درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
دوره های مرتبط
دوره آموزشی بین المللی MCSA ویندوز سرور 2012 کد 70-410
مدرس: isaac
این دوره را در 37 قسط خریداری کنید
دوره آموزشی مقدماتی نرم افزار Wireshark
مدرس: mabedini
این دوره را در 8 قسط خریداری کنید
دوره آموزشی مدیریت کلاس از راه دور و مانیتورینگ با NetOP
مدرس: emasis
این دوره را در 2 قسط خریداری کنید
دوره آموزشی تخصصی مانیتورینگ شبکه Zabbix در لینوکس
مدرس: m.asmaei
این دوره را در 25 قسط خریداری کنید
آموزش مانیتورینگ شبکه با نرم افزار قدرتمند ManageEngine OpManager
مدرس: jeffar
این دوره را در 9 قسط خریداری کنید
دوره آموزشی سیسکو آسان است
مدرس: emasis
این دوره را در 35 قسط خریداری کنید
نصب ویندوز به روش Backup های مستقل از سخت افزار با Acronis True Image
مدرس: milad.fashi
این دوره را در 4 قسط خریداری کنید
دوره آموزشی نصب ، راه اندازی و پیکربندی فایل سرور Serv-U
مدرس: taghandiki
این دوره را در 11 قسط خریداری کنید
آشنایی با زیرساخت های شبکه و پیکربندی کامل مودم های ADSL
مدرس: ptaabodi
این دوره را در 3 قسط خریداری کنید
دوره آموزشی تجزیه و تحلیل ترافیک شبکه با Wireshark
مدرس: mabedini
این دوره را در 5 قسط خریداری کنید

Rogue DHCP چیست ؟ جلوگیری از آن در WISP ها به کمک میکروتیک

0 نظرات
76 بازدیدها
Rogue DHCP چیست ؟ جلوگیری از آن در WISP ها به کمک میکروتیک
Rogue DHCP سرور ها در واقع DHCP سرور هایی هستند که یا بصورت مناسبی تنظیم نشده اند و یا اینکه ناخواسته یا بدون مجوز و بدون اطلاع مدیر شبکه در شبکه فعالیت میکنند . بیشتر اینگونه سرور ها برای فعالیت های مخرب مورد استفاده قرار می گیرند و در حملات مخرب به شبکه کاربر دارند. حتی اگر این سرور ها عملیات تخریبی انجام نداده و صرفا بصورت تصادفی در شبکه ایجاد شده باشند می توانند عملکرد سیستم ها و به ویژه کلاینت های شبکه را مختل کنند ، در صورت وجود چنین DHCP سرور هایی در شبکه کلاینت ها از این سرویس استفاده کرده و تنظیمات IP دریافت می کنند که مرتبط با شبکه فعلی نبوده و یا تنظیمات نادرستی می باشد ، برای مثال آدرس Gateway و یا DNS متفاوتی با آنچه در محیط واقعی شبکه وجود دارد دریافت می کنند ، یک هکر می تواند با راه اندازی یک DHCP سرور به این شکل خود را به عنوان سرویس دهنده به کلاینت معرفی کند و کلیه ترافیکی که توسط وی تولید می شود را مانیتور یا بهتر بگوییم Sniff کند. (اقتباس از مقاله مهندس نصیری)

برای درک این موضوع به سناریوی زیر دقت کنید:

Rogue DHCP

شکل 1 -WISP


در این سناریو ما یک WISP هستیم و قصد داریم مشترک های خود را طریق دو عدد AP به PPPOE Server متصل کنیم.
کلاینت ها از طریق Bridge به AP ها متصل هستند و از طریق کانکشن PPPOE در اکسس پوینت به اینترنت متصل میشن.
در حالت کلی هر کلاینت شبکه داخلی خود را دارد و از DHCP Server موجود در اکسس پوینت Ip می گیرد.
همانطور که می دانید ازتباط Bridge یک ارتباط لایه 2 می باشد. Bridge نیز همانند Switch قادر است دو یا چند شبکه همنوع (Ethernet) را به هم پیوند بزند و فریمها را بین انها مبادله نماید ، از این دیدگاه فرقی با هم ندارند و متخصصین شبکه این دو را معادل یکدیگر میدانند. تنها نکته ای که Bridge را از Switch متمایز میکند آنست که Bridge می توانند دو شبکه غیر همنوع (مثل Wireless و Ethernet)را بهم متصل کرده و عملیات تغییر و تبدیل فریمها و نهایتا هدایت آنها را انجام بدهد.


