Marcin Daczkowski Bartosz M iłosierny

Transkrypt

1 Marcin Daczkowski Bartosz M iłosierny

2 Idea i zastosowanie ProtokółBO O TP ProtokółD H CP M ożliw ościd H CP Konfiguracja serwera DHCP A takiz w ykorzystaniem protokołu D H CP DHCP a IPv6

3 Sieci, w których w iele kom puterów pracuje jako terminale Protokoły BO O TP id H CP zostały zaprojektow ane, żeby dostarczać klientom param etry konfiguracyjne protokołu TCP/IP (np. adres IP) D ziękitem u m ożliw a jest zm iana tejkonfiguracji w jednym m iejscu na serwerze Zmiana ta jest propagowana automatycznie do kom puterów klienckich

4 Zasada działania izastosow ania

5 BOOTP BootStrap Protocol Służy do autokonfiguracjistacjiroboczej Kom unikacja m iędzy serw erem iklientem za pom ocą U D P O m ów iony w RFC 951 Zadania: W yszukanie w łasnego adresu IP (klient) Wyszukanie adresu IP serwera BOOTP W yszukanie pliku, który zostanie załadow any i uruchomiony na maszynie klienta

6 Praca w trybie klient-serwer: Klient 68/UDP Serwer 67/UDP ProtokółBO O TP działa w tejsam ejw arstw ie co protokółip, dlatego m oże być przekazyw any przez routery D w a rodzaje pakietów : Zapytanie O dpow iedź

7 operacja Typ sprzętu D ługość HA Liczba skoków xid Liczba sekund flagi Adres IP klienta Przydzielony adres IP klienta Adres IP serwera Adres IP bramki A dres sprzętow y klienta (16 oktetów ) Nazwa serwera (64 oktety) Plik startow y (128 oktetów ) Opcje producenta (64 oktety)

8 Klient w ypełnia pakiet odpow iednim idanym iirozgłasza ten pakiet ( port 67) Serwer otrzymawszy takie zapytanie: U pew nia się, czy jest w łaściw ym adresatem (nazw a serw era) Sprawdza pole adres IP klienta Sprawdza pole nazwy pliku bootowania W ypełnia pakiet z odpow iedzią stosow nym idanym iiw ysyła go pod konkretny adres IP albo rozgłasza na port U D P 68) Klient otrzym uje odpow iedź: Przyjm uje ją iustaw ia adres IP, adres serw era, adres bram kii nazw ę pliku bootow ania Pobiera plik bootow ania za pom ocą protokołu TFTP

9 Klient odrzuca pakiety z odpow iedzią, które: N ie są adresow ane do portu 68/U D P N ie są adresow ane do jego adresu IP (jeślijest m u znany) N ie są adresow ane do jego adresu M A C N ie m ają pola XID zgodnego z jego XID em.

10 Serw er działa w ram ach superserw era IN ETD albo jako oddzielny program Przydziaładresów IP jest statyczny administrator m usikojarzyć adresy IP z adresam im AC ręcznie Korzystny dla urządzeń stale podłączonych do sieci W celu ograniczenia czynnościkonfiguracyjnych zw iązanych z adresow aniem urządzeń w sieci opracow ano protokółd H CP

11 Zasada działania izastosow ania

12 DHCP == Dynamic Host Configuration Protocol RFC 1531 Zgodny z BOOTP obsługuje żądania klientów BOOTP Przydziałnum erów IP m oże być dynam iczny: Klient m oże uzyskać tym czasow y adres im oże przem ieszczać się m iędzy sieciam i A dm inistrator m a dużą sw obodę w określaniu: Zakresów przydzielanych adresów IP Liczby irodzaju param etrów przekazyw anych do klienta

13 M icrosoft w prow adziłd H CP do system u W indow s N T 3.5 w 1994 (choć M S nie opracow ałsam ego protokołu) Fundacja ISC (Internet Systems Consortium) opracow ała serw er D H CP dla system ów Unix w 1997 a w ersja 2.0 pow stała w 1999 roku W dystrybucjach Linuksa serw er ISC jest dostępny w pakiecie pod nazw ą dhcpd Korporacja Cisco opracow ała w łasny serw er D H CP dla system ów IO S 12.0 w 1999 roku. System Solaris zostałw yposażony w pełną obsługę protokołu w roku 2001 Serw er D H CP zostałtakże sprzętow o zaim plem entow any w niektórych routerach

