4-LABORATORIYA ISHI DHCP SNOOPING – XAVFSIZLIK TEXNOLOGIYASI Ishdan maqsad
DHCP Snooping haqida nazariy bilimga ega bo`lish; DHCP protokolini o`rganish; CPT dasturida DHCP Snooping orqali tarmoqda kompyuterlar xavfziligini taminlash.
Nazariy qism
DHCP Snooping - bu DHCP protokoli yordamida hujumlardan himoya qilish uchun mo'ljallangan 2-qatlam xavfsizlik texnologiyasi. Masalan, tarmoqqa DHCP spoofing hujumlari yoki DHCP serverini tajovuzkorga serverdagi barcha manzillarni berishga majbur qiladigan DHCP starvation hujumlari. DHCP Snooping ruxsatsiz DHCP serverlarining DHCP mijozlariga IP manzillarini taqdim etishining oldini oladi. DHCP Snooping xususiyati quyidagilarni amalga oshiradi:
tarmoqdagi mijozlarni ruxsatsiz DHCP serveridan manzil olishdan himoya qilish.
qaysi DHCP xabarlarini bekor qilish, qaysilarini yo'naltirish va qaysi portlarga yuborishni boshqarish.
DHCP snooping to'g'ri ishlashi uchun siz qaysi kommutator portlari ishonchli va qaysi biri ishonchsiz ekanligini belgilashingiz kerak:
Ishonchsiz (Untrusted)- mijozlar ulangan portlar. Ushbu portlardan keladigan DHCP javoblari kalit tomonidan o'chiriladi. Ishonchsiz portlar uchun bir qator DHCP xabar tekshiruvlari amalga oshiriladi va DHCP snooping bog'lovchi ma'lumotlar bazasi yaratiladi.
Ishonchli (Trusted) — boshqa kalit yoki DHCP server ulangan portlarni almashtirish. Ishonchli portlardan olingan DHCP paketlari tashlab ketilmaydi.
DHCP Spoofing ishlash principi odatiy bo'lib, Switch quyidagi hollarda ishonchsiz portga kelgan DHCP paketini tashlab yuboradi:
DHCP serveri (DHCPOFFER, DHCPACK, DHCPNAK yoki DHCPLEASEQUERY) tomonidan yuborilgan xabarlardan biri keladi;
DHCP bog'lovchi ma'lumotlar bazasidan MAC manzilini o'z ichiga olgan DHCPRELEASE yoki DHCPDECLINE xabari keladi, lekin jadvaldagi interfeys ma'lumotlari paket qabul qilingan interfeysga mos kelmaydi;
Kiruvchi DHCP paketida DHCP so'rovida ko'rsatilgan MAC manzili va jo'natuvchining MAC manzili mavjud emas;
82 sozlamasiga ega DHCP paketi keladi.
DHCP Snooping qanday ishlashini aniqlash uchun biz DHCP ning ish mexanizmini qo'lga olishimiz kerak, ya'ni Dynamic Host Configuration Protocol. DHCP yoqilgan bo'lsa, IP-manzilga ega bo'lmagan tarmoq qurilmasi DHCP serveri bilan quyidagi 4 bosqichda "o'zaro aloqada bo'ladi".
DHCP Snoopingni ishga turshirsh. DHCP Snooping faqat simli foydalanuvchilar uchun amal qiladi. Kirish qatlami xavfsizligi xususiyati sifatida u asosan DHCP tomonidan xizmat ko'rsatadigan VLAN kirish portlarini o'z ichiga olgan har qanday kalitda yoqiladi. DHCP Snooping-ni o'rnatishda siz himoya qilmoqchi bo'lgan VLAN-da DHCP Snooping-ni yoqishdan oldin ishonchli portlarni (haqiqiy DHCP server xabarlari o'tadigan portlar) sozlashingiz kerak. Buni CLI interfeysida ham, veb-interfeysda ham amalga oshirish mumkin. CLI buyruqlari FS S3900 seriyali kalitlarda DHCP Snooping konfiguratsiyasida taqdim etiladi.
4.1-rasm
DHCP snooping odatda kalitdagi interfeyslarni ikkita toifaga ajratadi: 4.2-rasmda ko'rsatilganidek, ishonchli ishonchsiz portlar. Ishonchli port DHCP server xabarlari ishonchli bo'lgan port yoki manbadir. Ishonchsiz port - bu DHCP server xabarlari ishonchli bo'lmagan port. Agar DHCP snooping ishga tushirilsa, DHCP taklif xabari faqat ishonchli port orqali yuborilishi mumkin. Aks holda, u bekor qilinadi.
4.2-rasm
Tasdiqlash bosqichida DHCP ACK xabariga muvofiq DHCP ulanish jadvali yaratiladi. U 4.3-rasmda ko'rsatilganidek, xostning MAC manzilini, ijaraga olingan IP manzilini, ijara muddatini, ulanish turini va VLAN raqami va xost bilan bog'liq interfeys ma'lumotlarini yozib oladi. Ishonchsiz xostdan olingan keyingi DHCP paketi maʼlumotlarga mos kelmasa, u oʻchirib tashlanadi.
4.3-rasm
DHCP Snooping tomonidan oldi olingan hujumlarning asosiy turlari DHCP spoofing hujumi DHCP spoofingi tajovuzkor DHCP so'rovlariga javob berishga harakat qilganda va o'zini standart shlyuz yoki DNS server sifatida aldashga harakat qilganda sodir bo'ladi va shu sababli o'rtadagi odam hujumini boshlaydi. Biroq, ular foydalanuvchilarning trafikni haqiqiy shlyuzga yo'naltirishdan oldin to'xtatib qo'yishi yoki IP-manzil resurslarini ifloslantirish so'rovlari bilan haqiqiy DHCP serverini to'ldirish orqali DoS-ni amalga oshirishi mumkin.
DHCP Starvation (DHCP resurslar charchashi) DHCP tugashi odatda DHCP tarmoq serverlariga soxta manba MAC manzillari yordamida DHCP REQUEST xabarlari bilan ruxsat etilgan DHCP serverini to'ldirish uchun mo'ljallangan. DHCP serveri barcha so'rovlarga DHCP ni yo'qotish hujumi ekanligini bilmasdan javob beradi, bu esa mavjud IP manzillarni belgilash orqali DHCP hovuzining tugashiga olib keladi.
DHCP IP-manzilni osonlashtirsa-da, xavfsizlik bilan bog'liq muammolarni ham keltirib chiqaradi. Muammolarni hal qilish uchun himoya mexanizmlaridan biri bo'lgan DHCP Snooping noto'g'ri DHCP serveridan ishonchli bo'lmagan DHCP manzillaridan foydalanishni oldini oladi va barcha mavjud DHCP manzillaridan foydalanishga urinish bo'lgan resurslarni tugatish hujumini oldini oladi. FS S3900 Series Gigabit Stackable