آج ہم دو اہم موضوعات کو دیکھیں گے: DHCP اسنوپنگ اور "نان ڈیفالٹ" مقامی VLANs۔ سبق پر جانے سے پہلے، میں آپ کو ہمارے دوسرے یوٹیوب چینل پر جانے کی دعوت دیتا ہوں جہاں آپ اپنی یادداشت کو بہتر بنانے کے بارے میں ایک ویڈیو دیکھ سکتے ہیں۔ میں تجویز کرتا ہوں کہ آپ اس چینل کو سبسکرائب کریں، کیونکہ ہم وہاں خود کو بہتر بنانے کے لیے بہت سے مفید مشورے پوسٹ کرتے ہیں۔
یہ سبق ICND1.7 موضوع کے ذیلی حصے 1.7b اور 2c کے مطالعہ کے لیے وقف ہے۔ اس سے پہلے کہ ہم DHCP Snooping کے ساتھ شروع کریں، آئیے پچھلے اسباق کے کچھ نکات یاد رکھیں۔ اگر میں غلط نہیں ہوں تو، ہم نے دن 6 اور دن 24 میں DHCP کے بارے میں سیکھا۔ وہاں DHCP سرور کی طرف سے IP ایڈریس کی تفویض اور متعلقہ پیغامات کے تبادلے کے حوالے سے اہم امور پر تبادلہ خیال کیا گیا۔
عام طور پر، جب ایک اینڈ یوزر کسی نیٹ ورک پر لاگ ان ہوتا ہے، تو یہ نیٹ ورک کو براڈکاسٹ کی درخواست بھیجتا ہے جسے تمام نیٹ ورک ڈیوائسز کے ذریعے "سنا" جاتا ہے۔ اگر یہ براہ راست DHCP سرور سے منسلک ہے، تو درخواست براہ راست سرور پر جاتی ہے۔ اگر نیٹ ورک پر ٹرانسمیشن ڈیوائسز ہیں - روٹرز اور سوئچز - تو سرور کو درخواست ان کے ذریعے جاتی ہے۔ درخواست موصول ہونے کے بعد، DHCP سرور صارف کو جواب دیتا ہے، جو اسے IP ایڈریس حاصل کرنے کی درخواست بھیجتا ہے، جس کے بعد سرور صارف کے آلے پر ایسا ایڈریس جاری کرتا ہے۔ عام حالات میں آئی پی ایڈریس حاصل کرنے کا عمل اس طرح ہوتا ہے۔ خاکہ میں دی گئی مثال کے مطابق، آخری صارف کو پتہ 192.168.10.10 اور گیٹ وے کا پتہ 192.168.10.1 ملے گا۔ اس کے بعد صارف اس گیٹ وے کے ذریعے انٹرنیٹ تک رسائی حاصل کر سکے گا یا دوسرے نیٹ ورک ڈیوائسز سے رابطہ کر سکے گا۔
فرض کریں کہ اصلی DHCP سرور کے علاوہ نیٹ ورک پر ایک فراڈ DHCP سرور موجود ہے، یعنی حملہ آور صرف اپنے کمپیوٹر پر DHCP سرور انسٹال کرتا ہے۔ اس صورت میں، صارف، نیٹ ورک میں داخل ہونے کے بعد، ایک براڈکاسٹ میسج بھی بھیجتا ہے، جسے روٹر اور سوئچ اصلی سرور پر بھیج دیتے ہیں۔
تاہم، بدمعاش سرور نیٹ ورک کو بھی "سنتا ہے"، اور براڈکاسٹ پیغام موصول ہونے کے بعد، صارف کو حقیقی DHCP سرور کی بجائے اپنی پیشکش کے ساتھ جواب دے گا۔ اسے موصول ہونے کے بعد، صارف اپنی رضامندی دے گا، جس کے نتیجے میں اسے حملہ آور سے ایک IP ایڈریس 192.168.10.2 اور گیٹ وے ایڈریس 192.168.10.95 ملے گا۔
