راهنمای کامل DHCP Snooping، نحوه کار و مفاهیم و پایگاه داده، مقابله با حملات DHCP Starvation، DHCP Hijacking، حملات Man-in-the-Middle و سرورهای DHCP مخرب و DHCP 82

این مقاله به بررسی حملات رایج در لایه 2 و لایه 3 شبکه‌ها می‌پردازد و تمرکز ویژه‌ای بر روی حملات DHCP Starvation، حملات Man-in-the-Middle، سرورهای DHCP مخرب ناخواسته دارد و توضیح می‌دهد که چگونه ویژگی‌های امنیتی مانند DHCP Snooping می‌توانند به محافظت از شبکه‌ها در برابر این حملات کمک کنند. ما نحوه عملکرد DHCP Snooping را توضیح می‌دهیم، اصطلاحات مرتبط با آن مانند پورت‌ها/اینترفیس‌های معتبر و نامعتبر (trusted, untrusted ports/interfaces) را پوشش می‌دهیم و مباحث بیشتری را مورد بحث قرار می‌دهیم. در نهایت، به اهمیت و هدف پایگاه داده Binding Database در DHCP Snooping اشاره می‌کنیم که همچنین توسط Dynamic ARP Inspection برای جلوگیری از حملات ARP Poisoning و ARP Spoofing استفاده می‌شود.

موضوعات پوشش داده شده عبارتند از:

• حمله DHCP Starvation، حمله Man-in-the-Middle، DHCP Hijacking و حملات پایش
• سرورهای DHCP مخرب – تهدید امنیتی عمده و منبع اختلالات شبکه
• پشتیبانی از DHCP Snooping در سوئیچ‌های Cisco Catalyst و Nexus – مجوزها و ویژگی‌ها
• نحوه کارکرد DHCP Snooping – مفاهیم DHCP Snooping – پورت‌ها/اینترفیس‌های معتبر و نامعتبر
• ترافیک مسدود شده توسط DHCP Snooping، نقض‌های DHCP Snooping – پیام‌های Syslog
• پایگاه داده IP DHCP Snooping Binding – Dynamic ARP Inspection
• درج داده‌های DHCP Snooping-Option 82
• خلاصه

DHCP Starvation Attack, Man-in-the-Middle Attack, DHCP Hijacking & Reconnaissance Attacks

این مقاله به شما کمک می‌کند تا درک عمیقی از نحوه محافظت از شبکه‌ها با استفاده از DHCP Snooping و ویژگی‌های امنیتی مرتبط به دست آورید.

حمله DHCP Starvation یکی از حملات رایج در شبکه است که هدف آن سرورهای DHCP شبکه است. هدف اصلی این حمله، غرق کردن سرور DHCP سازمان با پیام‌های DHCP REQUEST از آدرس‌های MAC جعلی است. سرور DHCP به تمامی درخواست‌ها پاسخ می‌دهد، بدون اینکه متوجه شود این یک حمله DHCP Starvation است، و آدرس‌های IP موجود را اختصاص می‌دهد تا زمانی که پول DHCP آن خالی شود.

در این مرحله، حمله‌کننده سرور DHCP سازمان را غیرقابل استفاده کرده و می‌تواند سرور DHCP مخرب خود را فعال کرده تا به جای سرور اصلی، به مشتریان شبکه آدرس‌دهی کند. حمله DHCP Starvation معمولاً با حمله Man-in-the-Middle همراه است، زیرا سرور DHCP مخرب آدرس‌های IP جعلی را شامل Gateway و DNS IP توزیع می‌کند تا تمام ترافیک کلاینت‌ها از طریق حمله‌کننده عبور کرده و مورد بازرسی قرار گیرد.

با استفاده از ابزارهای ضبط بسته و تحلیل پروتکل‌ها، حمله‌کننده قادر است تا به‌طور کامل هر جریان داده‌ای که ضبط کرده است را بازسازی کرده و فایل‌ها را از آن استخراج کند. در حقیقت، این فرآیند آن‌قدر ساده است که تنها نیاز به درک ابتدایی از این نوع ابزارهای شبکه دارد.

