DHCP Servisine Yeni Bir Bakış (New Look at DHCP Service)
0 likes192 views
DHCP servisinnde sorunlar ve bu sorunlara çözüm olabilecek yeni teknikler sunulmaktadır. Ayrıca option 82 ile farklı bir IP dağıtım stratejisine geçilebileceğinden bahsedilmektedir. (Problems of DHCP Services and solution to these problems with new technics, contact me if english is needed)
DHCP Servisine Yeni Bir Bakış (New Look at DHCP Service)
- 1. DHCP SERVĐSĐNEDHCP SERVĐSĐNE YENĐ BĐR BAKIŞYENĐ BĐR BAKIŞ Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ODTU / ANKARAĐNET-TR 2008 ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi http://www2.itu.edu.tr/~akingok
- 2. DHCP ServisiDHCP Servisi Dynamic Host Configuration Protocol”, RFC 2131: IP bazlı çalışan istemcilerin IP adresleri, alt ağ ODTU / ANKARAĐNET-TR 2008 IP bazlı çalışan istemcilerin IP adresleri, alt ağ maskeleri gibi tanımlanması gereken ayarların otomatik olarak bir sunucu tarafından ayarlanmasını sağlayan protokol
- 3. DHCP ServisiDHCP Servisi ODTU / ANKARAĐNET-TR 2008
- 4. DHCP Servisinin Güvenlik SorunlarıDHCP Servisinin Güvenlik Sorunları A.DHCP Sunucusunun IP Havuzunun Boşaltılması ODTU / ANKARAĐNET-TR 2008
- 5. DHCP Servisinin Güvenlik SorunlarıDHCP Servisinin Güvenlik Sorunları B.Yetkisiz DHCP Sunucusu Kurulumu ile Đstemcilere Yanlış Adreslerin Atanması ODTU / ANKARAĐNET-TR 2008
- 6. DHCP Servisinin Güvenlik SorunlarıDHCP Servisinin Güvenlik Sorunları 1. Kendisini ağ geçidi gösterir. IP dağıttığı herkesin trafiğini kendi üzerinden geçirir. (Aradaki adam atağı) Fazla sayıda bilgisayar için ağ geçidi olması B.Yetkisiz DHCP Sunucusu Kurulumu ile Yapılabilecekler: ODTU / ANKARAĐNET-TR 2008 Fazla sayıda bilgisayar için ağ geçidi olması durumunda ağ erişiminde yavaşlama olacaktır. Bu durum tespit edilmesini kolaylaştırır. SSL ile güvenli şekilde erişilen siteler ile ilgili bilgilere erişim sağlanamaz.
- 7. DHCP Servisinin Güvenlik SorunlarıDHCP Servisinin Güvenlik Sorunları 2. Đstemcilere sahte DNS sunucusu IP’si dağıtabilir. DNS sunucusu sorunsuz çalıştığı sürece tespiti biraz süre alabilir. B.Yetkisiz DHCP Sunucusu Kurulumu ile yapılabilecekler: ODTU / ANKARAĐNET-TR 2008 tespiti biraz süre alabilir. Bankacılık vb sitelere ulaşılmak istendiğinde kullanıcı sahte siteye yönlendirilebilir. SSL güvenliği sahte sitenin geçerli sertifikaya sahip olmadığını uyarabilir.
- 8. DHCP Servisinin Güvenlik SorunlarıDHCP Servisinin Güvenlik Sorunları ODTU / ANKARAĐNET-TR 2008 ĐKĐ FARKI BULUN
- 9. Değişen ŞartlarDeğişen Şartlar 1. Aynı yerel alan ağına aynı kurumun personeli bağlanıyordu, DHCP ve benzeri Önceki Koşullar: Bu şekilde saldırı ihtimali hep vardı. Neden şimdi önemli? ODTU / ANKARAĐNET-TR 2008 atak firma içi bir personel tarafından yapılabilirdi. 2. Dial-up ve DSL gibi Internet erişimlerinde DHCP ve benzeri L2 ataklar yapılamıyordu.
