DHCP Snooping: Больше безопасности для вашей сети

Протокол динамической конфигурации хоста (DHCP) упрощает конфигурирование сетей. Сегодня, вместо того чтобы индивидуально настраивать каждого клиента, каждый ПК, каждый смартфон и каждое устройство, совместимое с сетью, мы чаще всего используем DHCP. Отдельные пользователи сети получают свои IP-адреса, маски подсети и другую информацию через сервер. Это не только упрощает работу с большими сетями, но и минимизирует источники ошибок. Поскольку процесс присвоения адресов динамический, невозможно, чтобы двум устройствам был присвоен один и тот же IP-адрес. Это также уменьшает необходимое адресное пространство. Если устройство покидает сеть, IP-адрес может быть автоматически переутвержден для нового пользователя сети.

В то же время, однако, такое упрощение создает ворота для преступников. Когда вы полагаетесь на то, что кто-то другой сделает за вас всю работу, вы передаете часть своего контроля. В результате в фоновом режиме могут происходить события, о которых вы никогда не узнаете. Это может произойти и с DHCP, однако решение есть: Мошенническому использованию DHCP можно противостоять с помощью так называемого «DHCP snooping». Как работает эта технология безопасности?

Для чего используется DHCP snooping?

При использовании DHCP сервер гарантирует, что отдельные клиенты получат свои конфигурации. Для этого клиент должен сначала отправить запрос в сеть посредством широковещательной рассылки. При этом пользователь сети хочет определить, какие серверы DHCP доступны и могут ответить. Все доступные серверы DHCP отвечают на этот запрос. Если в сети есть несколько активных серверов, клиент выбирает тот, чей ответ дошел до него первым. С помощью этого DHCP-сервера клиент получает назначение адреса. Именно здесь мы обычно сталкиваемся со слабым местом системы, где она становится доступной для злоумышленников.

В сеть можно внедрить другие серверы (так называемые неавторизованные DHCP-серверы). Если одному из них удается первым достичь клиента с ответом, пользователь сети получает информацию о конфигурации через вредоносный сервер. Затем неавторизованный DHCP-сервер отправляет ошибочные или манипулированные данные. В результате клиент неправильно настраивается в сети. Это дает возможность направить клиента на неверный шлюз — так называемая подмена DHCP. Преступники могут записывать передачу данных через шлюз, чтобы получить конфиденциальную информацию. Это также называется атакой «человек посередине». Назначение неверных адресов, напротив, может привести к атаке типа «отказ в обслуживании», в результате чего вся сеть будет парализована. DHCP snooping предотвращает установление контакта между злонамеренными серверами.

Факт

В большинстве домашних сетей, независимо от того, являются ли они LAN или WLAN, функцию DHCP-сервера берет на себя маршрутизатор. Однако это мало меняет опасность, связанную с подменой DHCP. Причина в том, что каждое устройство теоретически может стать сервером DHCP. Например, злоумышленники могут незаконно подключить ноутбук к WLAN и использовать его для управления присвоением адресов.

Однако DHCP snooping защищает не только от преступных схем, но и от источников ошибок, которые возникают из-за безответственного использования дополнительных маршрутизаторов. Если в уже существующую сеть устанавливается новый маршрутизатор, он может запутать DHCP. Новый маршрутизатор назначает адреса, которые на самом деле не должны быть назначены. Это может привести к ошибкам подключения. Особенно в контексте деловой активности это может вызвать проблемы, когда сотрудники добавляют в сеть свои собственные устройства, не информируя об этом сетевого администратора.

Что такое DHCP Snooping?

DHCP snooping — это функция безопасности второго уровня в соответствии с моделью OSI. Эта функция устанавливается в коммутаторе, который соединяет клиентов с серверами DHCP. Проще говоря, это протокол, который сначала проверяет всю информацию DHCP, проходящую через коммутатор. Только одобренные пакеты с доверенных серверов пропускаются к клиентам.

Факт

Cisco была первым производителем, который использовал DHCP snooping в своих устройствах. Компания также была соавтором RFC 7513, в котором изложена концепция. Тем временем, однако, многие производители сетевой периферии последовали этому примеру и предлагают функцию безопасности (в некоторых случаях под другим названием) в своих устройствах.