در موارد دیگر، حمله Man-in-the-Middle می‌تواند به‌عنوان یک حمله پایش استفاده شود با هدف به‌دست آوردن اطلاعات درباره زیرساخت شبکه، خدمات و همچنین شناسایی میزبان‌های با اهمیت بالا مانند سرورهای مالی یا پایگاه‌داده‌ها.

حالا باید واضح باشد که چگونه یک حمله ساده می‌تواند تبدیل به یک تهدید امنیتی عمده برای هر سازمانی شود. حملات ذکر شده مثال‌هایی هستند از اینکه چقدر آسان است که هکرها می‌توانند با اتصال یک دستگاه غیرمجاز/غیرمعتبر به یک پورت شبکه موجود، به‌طور مؤثر از فایروال‌ها و دیگر سطوح امنیتی عبور کرده و به اطلاعات ارزشمند دسترسی پیدا کنند.

سرورهای DHCP مخرب – تهدید امنیتی عمده و منبع اختلالات شبکه

سرورهای DHCP مخرب یک مشکل رایج در سازمان‌های بزرگ هستند و همیشه به‌طور مستقیم به حمله مربوط نمی‌شوند. سرورهای DHCP مخرب معمولاً به‌طور غیرمنتظره‌ای ظاهر می‌شوند به دلیل استفاده کاربران از دستگاه‌های شبکه‌ای مصرفی که به زیرساخت شبکه متصل می‌کنند، بدون آنکه بدانند دستگاه غیرمجاز و با سرور DHCP مخرب فعال را به شبکه وصل کرده‌اند.

سرور DHCP مخرب سپس شروع به تخصیص آدرس‌های IP به میزبان‌های شبکه می‌کند که باعث بروز مشکلات اتصال شبکه و در بسیاری از موارد، اختلالات عمده در خدمات می‌شود. در بهترین حالت، کلاینت‌های DHCP با آدرس IP نامعتبر سرویس‌دهی می‌شوند که باعث قطع ارتباط آن‌ها از سایر بخش‌های شبکه می‌شود. اما در بدترین حالت، آدرس IP به کلاینت‌ها تخصیص داده می‌شود که قبلاً توسط دستگاه‌های زیرساخت شبکه (مثلاً رابط VLAN در سوئیچ اصلی یا رابط فایروال) استفاده می‌شده است که منجر به اختلالات و تضادهای جدی در شبکه می‌شود.

با اینکه بسیاری از سازمان‌ها سیاست‌های امنیتی را اعمال می‌کنند که اجازه اتصال دستگاه‌های شخص ثالث یا غیرمجاز به شبکه خود را نمی‌دهند، همچنان مواردی وجود دارد که کاربران که ممکن است از پیامدهای امنیتی آگاه نباشند یا اهمیتی ندهند، این دستگاه‌ها را بدون مشاوره با بخش فناوری اطلاعات به زیرساخت شبکه متصل می‌کنند.

آموزش کاربران و اعمال سیاست‌های امنیتی می‌تواند چالش‌برانگیز باشد، به همین دلیل وجود مکانیزم‌های امنیتی برای کمک به کاهش این حوادث ضروری است و در اینجا است که DHCP Snooping وارد عمل می‌شود.

DHCP Snooping به عنوان یک ابزار امنیتی، می‌تواند از بروز چنین مشکلاتی جلوگیری کند. این مکانیزم به سوئیچ‌ها این امکان را می‌دهد که تنها به سرورهای DHCP معتبر اجازه تخصیص آدرس IP بدهند و از اتصال دستگاه‌های غیرمجاز با سرورهای DHCP مخرب جلوگیری کنند. این روش می‌تواند به طور چشمگیری امنیت شبکه را افزایش دهد و حملاتی مانند DHCP Starvation و Man-in-the-Middle را کاهش دهد.

پشتیبانی از DHCP Snooping برای سوئیچ‌های Cisco Catalyst و Nexus. مجوزها و ویژگی‌ها

DHCP Snooping در هر دو پلتفرم سوئیچ‌های Cisco Catalyst و Cisco Nexus موجود است. هر دو پلتفرم به عنوان سوئیچ‌های درجه سازمانی طبقه‌بندی می‌شوند و از تمام قابلیت‌های DHCP Snooping پشتیبانی کامل دارند.