آئی پی ایڈریس حاصل کرنے کے عمل کو مختصراً DORA کہا جاتا ہے اور یہ 4 مراحل پر مشتمل ہے: دریافت، پیشکش، درخواست اور اعتراف۔ جیسا کہ آپ دیکھ سکتے ہیں، حملہ آور ڈیوائس کو ایک قانونی IP ایڈریس دے گا جو نیٹ ورک ایڈریس کی دستیاب رینج میں ہے، لیکن اصلی گیٹ وے ایڈریس 192.168.10.1 کے بجائے، وہ اسے جعلی ایڈریس 192.168.10.95 کے ساتھ "سلپ" کر دے گا، یعنی اس کے اپنے کمپیوٹر کا پتہ۔
اس کے بعد، تمام اینڈ یوزر ٹریفک جو انٹرنیٹ پر بھیجی جاتی ہے حملہ آور کے کمپیوٹر سے گزر جائے گی۔ حملہ آور اسے مزید ری ڈائریکٹ کرے گا، اور صارف مواصلات کے اس طریقے سے کوئی فرق محسوس نہیں کرے گا، کیونکہ وہ اب بھی انٹرنیٹ تک رسائی حاصل کر سکے گا۔
اسی طرح انٹرنیٹ سے واپسی ٹریفک حملہ آور کے کمپیوٹر کے ذریعے صارف تک پہنچ جائے گی۔ اسے عام طور پر مین ان دی مڈل (MiM) حملہ کہا جاتا ہے۔ تمام صارف ٹریفک ہیکر کے کمپیوٹر سے گزرے گا، جو اس کے بھیجے یا موصول ہونے والی ہر چیز کو پڑھ سکے گا۔ یہ ایک قسم کا حملہ ہے جو DHCP نیٹ ورکس پر ہو سکتا ہے۔
دوسری قسم کے حملے کو ڈینیئل آف سروس (DoS) یا "سروس سے انکار" کہا جاتا ہے۔ کیا ہوتا ہے؟ ہیکر کا کمپیوٹر اب ڈی ایچ سی پی سرور کے طور پر کام نہیں کرتا، اب یہ صرف ایک حملہ آور آلہ ہے۔ یہ اصلی DHCP سرور کو ایک دریافت کی درخواست بھیجتا ہے اور جواب میں ایک پیشکش کا پیغام وصول کرتا ہے، پھر سرور کو ایک درخواست بھیجتا ہے اور اس سے ایک IP پتہ وصول کرتا ہے۔ حملہ آور کا کمپیوٹر یہ ہر چند ملی سیکنڈ بعد کرتا ہے، ہر بار نیا IP ایڈریس موصول ہوتا ہے۔
ترتیبات پر منحصر ہے، ایک حقیقی DHCP سرور میں سیکڑوں یا کئی سو خالی IP پتوں کا ایک تالاب ہوتا ہے۔ ہیکر کے کمپیوٹر کو آئی پی ایڈریس .1، .2، .3 وغیرہ موصول ہوں گے جب تک کہ پتوں کا پول مکمل طور پر ختم نہیں ہو جاتا۔ اس کے بعد، DHCP سرور نیٹ ورک پر نئے کلائنٹس کو IP ایڈریس فراہم نہیں کر سکے گا۔ اگر کوئی نیا صارف نیٹ ورک میں داخل ہوتا ہے، تو وہ مفت IP ایڈریس حاصل نہیں کر سکے گا۔ یہ DHCP سرور پر DoS حملے کا نقطہ ہے: اسے نئے صارفین کو IP ایڈریس جاری کرنے سے روکنے کے لیے۔
