{"id":20,"date":"2012-10-20T02:00:06","date_gmt":"2012-10-20T01:00:06","guid":{"rendered":"http:\/\/www.devices.nazwa.pl\/blog\/?p=20"},"modified":"2012-12-03T04:20:03","modified_gmt":"2012-12-03T02:20:03","slug":"rogue-dhcp-server-czyli-problem-z-nieautoryzowanym-serwerem-dhcp","status":"publish","type":"post","link":"https:\/\/blog.devices.pl\/?p=20","title":{"rendered":"Rogue DHCP Server – czyli problem z nieautoryzowanym serwerem DHCP"},"content":{"rendered":"

Pocz\u0105tki<\/strong><\/p>\n

W sieciach ISP opartych o technologie ethernetowe mo\u017cemy klient\u00f3w pod\u0142\u0105cza\u0107 na kilka r\u00f3\u017cnych sposob\u00f3w i w r\u00f3\u017cny spos\u00f3b ich autoryzowa\u0107. Wracaj\u0105c pami\u0119ci\u0105 do dawnych czas\u00f3w kiedy sieci lokalne opiera\u0142y si\u0119 jeszcze na koncentratory\/huby i kable koncentryczne a sam Internet nie by\u0142 jeszcze tak bardzo popularny – adresowanie komputer\u00f3w w sieci odbywa\u0142o si\u0119 cz\u0119sto r\u0119cznie w oparciu o jaki\u015b prefiks z puli tzw. prywatnych (10.0.0.0\/8. 192.168.0.0\/16 172.16.0.0\/12) i dodaniu mu odpowiedniej ko\u0144c\u00f3wki z pami\u0119ci. Je\u015bli sie\u0107 by\u0142a niewielka – powiedzmy by\u0142a to sie\u0107 dla paru s\u0105siad\u00f3w to przypisanie adres\u00f3w „z palca” nie stanowi\u0142o wielkiego problemu.<\/p>\n

W przypadku kiedy u\u017cytkownik\u00f3w przybywa ogarni\u0119cie „r\u0119cznego” wklepywania odpowiedniej konfiguracji bywa k\u0142opotliwe – bo o pomy\u0142k\u0119 nie trudno a \u017ale wpisany adres IP (pomylony adres IP z adresem bramki) mo\u017ce skutecznie wysadzi\u0107 nasz\u0105 sie\u0107 w powietrze (m\u00f3wimy tu o siedzi p\u0142askiej – w kt\u00f3rej nie ma segment\u00f3w oddzielonych routerami). Aby nie m\u0119czy\u0107 si\u0119 z r\u0119cznym klepaniem ustawie\u0144 wymy\u015blono co\u015b takiego co nazywa si\u0119 DHCP<\/strong>.<\/p>\n

Czym jest DHCP i z czym to si\u0119 je?<\/strong><\/p>\n

DHCP (Dynamic Host Configuration Protocol) jest jednym z kilku rozwi\u0105za\u0144 (poza m.in. RARP i BOOTP) pozwalaj\u0105cych na automatyczn\u0105 konfiguracj\u0119 protoko\u0142u IPv4 bez potrzeby r\u0119cznego pami\u0119tania ustawie\u0144 IP dla dowolnego urz\u0105dzenia obs\u0142uguj\u0105cego oczywi\u015bcie ten protok\u00f3\u0142. Z uwagi, \u017ce DHCP nie jest \u017cadn\u0105 nowo\u015bci\u0105 i zasadniczo znakomita wi\u0119kszo\u015b\u0107 dost\u0119pnych urz\u0105dze\u0144 jaki i system\u00f3w operacyjnych obs\u0142uguje ten protok\u00f3\u0142 – u\u017cycie tego rozwi\u0105zania jest niemal oczywiste.<\/p>\n