DHCP Snooping به عنوان یک ویژگی امنیتی استاندارد در نظر گرفته می‌شود و برای سیستم‌عامل‌های قدیمی Catalyst IOS، سیستم‌عامل‌های جدیدتر Catalyst IOS XE و سیستم‌عامل Nexus NS-OS نیازی به مجوز اضافی ندارد، بنابراین این ویژگی در تمامی سوئیچ‌ها در دسترس و به راحتی قابل پیکربندی است.

نمونه‌هایی از سوئیچ‌های Cisco Catalyst که از DHCP Snooping پشتیبانی می‌کنند عبارتند از: Cisco Catalyst 2960S، 2960-X، 3560، 3750، 3750-X، 3850، 4500، 6500، 9300، 9400 و 9500.

نمونه‌هایی از سوئیچ‌های Cisco Nexus که از DHCP Snooping پشتیبانی می‌کنند عبارتند از: Nexus 2000، 3000، 5000، 7000 و 9000.

DHCP Snooping می‌تواند به صورت سراسری (global) یا برای هر VLAN به طور جداگانه فعال شود. این بدان معنی است که شما می‌توانید آن را برای تمام VLAN‌ها (به طور سراسری) یا فقط برای VLAN‌های خاص (شامل محدوده‌های VLAN، مانند VLAN‌های 1-20 و VLAN‌های 45-50) فعال کنید.

چگونه DHCP Snooping کار می‌کند – مفاهیم DHCP Snooping – پورت‌ها/اینترفیس‌های معتبر و نامعتبر

DHCP Snooping یک ویژگی امنیتی لایه 2 است که از تخصیص آدرس IP به کلاینت‌های DHCP توسط سرورهای DHCP غیرمجاز (مخرب) جلوگیری می‌کند. در حقیقت، Cisco اولین فروشنده‌ای بود که DHCP Snooping را به عنوان یک ویژگی امنیتی در سوئیچ‌های شبکه خود پیاده‌سازی کرد و سایر فروشندگان نیز از آن پیروی کرده‌اند و ویژگی‌های مشابهی را در محصولات خود معرفی کرده‌اند.

مهم است که توجه داشته باشید DHCP Snooping یک access layer protection service است و در هسته شبکه قرار ندارد.

نحوه کار DHCP Snooping بسیار ساده است. DHCP Snooping تمام پورت‌های سوئیچ را به دو دسته ساده تقسیم می‌کند:

1. پورت‌های معتبر (Trusted Ports)
2. پورت‌های نامعتبر (Untrusted Ports)

یک پورت معتبر، که به آن منبع معتبر یا اینترفیس معتبر نیز گفته می‌شود، پورتی است که پیام‌های سرور DHCP آن مورد اعتماد هستند زیرا تحت کنترل اداری سازمان است. به عنوان مثال، پورتی که سرور DHCP سازمان شما به آن متصل است، به عنوان پورت معتبر در نظر گرفته می‌شود. این مورد در نمودار زیر نیز نشان داده شده است:

با این روش، DHCP Snooping تنها به سرورهای معتبر اجازه می‌دهد تا آدرس‌های IP را به کلاینت‌ها تخصیص دهند و از توزیع آدرس‌های IP توسط سرورهای غیرمجاز جلوگیری می‌کند. پورت نامعتبر (Untrusted Port)، که به آن منبع نامعتبر یا اینترفیس نامعتبر نیز گفته می‌شود، پورتی است که پیام‌های سرور DHCP آن قابل اعتماد نیستند. مثالی از یک پورت نامعتبر، پورتی است که میزبان‌ها یا کامپیوترها به آن متصل می‌شوند، و در آن باید هیچ‌گونه پیام‌های DHCP OFFER، DHCP ACK یا DHCP NAK مشاهده نشود، چرا که این پیام‌ها فقط توسط سرورهای DHCP ارسال می‌شوند.