- 10. Günümüzdeki Koşullar: 1. Aynı broadcast domain’de personel olmayan kullanıcıların kablosuz veya kablolu erişimi arttı 2. Bu gibi atakları yapabilen Worm vb zararlı yazılımların yaygın hale gelmesi Değişen ŞartlarDeğişen Şartlar ODTU / ANKARAĐNET-TR 2008 1. Otel,yurt gibi kısmen kontrol altında olan yerde Internet erişimi sağlanması yazılımların yaygın hale gelmesi 2. Geçici misafir erişimi sağlanması Kullanım Yerleri:
- 11. ĐTÜ’de 2008 Sonbaharında Yaşanan OlayĐTÜ’de 2008 Sonbaharında Yaşanan Olay ODTU / ANKARAĐNET-TR 2008
- 12. ĐTÜ’de 2008 Sonbaharında Yaşanan OlayĐTÜ’de 2008 Sonbaharında Yaşanan Olay SAHTE SUNUCU: -Đstemciye doğru ağ geçidi adresi, - Doğru Altağ Maskesi - Doğru DHCP sunucusu adresini - Çalışan ama Ukrayna’da bulunan DNS Sunucusu - Tek hata 160.75.200.0 255.255.255.0 Ağına alt ODTU / ANKARAĐNET-TR 2008 - Tek hata 160.75.200.0 255.255.255.0 Ağına alt ağ maskesini hesaba katmadan B Sınıfından Örneğin 160.75.143.0 gibi gelişi güzel IP vermesi.
- 13. - DHCP mesajları için kimlik denetimi, RFC 3118 (yıl 2001) -DHCP Dinleyici programlar, istemci gibi IP adresi isteğinde bulunup cevap veren DHCP sunucularını loglayan yazılımlar kullanmak (Örnek: DHCP Probe) DHCP Servisine Yönelik Güvenlik ÇözümleriDHCP Servisine Yönelik Güvenlik Çözümleri ODTU / ANKARAĐNET-TR 2008 -802.1X kimlik denetim sistemi kullanılması -Yerel alan ağı 2. katman anahtarlarında DHCP Snooping özelliği ile sadece yetkili porta takılı istemcinin DHCP sunucusu olabilmesinin sağlanabilmesi
- 14. DHCP Servisine Yönelik Güvenlik ÇözümleriDHCP Servisine Yönelik Güvenlik Çözümleri DHCP SNOOPING DESTEKLI ANAHTAR Güvenilen Port YETKISIZ SUNUCU CEVABI Güvenilmeyen Port XYETKILI SUNUCU CEVABI DHCP Snooping Çözümü ODTU / ANKARAĐNET-TR 2008 Güvenilen Port IP ISTEGI Güvenilmeyen Port DHCP SUNUCUSU
- 15. DHCPDHCP OptionOption 82 Verisinin Değerlendirilmesi82 Verisinin Değerlendirilmesi DHCP Snooping Destekli Anahtar MAC Adresi:00AA.AAAA.AAAA DHCP’den IP alan ODTU / ANKARAĐNET-TR 2008 DHCP SUNUCUSU TABLOSU IP Adresi Donanım(MAC) Adresi Bağlandığı anahtarın Adresi Portu 10.0.0.100 0011.1010.1010 00AA.AAAA.AAAA 5 10.0.0.102 0011.1212.1212 00AA.AAAA.AAAA 6 5 Numarlı Port Bağlı Đstemci
- 16. SAHİP OLUNAN ANAHTAR CİHAZ LİSTESİ Anahtarın MAC Adresi IP adresi Modeli Kampüsteki Yeri 00AA.AAAA.AAAA 10.0.0.1 ABC 24 port Ethernet Sw Insaat Fakultesi 1.Kat 00AA.AAAA.AAAB 10.0.0.2 ABC 24 port Ethernet Sw Insaat Fakultesi 2.Kat 00AA.AAAA.AAAC 10.0.0.3 ABC 24 port Ethernet Sw Insaat Fakultesi 3.Kat CİHAZLARIN PORTLARINA BAĞLANTI DETAYI Anahtarın MAC Adresi Port no Priz No Oda 00AA.AAAA.AAAA 1 11 101 nolu oda 00AA.AAAA.AAAA 2 12 101 nolu oda 00AA.AAAA.AAAA 3 13 102 nolu oda 00AA.AAAA.AAAA 4 14 102 nolu oda 00AA.AAAA.AAAA 5 15 103 nolu oda 00AA.AAAA.AAAA 6 16 103 nolu oda 00AA.AAAA.AAAA 7 17 104 nolu oda 00AA.AAAA.AAAA 8 18 104 nolu oda Tasarlanabilecek Yeni DHCP SunucusuTasarlanabilecek Yeni DHCP Sunucusu ODTU / ANKARAĐNET-TR 2008 OPTION 82 BİLGİSİ İLE BERABER DHCP SUNUCUSU LOGU Anahtarın MAC Adresi Port No Verilen IP adresi İstemcinin MAC Adresi Verilme Tarihi Verilme Saati 00AA.AAAA.AAAA 5 10.10.0.1 00BB.BBBB.BBBB 10.10.2008 10:21 Ayrıca port bazlı DHCP Rezervasyonu da yapılabilir.
