top of page

Zabezpečenie pred útokom DHCP Spoofing

 

 

Podstata útoku:

Podstatou útoku DHCP spoofing je to aby sa útočník stal prostredným členom v sieťovej komunikácií medzi dvoma systémami. Potom čo sa útočník stane prostredným členom v sieťovej komunikácií, tak je schopný odpočúvať prípadne meniť dáta preposielané medzi týmito dvoma zariadeniami. Útočník môže získať citlivé údaje ako napríklad meno, heslo..., ktoré môže zneužiť.

 

Popis útoku:

Útok DHCP Spoofing pozostáva z dvoch rôznych útokov a to "DHCP Starvarion attack" a "DHCP Rogue Server attack". Útok využíva slabiny protokolu DHCP, ktorý nieje zabezpečený. Útok DCHP Starvation slúži na vyčerpanie IP adries legitímneho DHCP servera. Čiže sa jedná o DOS útok, pretože klient ktorý pošle žiadosť o pridelenie IP adresy, nedostane odpoveď od legitímneho servera, pretože už nemá volné IP adresy na priradenie, pretože DHCP server všetky IP adresy priradil útočníkovi. Druhý útok DCHP Rogue Server spočíva v tom, že útočník vytvorí vlastný DHCP server, ktorý naprogramuje podla potreby. Keď klient odošle žiadosť na pridelenie IP adresy, odpovie mu falošný DHCP server, ktorý vytvoril útočník za cielom podvrhnúť klientovi falošné údaje. Tým že klient prijme falošné údaje, tak sa stáva obeťou a pokiaľ je falošný DHCP server dobre nastavený, tak dôjde k presmerovaniu sieťovej premávky a tak nastane útok typu Man in the middle. 

 

Protokol DHCP:

Pre správne pochopenie útoku je potrebné najprv rozumieť ako funguje protokol DHCP. 

 

 

 

 

Zabezpečenie pred útokom:

  • ​najúčinejšia ochrana pred útokom DHCP spoofing je nepoužívať protokol DHCP servera a využívanie statickej konfigurácie. Ale toto riešenie nieje veľmi efektívne a realizovateľné hlavne vo firemnom prostredí.

  • Nastavenie doby prenájmu IP adresy na čo najdlhší čas, veľmi významne útočníkovy sťaží prácu. No nemôže sa používať na veľkých sieťach, kde sa často pripájajú rôzne stanice. Mohli by sa vyčerpať voľné IP adresy.

Ochrana na cisco zariadeniach:

  • DHCP snooping - odpočúvanie DHCP správ. Prepínač v tomto režime kontroluje správy protokolu DHCP. V prípade že zachytí rizikové správy tak ich blokuje. Prepínač si vytvára väzobnú tabuľku, ktorá mapuje IP adresy a porty. Zostavuje ju podľa prijatých DHCP správ. Prepínač podľa zadefinovanie dôveryhodných portov, kde prepínač predpokladá umiestnenie DHCP servera prijíma tomu zodpovedajúce správy. V prípade že by na nedôveryhodný port prišla správa z DHCP servera, tak ju prepínač zablokuje.

Detekcia útoku:

  • Falošný DHCP server je možné odhaliť pasívnym sledovaním siete, no je to efektívne iba vtedy ak cez administrátora prechádza všetka sieťová prevádzka

  • ak na jeden paket DHCP DISCOVER odpovie viac DHCP serverou znamená že sa na sieti nachádza viac DHCP serverov.

  • v prípade že paket DHCP OFFER má inú IP a MAC adresu ako legitímny DHCP server tak sa jedná o falošný DHCP server.

  • falošný DHCP server je možné odhaliť aj aktívnym generovaním paketov DHCP DISCOVER v pravidelných intervaloch a kontrolovanie odpovedí DHCP OFFER, ale jedná sa o veľmi nápadný pokus, ktorý si ľahko môže všimnúť útočník

© 2015 Vytvoril Ján Ivák

bottom of page