Attacco a DHCP.
Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.
Canale Telegram: https://t.me/protezionedelleinformazioni
Gruppo in telegramma: https://t.me/protezionedelleinformazioni1
Sito: https://legascom.ru
E-mail: online@legascom.ru
#protezionedelleInformazioni #sicurezzadelleinformazioni
È possibile attaccare un server DHCP in diversi modi.
1. Un utente malintenzionato può generare e inviare al server DHCP un numero enorme di richieste DHCP con indirizzi MAC diversi. Il server allocherà gli indirizzi IP dal Pool e prima o poi l'intero pool DHCP terminerà, dopodiché il server non sarà in grado di servire nuovi client. In sostanza, si tratta di un attacco DoS, poiché l'integrità della rete è compromessa. Il metodo per combattere questo tipo di attacchi è chiamato DHCP Snooping. Questo metodo è il seguente. Quando lo switch riceve un pacchetto, confronta l'indirizzo MAC specificato nella richiesta DHCP con l'indirizzo MAC specificato sulla porta dello switch. Se gli indirizzi corrispondono, lo switch invia ulteriormente il pacchetto; se non corrispondono, il pacchetto viene scartato.
2. Un utente malintenzionato può anche distribuire il proprio server DHCP e fornire le proprie impostazioni agli utenti della rete (può specificare qualsiasi DNS, Gateway, ecc.)
Affinché le richieste DHCP rispondano al server di un utente malintenzionato, è necessario prima disabilitare il server DHCP legale utilizzando il metodo descritto al punto 1.
I passaggi pratici per implementare questo attacco sono simili a quelli presentati nella sezione relativa agli overflow della tabella stessa. Quando si modifica l'indirizzo MAC e si riavvia l'interfaccia di rete, viene richiesto al server DHCP di ottenere un nuovo indirizzo IP.
La tecnologia DHCP Snooping ha il concetto di porte attendibili (trusted) e non attendibili (untrusted). Per i primi è consentito ricevere risposte DHCP da DHCPOFFER, per i secondi è vietato ricevere risposte.
Configuriamo lo Snooping DHCP per VLAN 10 sull'interfaccia f0 / 1.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping trust
In questo esempio, l'interfaccia è collegata direttamente a un server DHCP, quindi abbiamo abilitato la modalità trust su di essa.
È anche possibile attivare o disattivare L'opzione 82 DHCP, che è responsabile delle informazioni relay, ovvero attraverso quali interruttori è passato un determinato pacchetto.
Switch(config)# ip dhcp snooping information option
Un altro rimedio è limitare il numero di richieste DHCP al secondo. Impostiamo un limite di 100 richieste.
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping limit rate 100
Tuttavia, è necessario prestare attenzione all'impostazione dei vincoli, poiché se il valore specificato viene superato, le richieste verranno rifiutate. All'inizio della giornata lavorativa, quando molti utenti accendono i propri computer contemporaneamente e ottengono indirizzi IP tramite DHCP, questa limitazione può causare ritardi e problemi durante l'Accesso alla rete.
