається атака типу VLAN Hopping, коли зловмисник проникає в мережу, яка спочатку була для нього недоступна.
Для запобігання подібним атакам потрібно створювати Random VLAN, або випадкові VLAN, наприклад VLAN999, VLAN666, VLAN777 і т.д., які взагалі не зможуть використовуватися зловмисником. При цьому ми переходимо до транк-портів свитчів і налаштовуємо їх на роботу, наприклад, з Native VLAN666. У цьому випадку ми змінюємо Native VLAN для транк-портів з VLAN1 на VLAN66, тобто використовуємо як Native VLAN будь-яку мережу, відмінну від VLAN1.
Порти з обох боків транка потрібно налаштувати на ту саму VLAN, інакше ми отримаємо помилку розбіжності номерів VLAN.
Після такого налаштування, якщо хакер вирішить здійснити атаку VLAN Hopping, у нього нічого не вийде, тому що native VLAN1 не приписана до жодного з транк-портів свитчів. Ось у чому полягає метод захисту від атак шляхом створення недефолтної native VLAN.
Дякую, що залишаєтеся з нами. Вам подобаються наші статті? Бажаєте бачити більше цікавих матеріалів? Підтримайте нас, оформивши замовлення або порекомендувавши знайомим, 30% знижка для користувачів Хабра на унікальний аналог entry-level серверів, який був винайдений нами для Вас: (Доступні варіанти з RAID1 і RAID10, до 24 ядер і до 40GB DDR4).
Dell R730xd у 2 рази дешевше? Тільки в нас у Нідерландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – від $99! Читайте про те
Джерело: habr.com