Защита от атак, реализуемых с помощью DHCP

[Призрак]

Здравствуйте!

Вчера опять спорол глупость. Что, собственно, заставило меня глубоко задуматься. Готовил шлюз, на PFSense, поставил систему, на виртуальную машину, потом оставил всё, как есть (там LAN интерфейс по умолчанию имеет адрес 192.168.1.1), на ночь, не стал настраивать, ушёл спать.

На утро все на рогах, на ушах и на чём только ещё не ходят - Интернет пропал, в удалённом корпусе, не ходит почта, в главный корпус до внутренних ресурсов не достучаться! Позвонил технику, разобраться, в чём дело. Он мне звонит, говорит, что адреса выдаются из диапазона 192.168.1.0!

Тут только до меня дошло. По умолчанию при установке PFSense остаётся включённым DHCP сервер на интерфейсе LAN, он то и начал раздавать адреса. Я немедленно выключил DHCP сервер, на этом интерфейсе, всё пришло в норму.

Но мне покоя теперь нет. Получается, что какой - нибудь народный мститель из студентов, преподавателей, неважно кто, в общем, злоумышленник, развернув любой маршрутизатор в сети, с DHCP сервером, может парализовать всю сеть, а его фиг найдёшь потом (вот, припоминаю, кажется в моей старой теме про relay уважаемый участник ival что-то говорил про подобие таких атак).

И при этом мне странно и смешно, почему тогда служба Active Directory требует авторизации DHCP сервера, если всё равно толку от этого нету, никакого? Почему срабатывает чужеродный сервер, как вообще можно это остановить, предотвратить, чтобы не было проблем? Вопросов много, хотелось бы выяснить, как можно избежать подобного рода атак.

[Уваров А.С.]

Потому что DHCP - низкоуровневый протокол и в момент получения адреса клиент ни о каких AD и прочем знать не знает. Кто первый выдал ему адрес - то и молодец.

А спасет вас от этой беды DHCP snooping на коммутаторах (если они, конечно поддерживают эту функцию). Смысл этой функции сводится к тому, что мы указываем порты к которым подключены DHCP-сервера как доверенные, с недоверенных портов все DHCP-ответы будут отбрасываться.

[ival]

Я когда-то Вам уже писал и в принципе, если Вы думающий человек то должны уже были прочитать про все ниже описанное и знать как от этого защитится

К сожалению я дамп не видел последний, да наверное и нет смысла смотреть, т.к. Уваров дал направление Вам. Меня больше заинтересовало сообщение Ваше о неизвестных tplink wr720n и ещё о zyxel ещё каком-то, которые могли подключить студенты. Это вообще жесть. Я вам начну от простого к сложному, но в принципе 20 минут хватит чтобы либо положить всю сеть либо сегмент на этом коммутаторе. И так я студент, немного умнее чем все остальные студенты и я хочу побаловаться и у меня в комнате розетка под utp, мои действия от простого к сложному:


1. Я сразу попробую проверить знает ли владелец розетки про понятие коммутационной петли. Если нет или не дай бог розетка скоммутированна в тупой l2 (не управляемы) то в принципе весь домен ляжет чере минуту максимум.
2. Потом проверю знает ли админ про rouge dhcp и начну раздавать ip со своего того самого tplink или zyxel
3. Потом побалуюсь с dhcp starvation и заберу все ip пула, если не настроен доверенный dhcp (что в 80% сетей не сделано на коммутаторах) и даже ttl аrp стоит по умолчанию (что тоже обычно никто не меняет) то ip у Вас закончатся очень быстро и вы долго будете искать куда они делись
4. Потом можно поиграть с переполнением CAM таблицы
5. И самое интересное, даже если админ от все этого защитился, и у него vlan и все по умному, то есть вероятность, что он не знает про статус порта по умолчанию в режими автосогласования. И при определенных условиях access порт (untag) может стать резко trunk ( tag) и разрешить через себя все vlan'ы


 Это я описал только обычные атака на l2 которые реализуются максимум за день при посредственных знаниях и гугле, если уровень чуть выше посредственного, то 5-10 минут ( на каждую) + время на скачку софта ( для некоторых типов атак). А с помощью l2 можно и выше подняться. Наверное поэтому меня бы больше стало беспокоить устройства которые я не знаю и Настройки коммутаторов, чем нерабочий релей.

В своё время из-за похожих ошибок я интернетом пользовался бесплатно месяц, заворачивая трафик через роутер кого-то из соседей. Раньше заявки на подключение долго обрабатывались, а интернет нужен был. И косяк был именно в том, что провайдер не смог правильно обезопасить своих клиентов настройкой своего оборудования.

[Призрак]

Хорошо, я понял. Что такое коммутационная петля я прекрасно знаю, сталкиваться приходилось. В одном филиале Интернет приходит на крышу, с помощью ноутбука нашёл петлю в одном из шкафов. Не представляю, кто это вообще мог сделать. Может быть техник, по незнанию.

Буду трясти с руководства оборудование, которое защищает от таких дел, как минимум, управляемые коммутаторы, именно с функцией защиты от DHCP. Половину портов, которые не задействованы, можно будет выключить, на управляемом железе, половину поставить под контроль.