The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Защита от атак против DHCP

02.12.2008 12:26

DHCP snooping - функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику. На странице подробно описывается принцип действия метода DHCP snooping, а также процедура настройки коммутаторов HP ProCurve и Cisco для использования этого метода.

  1. Главная ссылка к новости (http://xgu.ru/wiki/DHCP_snoopi...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/19188-dhcp
Ключевые слова: dhcp, attack, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:37, 02/12/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    респект автору.
     
  • 1.2, Dyr (??), 19:08, 02/12/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Там несколько автором, вики же. Даже я там приложился =)
     
     
  • 2.3, xguru (?), 00:20, 03/12/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    В этой вроде нет:

    http://xgu.ru/w/index.php?title=DHCP_snooping&limit=500&action=history
    http://xgu.ru/w/index.php?title=%D0%A1%D0%BB%D1%;83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%3AContributions&contribs=user&target=Dyr&namespace=&year=&month=-1

    Но вообще да, спасибо большое, особенно за SSH.

    Если делаете большой вклад в страничку,
    если что, не стесняйтесь ставить себя автором.

     
     
  • 3.4, xguru (?), 00:22, 03/12/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    >В этой вроде нет:
    >
    >http://xgu.ru/w/index.php?title=DHCP_snooping&limit=500&action=history
    >http://xgu.ru/w/index.php?title=%D0%A1%D0%BB%D1%;83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%3AContributions&contribs=user&target=Dyr&namespace=&year=&month=-1
    >
    >Но вообще да, спасибо большое, особенно за SSH.
    >
    >Если делаете большой вклад в страничку,
    >если что, не стесняйтесь ставить себя автором.

    За ARP-spoofing тоже, кстати.

    Невнимательно посмотрел.

     

  • 1.5, Arti (??), 14:08, 03/12/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Честно говоря я не понял преимущества  DHCP snooping, по карайней мере в этой статье они не раскрыты (неудачный пример топологии ?).

    Проще тогда запретить при помощи ACL работу DHCP-серверов на клиентских портах, а запросы DHCP релеить в отдельный vlan например в "управленческий".

     
     
  • 2.6, xguru (?), 15:08, 03/12/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    ACL'ами всю логику DHCP-snooping'а будет прописать довольно сложно.

    Например, как прописать такое:

    Отбросить пакет, если он пришёл через ненадёжный (untrusted) порт,
    если он содержит сообщение DHCPRELEASE или DHCPDECLINE с MAC-адресом из базы данных привязки DHCP, но информация об интерфейсе в таблице не совпадает с интерфейсом, на котором был получен пакет?

    То есть, грубо говоря, адрес мы выдали одному,
    а отказывается от него другой через другой порт.
    Как это запретить ACLами?

     
     
  • 3.7, Arti (??), 15:48, 03/12/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Привязывать к MAC идея изначально плохая, хотя возможно и есть случаи когда это делать необходимо.

    Привязку луше делать через поля 82-й опци DHCP.

    Если привязка сделана через 82 опцию (к порту свича) такая атака мало эффективна, по большому сету можно вообще не обрабатывать DHCPRELEASE на сервере, если схема один адрес - один порт.

    Вот строить ACL на основании DHCP-relay или привязывать MAC к порту - это более на мой взгляд интересно, правда оговорюсь, говорить об этом без конкретной схемы сети бесполезно.

     
     
  • 4.8, xguru (?), 19:51, 03/12/2008 [^] [^^] [^^^] [ответить]  
    		• +/

    > Если привязка сделана через 82 опцию (к порту свича) такая атака мало эффективна, по большому сету можно вообще не обрабатывать DHCPRELEASE на сервере, если схема один адрес - один порт.

    Я не совсем понял, вы предлагаете вообще MAC-адреса не использовать при выдаче IP-адресов
    DHCP-сервером, а ориентироваться только на порт коммутатора?

     
     
  • 5.11, Arti (??), 11:25, 04/12/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Если политика один "порт - один адрес" то да, привязывать к MAC смысла я не вижу.
     

  • 1.9, pavlinux (ok), 21:50, 03/12/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Можно вопрос, а что за идиоты открывают DHCP на внешнем порту, который смотрит интернет???
     
     
  • 2.10, xguru (?), 00:55, 04/12/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    >Можно вопрос, а что за идиоты открывают DHCP на внешнем порту, который
    >смотрит интернет???

    А где там инет?

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру