Типовые атаки на DHCP

В статье авторы рассматривают типовые атаки на DHCP и рассказывают о методах обеспечения сетевой безопасности, необходимых для эффективной защиты от угроз. В данной статье меры безопасности моделируются с использованием Cisco Packet Tracer.

Ключевые слова: DHCP, сеть, порт, конфиденциальная информация, сетевой трафик.

Атака Rogue DHCP Server представляет собой метод манипуляции в сети, где злоумышленник устанавливает поддельный DHCP-сервер для выдачи ложных IP-адресов и других сетевых параметров.

Рассмотрим ход атаки:

1. Подмена DHCP-сервера: Злоумышленник внедряет свой DHCP-сервер в сеть, подменяя официальный DHCP-сервер. Это может быть осуществлено путем физического доступа к сети или путем взлома устройства, уже находящегося внутри сети.
2. Выдача ложных параметров: DHCP-сервер злоумышленника начинает выдавать ложные IP-адреса, шлюзы по умолчанию, серверы DNS и другие сетевые параметры устройствам в сети. Клиентские устройства, подключенные к сети, автоматически получают эти ложные параметры.
3. Манипуляция сетевым трафиком: Злоумышленник получает возможность перехватывать, изменять или просматривать весь сетевой трафик, проходящий через его DHCP-сервер. Это может включать в себя захват паролей, данных о сеансах и другой конфиденциальной информации.

В результате атаки хакер может нанести инфраструктуре существенный урон:

1. Отказ в доступе к ресурсам: Ложные параметры могут привести к тому, что устройства в сети не смогут получить доступ к нужным ресурсам, таким как сервисы или интернет.
2. Утечка конфиденциальной информации: Злоумышленник может перехватывать конфиденциальные данные.
3. Снижение производительности: Лишний трафик, создаваемый атакой, может снизить общую производительность сети.

Методы защиты:

Защита от атак класса Rogue DHCP Server обеспечивается включением на всех коммутаторах функции DHCP Snooping. Для этого необходимо задать два типа портов:

1. Доверенные порты: порты, к которым подключаются DHCP-серверы или другие легитимные коммутаторы. На этих портах разрешено распространение DHCP-запросов и других сетевых сообщений.
2. Недоверенные порты: предназначены для клиентских подключений, и на них не предполагается наличие DHCP-серверов. Запросы DHCP на таких портах блокируются, чтобы предотвратить нелегитимное распространение DHCP-трафика по сети.

Внедрение DHCP Snooping необходимо для того, чтобы уведомить коммутатор о необходимости отслеживания проходящих через него пакетов DHCP offer и ack. Это позволяет коммутатору блокировать прохождение таких пакетов через недоверенные порты.

Для активации DHCP Snooping необходимо перейти в режим конфигурирования и выполнить следующие команды:

SW(config)# ip dhcp snooping — включение функции.

SW(config-if)# ip dhcp snooping trust — команда для указания доверенных портов на коммутаторе.

Атака DHCP (Dynamic Host Configuration Protocol) starvation представляет собой форму атаки на сетевые устройства, использующие DHCP для получения IP-адресов.

В атаке DHCP starvation злоумышленник отправляет большое количество ложных DHCP-запросов в сеть, заполняя все доступные IP-адреса в DHCP-пуле. Это приводит к тому, что легитимные устройства в сети не могут получить доступ к DHCP-серверу для получения своих конфигураций.

Процесс атаки DHCP starvation включает следующие шаги:

1. Отправка ложных DHCP-запросов: Злоумышленник отправляет DHCP-запросы с поддельными MAC-адресами и идентификаторами устройств в сеть. Эти запросы обращаются к DHCP-серверу с просьбой о выделении IP-адреса для указанных устройств.
2. Насыщение DHCP-пула: DHCP-сервер начинает выделять IP-адреса ложным устройствам, и по мере того, как количество ложных запросов увеличивается, все доступные адреса в DHCP-пуле заканчиваются.
3. Отказ легитимным устройствам: Легитимные устройства, пытающиеся получить IP-адрес через DHCP, не могут получить доступ к свободным адресам, так как все они уже выделены ложным устройствам.
4. Отказ в доступе к сети: Устройства, не получившие IP-адрес, не могут правильно сконфигурироваться для работы в сети, что приводит к их отказу в доступе к сетевым ресурсам.

Последствия атаки:

1. Отказ в обслуживании ( DoS ). Отказ в обслуживании происходит, когда сервер DHCP исчерпывает свои IP-адреса, что приводит к невозможности новым устройствам получить доступ к сети. Это означает, что взаимодействие этих устройств со сетью становится невозможным.
2. Подмена DHCP . Комбинация атак DHCP starvation и Rogue DHCP Server усугубляет ситуацию. Поскольку основной DHCP-сервер не имеет свободных адресов, он выключается, и вся корпоративная клиентская база автоматически переходит под контроль вражеского DHCP-сервера. Это позволяет злоумышленнику манипулировать сетевыми параметрами и потенциально вмешиваться в важные коммуникации внутри сети.

Методы защиты:

Самый простой способ защиты — ограничить число MAC-адресов на порте коммутатора. Реализуется данная мера при помощи активации port-security.

SW(config-if)# switchport mode access — переводим порт в режим access.

SW(config-if)# switchport port-security — включаем port-security на интерфейсе

SW(config-if)# switchport port-security maximum — ограничиваем число MAC-адресов

Также нелишним будет задать тип реагирования на превышение числа разрешенных MAC-адресов. Есть 3 типа реагирования на запрещенный адрес:

1. protect — после переполнения все пакеты, отправленные с других MAC-адресов, отбрасываются;
2. restrict — то же самое, что и в предыдущем случае, но с внесением записи в журнал;
3. shutdown — порт выключается до ручного включения: SW(config-if) #switchport port-security violation

Заключение

В статье были рассмотрены различные виды атак, направленных на DHCP и предложены методы обеспечения сетевой безопасности для их предотвращения.

Обеспечение безопасности сетевой инфраструктуры является ключевым аспектом обеспечения целостности и конфиденциальности данных. Реализация соответствующих мер безопасности помогает предотвратить атаки, минимизировать уязвимости и обеспечивать стабильную и защищенную работу сети.