برای درک بهتر موضوع ابتدا با نحوه عملکرد پروتکل DHCP آشنا می شویم.
DHCP Operation

شکل 2 – DHCP operation

عملکرد DHCP به چهار قسمت پایه تقسیم می‌گردد:
• اکتشاف (DHCP Discovery)
• پیشنهاد (DHCP Offer)
• درخواست (DHCP Request)
• تصدیق (DHCP Acknowledgement)
این چهار مرحله به صورت خلاصه با عنوان DORA شناخته می‌شوند که هر یک از حرف‌ها، سرحرف مراحل بالا می‌باشد.
DHCP Discovery (اکتشاف DHCP)
هر سرویس گیرنده (کاربر) برای شناسایی سرورهای DHCP موجود اقدام به فرستادن پیامی در زیر شبکه خود می‌کند. مدیرهای شبکه می‌توانند مسیریاب محلی را به گونه ایی پیکربندی کنند که بتواند بسته داده‌ای DHCP را به یک سرور DHCP دیگر که در زیر شبکه متفاوتی وجود دارد، بفرستد. این مهم باعث ایجاد بسته داده با پروتکل UDP می‌شود که آدرس مقصد ارسالی آن ۲۵۵٫۲۵۵٫۲۵۵٫۲۵۵ و یا آدرس مشخص ارسال زیر شبکه می‌باشد. کاربر (سرویس گیرنده) DHCP همچنین می‌تواند آخرین آی پی آدرس شناخته شده خود را درخواست بدهد. اگر سرویس گیرنده همچنان به شبکه متصل باشد در این صورت آی پی آدرس معتبر می‌باشد و سرور ممکن است که درخواست را بپذیرد. در غیر اینصورت، این امر بستگی به این دارد که سرور به عنوان یک مرجع معتبر باشد. یک سرور به عنوان یک مرجع معتبر درخواست فوق را نمی‌پذیرد و سرویس گیرنده را مجبور می‌کند تا برای درخواست آی پی جدید عمل کند. یک سرور به عنوان یک مرجع غیرمعتبر به سادگی درخواست را نمی‌پذیرد و آن را به مثابهی یک درخواست پیاده‌سازی از دست رفته تلقی می‌کند؛ و از سرویس گیرنده می‌خواهد درخواست را لغو و یک آی پی آدرس جدید درخواست کند.

DHCP Offer (پیشنهاد DHCP)
زمانی که یک سرور DHCP یک درخواست را از سرویس گیرنده (کاربر) دریافت می‌کند، یک آی پی آدرس را برای سرویس گیرنده رزو می‌کند و آن را با نام DHCP Offer برای کاربر می‌فرستد. این پیام شامل: MAC آدرس (آدرس فیزیکی دستگاه) کاربر؛ آی پی آدرسی پیشنهادی توسط سرور؛ Subnet Mask آی پی؛ زمان تخصیص آی پی (lease Duration) و آی پی آدرس سروری می‌باشد که پیشنهاد را داده است.

DHCP Request (درخواست DHCP)
سرویس گیرنده با یک درخواست به مرحله پیشین پاسخ می‌گوید. یک کاربر می‌تواند پیشنهادهای‌های مختلفی از سرورهای متفاوت دریافت کند. اما فقط می‌تواند یکی از پیشنهادها را بپذیرد. بر اساس تنظیمات شناسایی سرور در درخواست و فرستادن پیام‌ها (identification option)، سرورها مطلع می‌شوند که پیشنهاد کدام یک پذیرفته شده است. هنگامی که سرورهای DHCP دیگر این پیام را دریافت می‌کنند، آن‌ها پیشنهادهای دیگر را، که ممکن است به کاربر فرستاده باشند، باز پس می‌گیرند و آن‌ها را در مجموعه آی پی‌های در دسترس قرار می‌دهند.

