Marcin Daczkowski Bartosz M iłosierny
Idea i zastosowanie ProtokółBO O TP ProtokółD H CP M ożliw ościd H CP Konfiguracja serwera DHCP A takiz w ykorzystaniem protokołu D H CP DHCP a IPv6
Sieci, w których w iele kom puterów pracuje jako terminale Protokoły BO O TP id H CP zostały zaprojektow ane, żeby dostarczać klientom param etry konfiguracyjne protokołu TCP/IP (np. adres IP) D ziękitem u m ożliw a jest zm iana tejkonfiguracji w jednym m iejscu na serwerze Zmiana ta jest propagowana automatycznie do kom puterów klienckich
Zasada działania izastosow ania
BOOTP BootStrap Protocol Służy do autokonfiguracjistacjiroboczej Kom unikacja m iędzy serw erem iklientem za pom ocą U D P O m ów iony w RFC 951 Zadania: W yszukanie w łasnego adresu IP (klient) Wyszukanie adresu IP serwera BOOTP W yszukanie pliku, który zostanie załadow any i uruchomiony na maszynie klienta
Praca w trybie klient-serwer: Klient 68/UDP Serwer 67/UDP ProtokółBO O TP działa w tejsam ejw arstw ie co protokółip, dlatego m oże być przekazyw any przez routery D w a rodzaje pakietów : Zapytanie O dpow iedź
0 8 16 24 31 operacja Typ sprzętu D ługość HA Liczba skoków xid Liczba sekund flagi Adres IP klienta Przydzielony adres IP klienta Adres IP serwera Adres IP bramki A dres sprzętow y klienta (16 oktetów ) Nazwa serwera (64 oktety) Plik startow y (128 oktetów ) Opcje producenta (64 oktety)
Klient w ypełnia pakiet odpow iednim idanym iirozgłasza ten pakiet (255.255.255.255 port 67) Serwer otrzymawszy takie zapytanie: U pew nia się, czy jest w łaściw ym adresatem (nazw a serw era) Sprawdza pole adres IP klienta Sprawdza pole nazwy pliku bootowania W ypełnia pakiet z odpow iedzią stosow nym idanym iiw ysyła go pod konkretny adres IP albo rozgłasza na port U D P 68) Klient otrzym uje odpow iedź: Przyjm uje ją iustaw ia adres IP, adres serw era, adres bram kii nazw ę pliku bootow ania Pobiera plik bootow ania za pom ocą protokołu TFTP
Klient odrzuca pakiety z odpow iedzią, które: N ie są adresow ane do portu 68/U D P N ie są adresow ane do jego adresu IP (jeślijest m u znany) N ie są adresow ane do jego adresu M A C N ie m ają pola XID zgodnego z jego XID em.
Serw er działa w ram ach superserw era IN ETD albo jako oddzielny program Przydziaładresów IP jest statyczny administrator m usikojarzyć adresy IP z adresam im AC ręcznie Korzystny dla urządzeń stale podłączonych do sieci W celu ograniczenia czynnościkonfiguracyjnych zw iązanych z adresow aniem urządzeń w sieci opracow ano protokółd H CP
Zasada działania izastosow ania
DHCP == Dynamic Host Configuration Protocol RFC 1531 Zgodny z BOOTP obsługuje żądania klientów BOOTP Przydziałnum erów IP m oże być dynam iczny: Klient m oże uzyskać tym czasow y adres im oże przem ieszczać się m iędzy sieciam i A dm inistrator m a dużą sw obodę w określaniu: Zakresów przydzielanych adresów IP Liczby irodzaju param etrów przekazyw anych do klienta
M icrosoft w prow adziłd H CP do system u W indow s N T 3.5 w 1994 (choć M S nie opracow ałsam ego protokołu) Fundacja ISC (Internet Systems Consortium) opracow ała serw er D H CP 1.0.0 dla system ów Unix w 1997 a w ersja 2.0 pow stała w 1999 roku W dystrybucjach Linuksa serw er ISC jest dostępny w pakiecie pod nazw ą dhcpd Korporacja Cisco opracow ała w łasny serw er D H CP dla system ów IO S 12.0 w 1999 roku. System Solaris zostałw yposażony w pełną obsługę protokołu w roku 2001 Serw er D H CP zostałtakże sprzętow o zaim plem entow any w niektórych routerach
M etoda ręczna: Analogicznie jak w BOOTP adm inistrator ręcznie kojarzy adres sprzętow y klienta z adresem IP Metoda automatyczna: Kiedy klient łączy się z serw erem po raz pierw szy, otrzym uje losow y adres IP, który zostaje na zaw sze przydzielony dla klienta Metoda dynamiczna: Klient dostaje adres IP z pew nejpulina określony okres czasu Po w ygaśnięciu dzierżaw y IP zostaje zabrany im oże zostać przydzielony ponownie
0 8 16 24 31 operacja Typ sprzętu D ługość HA Liczba skoków xid Liczba sekund flagi Adres IP klienta Przydzielony adres IP klienta Adres IP serwera Adres IP bramki A dres sprzętow y klienta (16 oktetków ) Nazwa serwera (64 oktety) Plik startow y (128 oktetów ) O pcje producenta (zm ienna długość)
Jedyna istotna różnica m iędzy pakietem BO O TP a DHCP to pole opcji Pole to zaw iera opcje specyficzne dla tw órcy oprogram ow ania isprzętu Każdy rekord tego pola m a postać TLV (Type, Length, Value) W tym polu przekazyw ane są inform acje o serwerach DNS, nazwie hosta itp..