ترافیک مسدود شده توسط DHCP Snooping، نقض‌های DHCP Snooping – پیام‌های Syslog

هنگامی که DHCP Snooping فعال می‌شود، سوئیچ شروع به مسدود کردن انواع خاصی از ترافیک DHCP می‌کند تا از شبکه در برابر سرورهای DHCP مخرب محافظت کند. در زیر فهرستی از انواع ترافیک DHCP که DHCP Snooping مسدود می‌کند آورده شده است:

• مسدود کردن پیام‌های DHCP مانند DHCPACK، DHCPNAK، و DHCPOFFER که از یک سرور DHCP غیرمعتبر (اتصال به پورت نامعتبر) نشأت می‌گیرند.
• مسدود کردن پیام‌های DHCP که درخواست آزادسازی یا رد پیشنهاد را دارند، در صورتی که این پیام‌ها از پورتی که مکالمه DHCP اصلی در آن انجام شده است نشأت نگرفته باشند. این به جلوگیری از تلاش مهاجمان برای خاتمه دادن یا رد پیشنهاد DHCP به‌جای کلاینت واقعی کمک می‌کند.
• زمانی که DHCP Relay Agent یک بسته DHCP را که شامل آدرس IP Relay-Agent است که برابر با 0.0.0.0 نیست، یا بسته‌ای که شامل اطلاعات Option 82 باشد به یک پورت نامعتبر ارسال می‌کند. برای تحلیل عمیق‌تر، به مقاله DHCP Option 82 مراجعه کنید.
• مسدود کردن پیام‌های DHCP که در آن آدرس MAC منبع و آدرس MAC کلاینت یکسان نیستند (برای جزئیات بیشتر به پیام DHCP_SNOOPING-5-DHCP_SNOOPING_MATCH_MAC_FAIL بررسی کنید).

پیام‌های Syslog هنگام نقض DHCP Snooping

زمانی که DHCP Snooping یک نقض را تشخیص دهد، بسته DHCP که باعث وقوع این رویداد شده است مسدود شده و پیامی در لاگ سوئیچ ثبت می‌شود. این پیام می‌تواند یکی از موارد زیر را شامل شود:

1. %DHCP_SNOOPING-5-DHCP_SNOOPING_UNTRUSTED_PORT:
   • DHCP Snooping پیام‌های سرور DHCP را از یک پورت نامعتبر شناسایی کرده است. این یک نقض جدی است و معمولاً نشان‌دهنده وجود یک سرور DHCP مخرب است که در یک پورت نامعتبر فعالیت می‌کند.
2. %DHCP_SNOOPING-5-DHCP_SNOOPING_MATCH_MAC_FAIL:
   • DHCP Snooping تشخیص داده است که آدرس MAC منبع در فریم اترنت و آدرس MAC کلاینت در پیام DHCP یکسان نیستند.

این مکانیزم‌ها به سوئیچ‌ها کمک می‌کنند تا از حملات DHCP Starvation، سرورهای DHCP مخرب و حملات Man-in-the-Middle جلوگیری کرده و شبکه را از تهدیدات امنیتی محافظت کنند.

پایگاه داده Binding DHCP Snooping – بررسی ARP دینامیک

هنگامی که DHCP Snooping فعال می‌شود، سوئیچ شروع به ساخت یک پایگاه داده دینامیک می‌کند که حاوی ورودی‌هایی برای هر میزبان غیرمعتبر با آدرس IP اجاره‌شده است، به شرطی که میزبان با یک VLAN که در آن DHCP Snooping فعال است، ارتباط داشته باشد. هیچ ورودی‌ای برای میزبان‌های متصل به اینترفیس‌های معتبر ایجاد نمی‌شود.

هر ورودی در پایگاه داده Binding شامل اطلاعات زیر است:

• آدرس MAC میزبان غیرمعتبر
• آدرس IP اجاره‌شده میزبان غیرمعتبر
• مدت زمان اجاره
• نوع Binding
• شماره VLAN و اینترفیس که میزبان غیرمعتبر به آن متصل است

زمانی که میزبان‌های غیرمعتبر آدرس‌های IP خود را از سرور DHCP معتبر دریافت می‌کنند، سوئیچ به طور خودکار ورودی‌های جدید ایجاد کرده، آن‌ها را به‌روزرسانی و پایگاه داده DHCP Snooping Binding را پاکسازی می‌کند.

نمونه‌هایی از فرآیندها:

• زمانی که مدت اجاره یک آدرس IP منقضی می‌شود یا سوئیچ یک پیام DHCPRELEASE از میزبان غیرمعتبر دریافت می‌کند، ورودی مربوطه از پایگاه داده حذف خواهد شد.
• از سوی دیگر، زمانی که سوئیچ یک پیام DHCPACK از سرور DHCP معتبر دریافت کند که تایید تخصیص آدرس IP به میزبان غیرمعتبر است، یک ورودی جدید در پایگاه داده ایجاد خواهد شد.