اس طرح کے حملوں کا مقابلہ کرنے کے لیے، DHCP Snooping کا تصور استعمال کیا جاتا ہے۔ یہ ایک OSI لیئر XNUMX فنکشن ہے جو ACL کی طرح کام کرتا ہے اور صرف سوئچ پر کام کرتا ہے۔ DHCP اسنوپنگ کو سمجھنے کے لیے، آپ کو دو تصورات پر غور کرنے کی ضرورت ہے: ٹرسٹڈ سوئچ کی ٹرسٹڈ پورٹس اور دوسرے نیٹ ورک ڈیوائسز کے لیے ناقابل اعتماد Untrusted پورٹ۔
قابل اعتماد بندرگاہیں کسی بھی قسم کے DHCP پیغام کو گزرنے کی اجازت دیتی ہیں۔ غیر بھروسہ مند بندرگاہیں وہ بندرگاہیں ہیں جن سے کلائنٹ جڑے ہوئے ہیں، اور DHCP Snooping اسے بناتا ہے تاکہ ان بندرگاہوں سے آنے والے DHCP پیغامات کو مسترد کر دیا جائے۔
اگر ہم DORA کے عمل کو یاد کرتے ہیں تو، پیغام D کلائنٹ سے سرور پر آتا ہے، اور پیغام O سرور سے کلائنٹ کو آتا ہے۔ اگلا، کلائنٹ سے سرور کو ایک پیغام R بھیجا جاتا ہے، اور سرور کلائنٹ کو A پیغام بھیجتا ہے۔
غیر محفوظ بندرگاہوں سے پیغامات D اور R قبول کیے جاتے ہیں، اور O اور A جیسے پیغامات کو رد کر دیا جاتا ہے۔ جب DHCP Snooping فنکشن فعال ہوتا ہے، تمام سوئچ پورٹس کو بطور ڈیفالٹ غیر محفوظ تصور کیا جاتا ہے۔ اس فنکشن کو مجموعی طور پر سوئچ کے لیے اور انفرادی VLANs دونوں کے لیے استعمال کیا جا سکتا ہے۔ مثال کے طور پر، اگر VLAN10 کسی بندرگاہ سے منسلک ہے، تو آپ اس خصوصیت کو صرف VLAN10 کے لیے فعال کر سکتے ہیں، اور پھر اس کی بندرگاہ ناقابل اعتماد ہو جائے گی۔
جب آپ DHCP Snooping کو فعال کرتے ہیں، تو آپ کو، ایک سسٹم ایڈمنسٹریٹر کے طور پر، سوئچ کی ترتیبات میں جانا پڑے گا اور بندرگاہوں کو اس طرح ترتیب دینا پڑے گا کہ صرف وہی بندرگاہیں جن سے سرور سے ملتی جلتی ڈیوائسز منسلک ہیں، ناقابل اعتماد تصور کی جائیں۔ اس کا مطلب ہے کسی بھی قسم کا سرور، نہ صرف DHCP۔
مثال کے طور پر، اگر کوئی دوسرا سوئچ، راؤٹر یا حقیقی DHCP سرور کسی پورٹ سے منسلک ہے، تو اس پورٹ کو قابل اعتماد کے طور پر کنفیگر کیا جاتا ہے۔ بقیہ سوئچ پورٹس جن سے اینڈ یوزر ڈیوائسز یا وائرلیس رسائی پوائنٹس جڑے ہوئے ہیں انہیں غیر محفوظ کے طور پر کنفیگر کیا جانا چاہیے۔ لہٰذا، کوئی بھی ڈیوائس جیسے کہ ایک رسائی پوائنٹ جس سے صارفین جڑے ہوئے ہیں غیر بھروسہ مند پورٹ کے ذریعے سوئچ سے جڑ جاتا ہے۔