- 17. Statik IP Verilmesinin EngellenmesiStatik IP Verilmesinin Engellenmesi 00AA.AAAA.AAAA MAC ADRESLİ ANAHTARIN DHCP BINDING TABLOSU Port No Verilen IP adresi Istemcinin MAC Adresi Verilme Tarihi Verilme Saati 5 10.10.0.1 00BB.BBBB.BBBB 10.10.2008 10:21 7 10.10.0.2 00BB.BBBB.BBBC 10.10.2008 12:10 Source Guard Özelliği Anahtar cihazı “Source Guard” açıldığı zaman tuttuğu bu tablo dışındaki bir IP adresi dışında hiçbir ODTU / ANKARAĐNET-TR 2008 tuttuğu bu tablo dışındaki bir IP adresi dışında hiçbir istemcinin ağa erişmesine izin vermez. Ancak bu özelliğe sahip anahtar cihazları biraz pahalı olduğundan bütün istemcileri böyle bir cihaza bağlamak pek mümkün olmuyor.
- 18. Başka Bir ÇözümBaşka Bir Çözüm MERKEZİ YÖNLERDİRİCİ ARP TABLOSU KAYIT OLAN İSTEMCİNİN SIRA NO IP ADRESİ MAC ADRESİ 1 10.10.0.1 00BB.BBBB.BBBB 2 10.10.0.2 00BB.BBBB.BBBC 3 10.10.0.50 00CC.CCCC.CCCC FARK Yöneticiyi uyaran Log! ODTU / ANKARAĐNET-TR 2008 00AA.AAAA.AAAA MAC ADRESLİ ANAHTARIN DHCP BINDING TABLOSU Port No Verilen IP adresi Istemcinin MAC Adresi Verilme Tarihi Verilme Saati 5 10.10.0.1 00BB.BBBB.BBBB 10.10.2008 10:21 7 10.10.0.2 00BB.BBBB.BBBC 10.10.2008 12:10 Belirli sıklıkta merkezi L3 cihazının ARP tablosu DHCP sunucusu tarafından alınıp ARP tablosundakĐ IPler ile DHCP tablosu ile karşılaştırılır.
- 19. SonuçlarSonuçlar Giderek daha yaygın olarak kamuya açık yerlerde birbirlerini tanımayan istemciler aynı yerel alan ağlarına bağlanmaktadırlar. Buda DHCP atağı gibi bir çok atağın daha çok gündeme gelmesine sebep olmaktadır. Yeni kurulan alt yapılarda bu gibi tehditlerin de göz önünde bulundurulması önemlidir. - ODTU / ANKARAĐNET-TR 2008 DHCP logunun dikkatlice tutulmasının yanı sıra Option 82 desteğinin de bulunması durumunda kullanıcı takibinde bu veride mutlaka değerlendirilmelidir. -
- 20. TeşekkürlerTeşekkürler ODTU / ANKARAĐNET-TR 2008 Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi http://www2.itu.edu.tr/~akingok