دستورات نمایش پایگاه داده Binding:

دستور show ip dhcp snooping binding تمامی ورودی‌ها در پایگاه داده DHCP Snooping Binding را نمایش می‌دهد. خروجی این دستور ممکن است به شکل زیر باشد:

Cat3560-Firewall.cx# show ip dhcp snooping binding

MacAddress         IpAddress      Lease(sec)   Type           VLAN   Interface
------------       ------------   ----------   -------------  ----   -----------------
D0:76:58:0C:BB:80  192.168.4.50   85228        dhcp-snooping   4     GigabitEthernet0/5

Total number of bindings: 1

پایگاه داده Binding و امنیت لایه 2/3

پایگاه داده DHCP Snooping Binding همچنین توسط ویژگی‌های امنیتی دیگر لایه 2 و لایه 3 استفاده می‌شود، مانند Dynamic ARP Inspection، که به محافظت از شبکه در برابر حملات ARP Poisoning و ARP Spoofing کمک می‌کند.

• Dynamic ARP Inspection با بررسی تطابق بین آدرس‌های IP و MAC، از حملات ARP Poisoning جلوگیری می‌کند.
• در این حملات، مهاجمان سعی می‌کنند از طریق جعل آدرس‌های ARP، ترافیک شبکه را رهگیری یا تغییر دهند.

پیکربندی DHCP Snooping در سوئیچ‌های Cisco Catalyst و Cisco Nexus

پیکربندی DHCP Snooping در پلتفرم‌های سوئیچ Cisco Catalyst و Cisco Nexus به تفصیل در مقاله‌های فنی آینده بررسی خواهد شد.

بررسی حملات ARP Poisoning و ARP Spoofing

در مقالات امنیتی آینده، حملات ARP Poisoning و ARP Spoofing و نحوه مقابله با آن‌ها از طریق ویژگی‌هایی مانند Dynamic ARP Inspection به تفصیل توضیح داده خواهند شد.

DHCP Snooping Option 82 – Relay Agent Information

DHCP Option 82 که به نام Relay Agent Information Option نیز شناخته می‌شود، ابتدا توسط RFC 3046 برای این طراحی شد که DHCP relay agent (مانند سوئیچ یا روتر) بتواند خود را شناسایی کرده و همچنین اطلاعاتی از DHCP client که پیام‌های DHCP را ارسال کرده است، فراهم کند. این گزینه به ویژه در پیاده‌سازی‌های شبکه‌های بزرگ Ethernet metropolitan که نیاز به مدیریت مرکزی آدرس‌های IP برای تعداد زیادی از کاربران دارند، مورد استفاده قرار می‌گیرد.

چگونه DHCP Option 82 کار می‌کند؟

هنگامی که DHCP Snooping در یک سوئیچ Cisco Catalyst یا Cisco Nexus فعال می‌شود، سوئیچ به‌طور خودکار فیلد Option 82 را در پیام‌های DHCP کلاینت وارد می‌کند. این فیلد حاوی اطلاعاتی است که به DHCP سرور کمک می‌کند تا تشخیص دهد که درخواست DHCP از کدام Relay Agent (مثل سوئیچ یا روتر) و از کدام پورت فیزیکی در شبکه آمده است.

جزئیات Option 82

1. Relay Agent Information:
   این فیلد اطلاعات مربوط به Relay Agent را شامل می‌شود، مانند:

• آدرس IP پورت ورودی (که بسته DHCP از آن وارد سوئیچ می‌شود)
• آدرس MAC پورت ورودی
• اطلاعات اضافی درباره شبکه یا پیکربندی‌های DHCP

• کاربرد در شبکه‌های بزرگ:
  در شبکه‌های بزرگ مانند شبکه‌های دسترسی متروپولیتن، این فیلد برای شناسایی دقیق‌تر منابع DHCP و کمک به نظارت بر تخصیص آدرس‌های IP به کار می‌رود. این امکان به مدیران شبکه می‌دهد که بتوانند دقیقاً ردیابی کنند که یک درخواست DHCP از کدام دستگاه و پورت فیزیکی در شبکه آمده است.