اگر حملہ آور کا کمپیوٹر سوئچ پر O اور A قسم کے پیغامات بھیجتا ہے، تو وہ بلاک ہو جائیں گے، یعنی ایسی ٹریفک ناقابل اعتماد پورٹ سے نہیں گزر سکے گی۔ اس طرح DHCP Snooping اوپر زیر بحث حملوں کی اقسام کو روکتا ہے۔
مزید برآں، DHCP Snooping DHCP بائنڈنگ ٹیبلز بناتا ہے۔ کلائنٹ کو سرور سے آئی پی ایڈریس موصول ہونے کے بعد، یہ پتہ، اس ڈیوائس کے میک ایڈریس کے ساتھ جس نے اسے موصول کیا ہے، DHCP اسنوپنگ ٹیبل میں درج کیا جائے گا۔ یہ دونوں خصوصیات اس غیر محفوظ بندرگاہ سے وابستہ ہوں گی جس سے کلائنٹ جڑا ہوا ہے۔
یہ مثال کے طور پر، DoS حملے کو روکنے میں مدد کرتا ہے۔ اگر ایک دیئے گئے MAC ایڈریس کے ساتھ ایک کلائنٹ پہلے ہی ایک IP ایڈریس حاصل کر چکا ہے، تو پھر اسے ایک نئے IP ایڈریس کی ضرورت کیوں ہے؟ اس صورت میں، اس طرح کی سرگرمی کی کسی بھی کوشش کو ٹیبل میں اندراج کی جانچ پڑتال کے بعد فوری طور پر روک دیا جائے گا۔
اگلی چیز جس پر ہمیں بحث کرنے کی ضرورت ہے وہ ہے Nondefault، یا "نان ڈیفالٹ" مقامی VLANs۔ ہم نے بار بار VLANs کے موضوع کو چھوا ہے، ان نیٹ ورکس کے لیے 4 ویڈیو اسباق وقف کر دیے ہیں۔ اگر آپ بھول گئے ہیں کہ یہ کیا ہے، تو میں آپ کو مشورہ دیتا ہوں کہ ان اسباق کا جائزہ لیں۔
ہم جانتے ہیں کہ سسکو سوئچز میں ڈیفالٹ Native VLAN VLAN1 ہے۔ VLAN Hopping نامی حملے ہوتے ہیں۔ آئیے فرض کریں کہ ڈایاگرام میں موجود کمپیوٹر پہلے سے طے شدہ نیٹ ورک VLAN1 کے ذریعے پہلے سوئچ سے منسلک ہے، اور آخری سوئچ VLAN10 نیٹ ورک کے ذریعے کمپیوٹر سے منسلک ہے۔ سوئچ کے درمیان ایک ٹرنک قائم کیا جاتا ہے.
عام طور پر، جب پہلے کمپیوٹر سے ٹریفک سوئچ پر آتی ہے، تو اسے معلوم ہوتا ہے کہ جس پورٹ سے یہ کمپیوٹر منسلک ہے وہ VLAN1 کا حصہ ہے۔ اس کے بعد، یہ ٹریفک دو سوئچز کے درمیان ٹرنک تک جاتی ہے، اور پہلا سوئچ اس طرح سوچتا ہے: "یہ ٹریفک مقامی VLAN سے آیا ہے، اس لیے مجھے اسے ٹیگ کرنے کی ضرورت نہیں ہے،" اور بغیر ٹیگ شدہ ٹریفک کو ٹرنک کے ساتھ آگے بڑھاتا ہے، جو دوسرے سوئچ پر آتا ہے۔
سوئچ 2، بغیر ٹیگ شدہ ٹریفک موصول ہونے کے بعد، اس طرح سوچتا ہے: "چونکہ یہ ٹریفک غیر ٹیگ ہے، اس کا مطلب ہے کہ یہ VLAN1 سے تعلق رکھتا ہے، اس لیے میں اسے VLAN10 پر نہیں بھیج سکتا۔" نتیجے کے طور پر، پہلے کمپیوٹر کے ذریعے بھیجی جانے والی ٹریفک دوسرے کمپیوٹر تک نہیں پہنچ سکتی۔
