(T) Teoria funkcji DHCP Snooping*

Teoria funkcji DHCP Snooping

DHCP Spooping, ARP Inspection, IP source guard

  • Funkcja ARP Inspection oraz funkcja IP source guard opiera swoje działanie na zawartości tablicy „DHCP Snooping Binding Table”, powstałej w skutek działania funkcji DHCP snooping. Tablica ta zawiera adresy MAC wraz z przypisanymi do nich adresami IP, przydzielonymi przez zaufany serwer DHCP znajdujący się na zaufanym interfejsie przełącznika.
  • Ataki związane z adresem MAC jak i wiadomościami DHCP, oraz metody im zapobiegające:
    • DHCP Spoofing – Podział interfejsów przełącznika na porty zaufane jak i niezaufane.
    • DHCP Starvation – Limitowanie wiadomości DHCP jakie mnogą być wysłane z niezaufanego interfejsu, sprawdzanie źródłowego adresu MAC otrzymanej wiadomości DHCP (ARP Inspection).
    • ARP Spoofing – Sprawdzanie źródłowego adresu MAC w tablicy „DHCP Snooping Binding Table” (ARP Inspection).
    • IP Attacks – Weryfikacja źródłowego adresu IP w tablicy „DHCP Snooping Binding Table” (IP source guard).
Zawartość tablicy „DHCP Snooping Binding Table”

Mechanizm działania i obrony przed atakiem „DHCP Spoofing”

  • Atak DHCP Spoofing polega na podszywaniu się przez osobę atakującą, pod serwer DHCP. Dzięki czemu jest ona w stanie propagować własną adresację IP. Atak ten może stanowić część bardziej złożonego ataku „Man-in-the-middle”, w którym atakujący host rozgłasza za pomocą fałszywego serwera DHCP, swój adres IP jako adres bramy domyślnej. Tym samym komunikacja ofiary w drodze poza sieć lokalną, zaczyna przechodzić przez podstawionego hosta.
  • Aby zabezpieczyć przełącznik przed podłączeniem do niego niechcianego serwera DHCP, należy pogrupować interfejsy przełącznika na zaufane i nie zaufane. Wszystkie interfejsy podłączone do użytkowników końcowych powinny znajdować się w stanie nie zaufanym natomiast te znajdujące się pod kontrolą administratora sieci, takie jak połączenia trunkowe czy interfejsy do który podłączone są znane urządzenia, winny być zaufane.
    • Wiadomości DHCP domyślnie wysyłane przez klienta (Takie jak: DHCP Discover, Request / Inform, Decline oraz Release), mogą być odbieranie na interfejsach nie zaufanych jednak są przepuszczane jedynie do interfejsów zaufanych. Dzięki czemu osoba atakująca nie jest w stanie monitorować zapytań o adresy IP.
    • Interfejsy zaufane nie blokują żadnych pakietów protokołu DHCP, natomiast interfejsy nie zaufane blokują pakiety domyślnie wysyłane przez serwer DHCP w komunikacji DORA. Są to zapytania  Offer oraz Acknowledgment.
  • Dodatkową metodę ochrony przed atakami DHCP Spoofing, stanowi tablica DHCP binding. Powstaje ona na podstawie przechwyconych przez przełącznik wiadomości protokołu DHCP, nadchodzących z zaufanych interfejsów przełącznika. Na ich podstawie następuje przypisanie adresu IP do interfejsu jak i opcjonalne adresu MAC. Dzięki czemu wszelkie pakiety wysłane z adresem IP innym niż pozyskanym za pomocą protokołu DHCP, zostaną zablokowane.
W przypadku domyślnej konfiguracji funkcji DHCP Spoofing serwer DHCP musi wspierać opcje 82 !!!

Wiadomości DHCP (Server / Client)

  • Wiadomości wysyłane przez klienta protokołu DHCP (Dopuszczalne na interfejsach niezaufanych):
    • DHCP Discover.
    • DHCP Request / Inform.
    • DHCP Decline.
    • DHCP Release.
  • Wiadomości wysyłane przez serwer protokołu DHCP (Niedopuszczalne na interfejsach niezaufanych):
    • DHCP Offer.
    • DHCP Ack.
    • DHCP NACK.

Mechanizm działania i obrony przed atakiem „DHCP Starvation”

  • Serwer DHCP odpowiada na każde, wysłane przez użytkownika zapytanie „Discover”, w odpowiedzi oferując adres IP przy pomocy wiadomości „Offer”. Taka zależność niesie ze sobą zagrożenie, w którym atakujący sieć host będzie wysyłał wiele zapytań DHCP pod różnymi adresami MAC, a tym samym sztucznie zapełniał dostępną pulę adresów IP.
  • Aby zapobiec takiemu scenariuszowi administrator może zastosować prostą metodę ograniczającą ilość wysyłanych przez urządzenie końcowe, zapytań DHCP „Discover”, w ciągu jednej sekundy.

Problem związany z polem GiADDR

  • Zapytania DHCP posiadają pole GiADDR przeznaczone na adres IP bramy domyślnej. Pole te jest szczególnie przydatne dla agentów Relay serwer, dzięki czemu po odebraniu zwrotnej wiadomości od serwera DHCP wiedzą na jaki interfejs skierować odpowiedź.
  • Widomości z wypełnionym polem GiADDR jest blokowane na interfejsach nie zaufanych, co może stanowić problem w przypadku niektórych topologii. Przykładowy problem przedstawiono poniżej:
Pole GiADDR
  • W powyższym przykładzie wiadomość zostanie zablokowana pomiędzy ruterem a drugim przełącznikiem.

Pozostałe artykuły dotyczące bezpieczeństwa warstwy drugiej

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz