Академический Документы
Профессиональный Документы
Культура Документы
РАЗБИРАЕМ ТЕХНИКИ
DHCP STARVATION
И DHCP SPOOFING
И ЗАЩИТУ ОТ НИХ
WARNING
Статья имеет ознакомит ельный характ ер и пред‐
назначена для специалист ов по безопасности,
проводящих тест ирование в рамках конт ракт а.
Автор и редакция не несут ответст венности
за любой вред, причиненный с применением
изложенной информации. Распространение вре‐
доносных программ, нарушение работы сист ем
и нарушение тайны переписки преследуются
по закону.
ТЕОРИЯ
При защите сети от атак на DHCP нам очень важно понимать тонкости взаимо‐
действия DHCP-сервера и клиента. Например, какая связь между значением
MAC-адреса в Ethernet-заголовке и значением CHADDR в заголовке DHCP
или какие сообщения отправляются только DHCP-сервером в адрес клиента,
а не наоборот. Но обо всем по порядку. Сначала быстренько пробежимся
по основным сообщениям DHCP и структуре самого DHCP-заголовка.
Сообщения DHCP
Для получения IP-адреса и других сетевых параметров клиенту и серверу
DHCP достаточно обменяться четырьмя сообщениями. Клиент, настроенный
на автоматическое получение IP-адреса, посылает в сеть сообщение
DHCPDISCOVER на бродкастовые адреса сетевого (255.255.255.255) и каналь‐
ного (FF:FF:FF:FF:FF:FF) уровней, чтобы обнаружить серверы DHCP. В IP-
заголовке в поле адреса источника IP-пакета указывается 0.0.0.0, так как кли‐
ент еще не получил этот параметр. В поле источника сообщения на канальном
уровне указывается MAC-адрес клиента.
Лабораторный стенд
Я собрал все необходимое, что было под рукой:
• маршрутизатор Cisco 2821;
• коммутатор Cisco Catalyst 2960;
• клиентский ПК с Kali Linux.
DHCP STARVATION
Trusted- и Untrusted-порты
Забыть о внезапном появлении в сети поддельного сервера DHCP поможет
концепция доверенных и недоверенных портов. Доверенный порт разрешает
пересылку DHCP-сообщений от сервера. Помнишь про сообщения DHCPOFFER,
DHCPACK и DHCPNAK, о которых мы говорили в самом начале? Поддельный
DHCP-сервер не сможет предложить клиентам свои ложные параметры
отправкой таких сообщений, если будет находиться за ненадежным портом.
Доверенные порты — это те, которые напрямую подключены к DHCP-сер‐
веру или которые «смотрят» в его сторону. Соответственно, недоверенные —
это все остальные. В нашей лабораторной сети доверенным портом будет
только один — G0/1.
Limit Rate
Еще одна очень полезная функция DHCP Snooping — ограничение на отправку
DHCP-сообщений. Это ограничение допускает отправку через порт ком‐
мутатора определенного количества DHCP-трафика в секунду.
Чтобы задействовать эту возможность, выберем весь диапазон ненадеж‐
ных портов и установим ограничение в десять пакетов в секунду. Cisco
рекомендует использовать не более 100 пакетов в секунду, но для нашего
тестового стенда хватит и десяти. Важно не урезать безобидный трафик
от клиентов.
Limit Rate полезен тем, что не дает злоумышленнику выполнить отказ в обслу‐
живании или быстро «выжрать» пул адресов, отправляя большое количество
DHCP-запросов.
Verify MAC-Address
Функция проверки MAC-адреса по умолчанию активна при включенном DHCP
Snooping. Но если по каким‑то причинам она неактивна, то вот синтаксис
для включения.
Port Security
Последняя функция защиты коммутатора, о которой я хочу рассказать. Она
не относится к технологии DHCP Snooping, но играет большую роль в защите
сети от атак на DHCP-протокол. Port Security позволяет указать MAC-адреса
хостов, которым разрешено передавать данные через порт. Для проверки
используется MAC-адрес источника в Ethernet-заголовке, и в результате будет
принято решение о пропуске через порт.
Настроим все ненадежные порты на динамическое выучивание только
одного MAC-адреса с сохранением их в текущую конфигурацию коммутатора.
Режим реагирования на нарушение правил безопасности укажем shutdown —
отключение порта. Но перед этим порты нужно перевести в режим Access.
ВЫВОДЫ
Может показаться, что атаки DHCP сегодня не так актуальны. По моему мне‐
нию, любая атака будет актуальна при отсутствии должного внимания к защите
сети, а тем более если сетевое оборудование работает с настройками
по умолчанию.
Описанные в статье технологии защиты сети от атак на протокол DHCP
по отдельности не становятся непреодолимой стеной для атакующего. Поэто‐
му именно их комплексное применение даст должную защиту DHCP.