Typy kom unikatów (opcja DHCP message type) DHCPDISCOVER DHCPOFFER DHCPREQUEST DHCPACK DHCPNACK DHCPDECLINE DHCPRELEASE DHCPINFORM
Rysunek: Łukasz Bromirski
Plik /etc/dhcpd.conf Plik rozpoczyna się od param etrów iopcji stosow anych do w szystkich obsługiw anych podsieci iklientów Późniejnastępują sekcje lokalne definiow ane przez opcje: shared-network sekcja pozw alająca grupow ać kilka podsieci subnet sekcja określająca param etry podsieci, takie jak adres podsieci, zakres num erów IP, adres dom yślnej bramy, adres serwera DNS
W każdym pliku dhcpd.conf m usiw ystąpić przynajmniej jedna sekcja subnet Group sekcja pozw alająca zgrupow ać kilka kom puterów Host w pis dotyczący konkretnego kom putera
#opcje ogólne dotyczące każdego wpisu poniżej #domena dla klientów option domain-name systemy.sieciowe.edu ; #serwery dns option domain-name-servers 212.122.221.129, 212.122.192.34; #domyślny czas dzierżawy w sekundach default-lease-time 600; #maksymany czas dzierżawy max-lease-time 7200; ddns-update-style none; log-facility local7; #poniżej wpisy dla podsieci i konkretnych maszyn #podsieć subnet 192.168.5.0 netmask 255.255.255.0 { #zasieg przydzielanych ip range 192.168.5.2 192.168.5.10; #domyślna brama option routers 192.168.5.1; #adres rozgłoszeniowy option broadcast-address 192.168.5.255; } #statyczny wpis dla konkretnego hosta host statycznyhost { #adres ip fixed-address 192.168.5.11; #unikalny adres sprzętowy hardware ethernet 0:0:0:0:0:2; }
D em onstracja użycia serw era D H CP na różnych system ach
Sposoby ataków z w ykorzystaniem protokołu D H CP im etody obrony
Rysunek: Łukasz Bromirski
Gobbler stara się uzyskać od serw era D H CP w szystkie m ożliw e adresy IP W ym aga to zrealizow ania odpow iednio dużej liczby typowych scenariuszy pobrania konfiguracji (losowe adresy MAC) Jest to tradycyjny atak typu DoS żadna inna stacja nie będzie już m ogła dołączyć do sieci
Rysunek: Łukasz Bromirski Bardzo prosto m ożna zabezpieczyć się przed takim atakiem Korzystam y z funkcjonalności port security, która pozw ala ograniczyć dostęp do portu switcha
Rysunek: Łukasz Bromirski
M ożem y przekazać do klienta dane takie jak: adres IP, m askę, bram ę, serw ery D N S Jak to w ykorzystać? Podstawiona brama atakujący w idziruch w ychodzący z sieci- podsłuchiw anie Podstawiony serwer DNS ataki typu phishing Podstawione IP np. serw erów dla telefonów VoIP, z których będą pobierały firmware
Rysunek: Łukasz Bromirski
Demo
D ziękujem y