DHCP Acknowledgement (تصدیق DHCP)
هنگامی که سرور DHCP، پیام درخواست DHCP را دریافت می‌کند، مراحل پیکربندی به فاز پایانی می‌رسد. مرحله تصدیق شامل فرستادن یک بسته داده‌ای (DHCP Pack) به کاربر می‌باشد. این داده بسته ای شامل: زمان تخصیص آی پی و یا هرگونه اطلاعات پیکربندی که ممکن بوده است که سرویس گیرنده درخواست کرده باشد، می‌باشد. در این مرحله فرایند پیکربندی آی پی کامل شده است.
حال تصور کنید که ما یک DHCP Server در روی اینترفیس Bridge یکی از رادیو های کلاینت قرار بدیم. چه اتفاقی میافتد؟

به تصویر زیر دقت کنید:

Image

شکل 3 – DHCP Offer

یکت DHCP Offer از ذوی بستر Bridge عبور می کند و به مقصد همه ی کلاینت های روی هر دو AP ارسال می شود و هر Node در شبکه که روی DHCP Client تنظیم شده باشد و این پکت را دریافت کند به آن پاسخ می شدهد و یک DHCP Request به به سمت آن DHCP Server ارسال می کند.

Image

شکل 4 - DHCP Request

DHCP Server در پاسخ یک پکت DHCP ACK ارسال می کند که حاوی IP , Gateway , DNS و ... می باشد.

Image

شکل 5 – DHCP ACK


با تعییر Gateway , DNS , IP Address می توان گفت که شبکه ما مختل شده است. به این می گویند Roge DHCP که خواسته یا ناخواسته توسط کلاینت ها در شبکه و عدم دقت کافی در کانفیگ AP ها توسط WISP ها بوجود می آید.
اکنون برای جلوگیری از این مشکل چه باید کرد:
1- جلوگیری از ارتباط کلاینت های یک AP با سایر کلاینت های همان AP
برای این کار وارد تنظیمات کارت شبکه AP می شویم و مراحل زیر را انجام می دهیم

گزینه Defualt Forward را غیر فعال می کنیم

Image


شکل 5 – AP Config

Image

شکل 5 – AP Config

اگر مراحل فوق را به درستی طی کرده باشد نتیجتا دیگر کلاینت های روی این AP نمی توانند با یکدیگر ارتباط برقرار کنند.
2- جلوگیری از ارتباط کلاینت های AP1 با کلاینت های AP2
این کار به دو روش امکان پذیر است:
a. جدا کردن Broadcast هر AP توسط Vlan
در این روش ما AP ها را بوسیله یک Management Switch به PPPOE Server متصل می کنیم و هر کدام از پورت های Switch که AP ها به آنها متصل هستند را در یک Broadcact منحصر به فرد قرار می دهیم. با این کار مشترک های هر AP را از سایر AP ها جدا میکنیم و کلاینت ها دیگر نمی توانند به کلاینت های سایر AP ها پکت ارسال کنند.
b. با استفاده از Bridge Filter Rule
به این نکته دقت کنید که ما سرویس اینترنت را بصورت PPPOE به کلاینت ها عرضه می کنیم پس ضرورتی ندارد که پروتکل های دیگری بغیر از PPPOE از بستر Bridge ما عبور کنند. برای جلوگیری از عبور سایر پروتکل کد های زیر را در ترمینال روتر کپی می کنیم:


/interface bridge filter
add action=accept chain=forward in-interface=wlan1 in-interface-list=all \
mac-protocol=pppoe-discovery
add action=accept chain=forward in-interface=wlan1 in-interface-list=all \
mac-protocol=pppoe
add action=drop chain=forward in-interface=wlan1 in-interface-list=all

و یا مراحل زیر را انجام می دهیم:

Image

Image

Image




اگر مراحل فوق را به درستی انجام داده باشید دیگر هیچ کلاینتی نمی تواند به AP ها پروتکلی غیر از PPPOE ارسال کند.


سربلند و سر به زیر باشید

مهندس عزیزاله بندزن

ذکر بدون نام منبع اشکال شرعی دارد
برچسب ها
ردیف عنوان قیمت
1 آموزش استفاده از Source NAT در روترهای میکروتیک رایگان
2 آموزش اتصال به اینترنت از طریق SXT Mikrotik رایگان
3 آموزش Dst-NAT Firewall میکروتیک رایگان
4 نحوه ی ریست کردن سخت افزاری روتر های میکروتیک رایگان
5 پیکر بندی پروتکل (Virtual Router Redundancy Protocol)VRRP روی تجهیزات میکروتیک رایگان
6 Rogue DHCP چیست ؟ جلوگیری از آن در WISP ها به کمک میکروتیک رایگان
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید

    arrow