Таким образом, неавторизованный сервер DHCP — поскольку он отслеживает широковещательную рассылку — может получить пакет DHCPDISCOVER (запрос клиента к серверу DHCP) и затем отправить пакет DHCPOFFER (ответ на запрос). Однако этот пакет не дойдет до клиента. DHCP snooping коммутатора обнаруживает, что пакет был отправлен недоверенным сервером (точнее, содержит ложную информацию), и блокирует его пересылку.

Доверенные порты

Для того чтобы убедиться, что только нужные серверы могут вмешиваться в процесс назначения информации о конфигурации, DHCP snooping опирается на несколько шагов. Во-первых, вы устанавливаете безопасный порт для вашего сервера или серверов. Любые устройства, пытающиеся подключиться к сети через другой порт, считаются небезопасными. Это относится ко всем клиентам. Это означает, что хост, на котором работает сервер DHCP, не авторизованный администратором, считается небезопасным. Если через порт приходит пакет DHCP, который может быть отправлен только одним сервером (DHCPOFFER, DHCPACK, DHCPMAK), коммутатор блокирует его пересылку. Ни один клиент не получит информацию.

База данных привязки DHCP snooping

Злоумышленник также может попытаться нарушить работу сети, выдавая себя за одного из существующих клиентов и под этим именем отклоняя предложения от сервера DHCP. Именно поэтому DHCP snooping использует базу данных, которую система создает и обновляет самостоятельно. Протокол считывает всю информацию DHCP (но не фактические данные после успешного соединения) и извлекает детали для базы данных DHCP Snooping Binding Database.

Система включает в базу данных все хосты, работающие на недоверенном порту. Собранная информация включает MAC-адрес, назначенный IP-адрес, используемый коммутационный порт, логическую подсеть (VLAN) и продолжительность времени аренды. Таким образом, DHCP snooping может гарантировать, что только оригинальные клиенты, участвовавшие в коммуникации, могут посылать команды серверу, так как только в этих случаях MAC-адрес и порт коммутатора соответствуют информации, хранящейся в базе данных.

Факт

Другие меры безопасности также имеют доступ к базе данных привязок DHCP Snooping, например, ARP Inspection или IP Source Guard.

Журналы

Кроме того, многие устройства могут генерировать отчет о механизмах защиты в рамках DHCP snooping. Журналы могут быть направлены и впоследствии проанализированы. В документации к процессу различают две ошибки: с одной стороны, несоответствие между текущим MAC-адресом и информацией, хранящейся в базе данных, а с другой — пакеты сервера, отправленные через недоверенный порт.

Первый тип сообщений об ошибках чаще всего вызван плохо реализованными сетевыми аспектами в клиентском устройстве, поэтому обычно не вызывает беспокойства. Второй тип сообщения об ошибке, однако, относится к преступным намерениям. Это означает, что кто-то намеренно попытался проникнуть в сеть с помощью неавторизованного DHCP-сервера. Поскольку DHCP snooping регистрирует все, вы можете начать целенаправленное расследование таких инцидентов.

Совет

Серверы DHCP могут прокрасться в сеть без вашего ведома. Эти так называемые ложные DHCP-серверы могут быть обнаружены с помощью dud в виде пакета DHCPDISCOVER. Вредоносный сервер отвечает на запрос, раскрывая себя.

Опция 82

Вы получаете еще больше безопасности благодаря активации опции 82, также известной как информация об агенте ретрансляции DHCP. С ее помощью коммутатор активно обеспечивает связь между клиентом и сервером. Такой ход действий целесообразен, если клиенты и серверы расположены не в одной подсети. Когда клиент отправляет запрос на DHCP-сервер, коммутатор добавляет дополнительную информацию в заголовок запроса. Последняя позволяет серверу определить местоположение коммутатора, а вместе с ним и местоположение клиента.

Сервер DHCP сортирует дополнительную информацию и назначает IP-адреса в зависимости от информации о местоположении. Сервер отправляет ответный пакет обратно клиенту через коммутатор. Если он достигает коммутатора, последний по информации, все еще содержащейся в пакете, определяет, что связь действительно проходит через него. Затем устройство удаляет данные Option 82 из заголовка и пересылает ответ.

Совет

Чтобы иметь возможность использовать опцию 82, DHCP snooping должен быть глобально активирован. Кроме того, сервер должен быть способен обрабатывать дополнительную информацию. В противном случае DHCP-сервер просто игнорирует данные Option 82 и рассматривает запрос клиента как обычный запрос DHCP.

Оцените статью
cdelat.ru
Добавить комментарий