چگونه سوئیچ‌ها DHCP Option 82 را اضافه می‌کنند؟

زمانی که DHCP Snooping فعال است، سوئیچ به‌طور خودکار اطلاعات Option 82 را به پیام‌های DHCP ارسالی از سوی کلاینت اضافه می‌کند. این اطلاعات شامل جزئیاتی است که به DHCP سرور کمک می‌کند تا منبع درخواست DHCP را شناسایی کرده و فرآیند تخصیص آدرس IP را مطابق با تنظیمات شبکه به طور دقیق انجام دهد.

مزایای استفاده از DHCP Option 82:

1. امنیت بیشتر:
   اضافه کردن Option 82 به پیام‌های DHCP می‌تواند در شناسایی و جلوگیری از حملات DHCP Spoofing مفید باشد، زیرا می‌تواند تشخیص دهد که پیام از یک پورت معتبر یا نامعتبر در شبکه آمده است.
2. مدیریت بهتر:
   این ویژگی به مدیران شبکه کمک می‌کند که اطلاعات دقیقی درباره وضعیت پورت‌های شبکه و دستگاه‌هایی که درخواست IP دارند به دست آورند.
3. دقت در تخصیص آدرس‌های IP:
   با استفاده از اطلاعات اضافه‌شده در Option 82، سرور DHCP می‌تواند تخصیص آدرس‌های IP را بر اساس موقعیت فیزیکی دستگاه‌ها در شبکه تنظیم کند.

DHCP Option 82 اغلب در سازمان‌ها به طور گسترده استفاده نمی‌شود، اما در صورتی که سرور DHCP از آن پشتیبانی کند، می‌تواند یک لایه اضافی از امنیت فراهم کند. به عنوان مثال، سرور DHCP در Windows Server 2012 یا 2016 از Option 82 پشتیبانی می‌کند و به مدیران شبکه این امکان را می‌دهد تا DHCP Policies ایجاد کنند که تخصیص آدرس‌های IP را برای سوئیچ‌های خاص در شبکه کنترل کنند.

پیکربندی سیاست‌های DHCP Option 82

مدیران شبکه می‌توانند از Option 82 برای ایجاد سیاست‌های DHCP استفاده کنند که تخصیص آدرس‌های IP را به سوئیچ‌های خاص در شبکه محدود می‌کند. این ویژگی به ویژه در شبکه‌های بزرگ که چندین سوئیچ یا Relay Agent دارند، مفید است. این قابلیت به سرور DHCP کمک می‌کند تا تخصیص آدرس‌های IP را به دستگاه‌ها و پورت‌های خاص محدود کند.

نتیجه‌گیری:

اگرچه DHCP Option 82 به طور معمول در سازمان‌ها استفاده نمی‌شود، اما زمانی که توسط سرور DHCP پشتیبانی می‌شود، می‌تواند امنیت اضافی و کنترل دقیق‌تری بر تخصیص آدرس‌های IP به شبکه ارائه دهد.

حملات Man-in-the-Middle و اختلالات شبکه ناشی از سرورهای DHCP تقلبی تهدیدات جدی امنیتی هستند که سازمان‌ها به طور روزانه با آن‌ها مواجه هستند. در این مقاله، توضیح دادیم که چگونه حملات Man-in-the-Middle به مهاجمان این امکان را می‌دهد که به ترافیک شبکه دسترسی پیدا کنند و این امر می‌تواند منجر به افشای داده‌های حساس در حال انتقال بین سرورها و کلاینت‌ها شود. همچنین توضیح دادیم که DHCP Snooping چیست، چگونه کار می‌کند و چگونه می‌تواند به طور مؤثری از شبکه در برابر این حملات محافظت کند.

ما نوع ترافیکی که توسط DHCP Snooping مسدود می‌شود، هشدارهای نقض امنیتی و همچنین هدف و عملکرد DHCP Snooping Binding Database را بررسی کردیم. در نهایت، به DHCP Snooping Option 82 اشاره کردیم و توضیح دادیم که چگونه این ویژگی می‌تواند در تقویت امنیت و مدیریت تخصیص آدرس‌های IP در شبکه کمک کند…