14 M etoda ręczna: Analogicznie jak w BOOTP adm inistrator ręcznie kojarzy adres sprzętow y klienta z adresem IP Metoda automatyczna: Kiedy klient łączy się z serw erem po raz pierw szy, otrzym uje losow y adres IP, który zostaje na zaw sze przydzielony dla klienta Metoda dynamiczna: Klient dostaje adres IP z pew nejpulina określony okres czasu Po w ygaśnięciu dzierżaw y IP zostaje zabrany im oże zostać przydzielony ponownie

15 operacja Typ sprzętu D ługość HA Liczba skoków xid Liczba sekund flagi Adres IP klienta Przydzielony adres IP klienta Adres IP serwera Adres IP bramki A dres sprzętow y klienta (16 oktetków ) Nazwa serwera (64 oktety) Plik startow y (128 oktetów ) O pcje producenta (zm ienna długość)

16 Jedyna istotna różnica m iędzy pakietem BO O TP a DHCP to pole opcji Pole to zaw iera opcje specyficzne dla tw órcy oprogram ow ania isprzętu Każdy rekord tego pola m a postać TLV (Type, Length, Value) W tym polu przekazyw ane są inform acje o serwerach DNS, nazwie hosta itp..

17 Typy kom unikatów (opcja DHCP message type) DHCPDISCOVER DHCPOFFER DHCPREQUEST DHCPACK DHCPNACK DHCPDECLINE DHCPRELEASE DHCPINFORM

18 Rysunek: Łukasz Bromirski

19 Plik /etc/dhcpd.conf Plik rozpoczyna się od param etrów iopcji stosow anych do w szystkich obsługiw anych podsieci iklientów Późniejnastępują sekcje lokalne definiow ane przez opcje: shared-network sekcja pozw alająca grupow ać kilka podsieci subnet sekcja określająca param etry podsieci, takie jak adres podsieci, zakres num erów IP, adres dom yślnej bramy, adres serwera DNS

20 W każdym pliku dhcpd.conf m usiw ystąpić przynajmniej jedna sekcja subnet Group sekcja pozw alająca zgrupow ać kilka kom puterów Host w pis dotyczący konkretnego kom putera

21 #opcje ogólne dotyczące każdego wpisu poniżej #domena dla klientów option domain-name systemy.sieciowe.edu ; #serwery dns option domain-name-servers , ; #domyślny czas dzierżawy w sekundach default-lease-time 600; #maksymany czas dzierżawy max-lease-time 7200; ddns-update-style none; log-facility local7; #poniżej wpisy dla podsieci i konkretnych maszyn #podsieć subnet netmask { #zasieg przydzielanych ip range ; #domyślna brama option routers ; #adres rozgłoszeniowy option broadcast-address ; } #statyczny wpis dla konkretnego hosta host statycznyhost { #adres ip fixed-address ; #unikalny adres sprzętowy hardware ethernet 0:0:0:0:0:2; }

22 D em onstracja użycia serw era D H CP na różnych system ach

23 Sposoby ataków z w ykorzystaniem protokołu D H CP im etody obrony

24 Rysunek: Łukasz Bromirski

25 Gobbler stara się uzyskać od serw era D H CP w szystkie m ożliw e adresy IP W ym aga to zrealizow ania odpow iednio dużej liczby typowych scenariuszy pobrania konfiguracji (losowe adresy MAC) Jest to tradycyjny atak typu DoS żadna inna stacja nie będzie już m ogła dołączyć do sieci

26 Rysunek: Łukasz Bromirski Bardzo prosto m ożna zabezpieczyć się przed takim atakiem Korzystam y z funkcjonalności port security, która pozw ala ograniczyć dostęp do portu switcha

27 Rysunek: Łukasz Bromirski

28 M ożem y przekazać do klienta dane takie jak: adres IP, m askę, bram ę, serw ery D N S Jak to w ykorzystać? Podstawiona brama atakujący w idziruch w ychodzący z sieci- podsłuchiw anie Podstawiony serwer DNS ataki typu phishing Podstawione IP np. serw erów dla telefonów VoIP, z których będą pobierały firmware

29 Rysunek: Łukasz Bromirski

30 Demo

31 D ziękujem y