حقیقت میں، ایسا ہی ہونا چاہیے - VLAN1 ٹریفک کو VLAN10 میں داخل نہیں ہونا چاہیے۔ اب تصور کریں کہ پہلے کمپیوٹر کے پیچھے ایک حملہ آور ہے جو VLAN10 ٹیگ کے ساتھ ایک فریم بناتا ہے اور اسے سوئچ پر بھیجتا ہے۔ اگر آپ کو یاد ہے کہ VLAN کیسے کام کرتا ہے، تو آپ جانتے ہیں کہ اگر ٹیگ شدہ ٹریفک سوئچ تک پہنچ جاتی ہے، تو یہ فریم کے ساتھ کچھ نہیں کرتا، بلکہ اسے ٹرنک کے ساتھ مزید منتقل کرتا ہے۔ نتیجے کے طور پر، دوسرا سوئچ ایک ٹیگ کے ساتھ ٹریفک حاصل کرے گا جو حملہ آور نے بنایا تھا، نہ کہ پہلے سوئچ کے ذریعے۔
اس کا مطلب ہے کہ آپ Native VLAN کو VLAN1 کے علاوہ کسی اور چیز سے بدل رہے ہیں۔
چونکہ دوسرا سوئچ نہیں جانتا کہ VLAN10 ٹیگ کس نے بنایا ہے، یہ صرف ٹریفک کو دوسرے کمپیوٹر پر بھیجتا ہے۔ VLAN Hopping حملہ اس طرح ہوتا ہے، جب ایک حملہ آور ایک ایسے نیٹ ورک میں گھس جاتا ہے جو ابتدا میں اس کے لیے ناقابل رسائی تھا۔
اس طرح کے حملوں کو روکنے کے لیے، آپ کو رینڈم VLAN، یا بے ترتیب VLANs بنانے کی ضرورت ہے، مثال کے طور پر VLAN999، VLAN666، VLAN777، وغیرہ، جنہیں حملہ آور بالکل بھی استعمال نہیں کر سکتا۔ اسی وقت، ہم سوئچ کے ٹرنک پورٹس پر جاتے ہیں اور انہیں کام کرنے کے لیے ترتیب دیتے ہیں، مثال کے طور پر، Native VLAN666 کے ساتھ۔ اس صورت میں، ہم ٹرنک پورٹس کے لیے Native VLAN کو VLAN1 سے VLAN66 میں تبدیل کرتے ہیں، یعنی ہم VLAN1 کے علاوہ کسی بھی نیٹ ورک کو Native VLAN کے طور پر استعمال کرتے ہیں۔
ٹرنک کے دونوں اطراف کی بندرگاہوں کو ایک ہی VLAN میں کنفیگر کیا جانا چاہیے، بصورت دیگر ہمیں VLAN نمبر کی مماثلت کی غلطی موصول ہوگی۔
اس سیٹ اپ کے بعد، اگر کوئی ہیکر VLAN Hopping حملہ کرنے کا فیصلہ کرتا ہے، تو وہ کامیاب نہیں ہو گا، کیونکہ مقامی VLAN1 سوئچ کے کسی بھی ٹرنک پورٹس کو تفویض نہیں کیا گیا ہے۔ یہ غیر طے شدہ مقامی VLANs بنا کر حملوں سے حفاظت کا طریقہ ہے۔
ہمارے ساتھ رہنے کے لیے آپ کا شکریہ۔ کیا آپ کو ہمارے مضامین پسند ہیں؟ مزید دلچسپ مواد دیکھنا چاہتے ہیں؟ آرڈر دے کر یا دوستوں کو مشورہ دے کر ہمارا ساتھ دیں، انٹری لیول سرورز کے انوکھے اینالاگ پر Habr کے صارفین کے لیے 30% رعایت، جو ہم نے آپ کے لیے ایجاد کیا تھا:
ڈیل R730xd 2 گنا سستا؟ صرف یہاں
ماخذ: www.habr.com