Protok\u00f3\u0142 DHCP opiera si\u0119 o tradycyjn\u0105 architektur\u0119 klient-serwer. Serwer DHCP zajmuje si\u0119 przechowywaniem ca\u0142ej konfiguracji oraz rejestruje tzw. „dzier\u017cawy” adres\u00f3w IP oraz konfiguracj\u0119 poszczeg\u00f3lnych urz\u0105dze\u0144 w sieci, kt\u00f3re zg\u0142aszaj\u0105 si\u0119 do niego z poszczeg\u00f3lnymi zapytaniami. Klient DHCP wi\u0119c wysy\u0142a do sieci (za pomoc\u0105 broadcastu) zapytanie o mo\u017cliwo\u015b\u0107 przydzielenia adresu IP i je\u015bli w sieci znajduje si\u0119 odpowiedni serwer DHCP otrzymuje on ofert\u0119 „dzier\u017cawy” danego adresu IP lub te\u017c odmow\u0119 je\u015bli np. serwer nie posiada w swojej konfiguracji danego urz\u0105dzenia. Oczywi\u015bcie ca\u0142a procedura jest troszk\u0119 bardziej skomplikowana (szczeg\u00f3\u0142y polecam wyczyta\u0107 na Wikipedii).<\/p>\n

DHCP pr\u00f3cz konfiguracji samego protoko\u0142u IPv4 potrafi r\u00f3wnie\u017c przekazywa\u0107 dodatkowe informacje konfiguracyjne m.in. adresy serwer\u00f3w DNS\/WINS, alternatywne bramy domy\u015blne, nazwy domeny, konfiguracj\u0119 uruchomienia systemu poprzez sie\u0107 (zast\u0119puje BOOTP) itd.<\/p>\n

Konfiguracja serwera DHCP sprowadza si\u0119 w zasadzie do okre\u015blenia przestrzeni adresowej IP (tzw. DHCP Pool) jak\u0105 serwer DHCP ma rozdysponowa\u0107 dla klient\u00f3w oraz na jak d\u0142ugo adres IP ma by\u0107 przypisany dla ewentualnego klienta (lease time – czas dzier\u017cawy). W znakomitej wi\u0119kszo\u015bci router\u00f3w domowych serwer DHCP jest domy\u015blnie w\u0142\u0105czony – wi\u0119c wpinaj\u0105c kabelek lub \u0142\u0105cz\u0105c si\u0119 z nim bezprzewodowo – otrzymamy wolny adres IP (kt\u00f3ry zwykle jest przydzielany dynamicznie i tak\u017ce losowo). Oczywi\u015bcie losowe przypisywanie adresu IP jest nie zawsze po\u017c\u0105dan\u0105 cech\u0105 – dlatego zwykle serwery DHCP pozwalaj\u0105 na ustawienie tzw. statycznej dzier\u017cawy w oparciu o adres MAC urz\u0105dzenia. Pozwala to na sta\u0142e przypisanie adresu IP dla okre\u015blonego urz\u0105dzenia bez jego r\u0119cznej konfiguracji – jest to wi\u0119c najprostszy spos\u00f3b na wprowadzenie \u0142adu i porz\u0105dku w naszej sieci. Dzi\u0119ki DHCP u\u017cytkownik nie musi wi\u0119c pami\u0119ta\u0107 o r\u0119cznej konfiguracji IP – wystarczy, \u017ce my posiadamy odpowiednie wpisy w naszym serwerze.<\/p>\n

O korzy\u015bciach jakie daje nam takie rozwi\u0105zanie nie trzeba nawet wspomina\u0107 – w razie jakiejkolwiek zmiany (np. serwera DNS) nie musimy ka\u017cdorazowo biega\u0107 po u\u017cytkownikach naszej sieci i zmienia\u0107 jakichkolwiek ustawie\u0144. Poza tym w prosty spos\u00f3b mo\u017cemy autoryzowa\u0107 naszych u\u017cytkownik\u00f3w – je\u015bli kto\u015b dopnie si\u0119 do sieci – a nie b\u0119dzie dopisany wcze\u015bniej do systemu – jego komputer oczywi\u015bcie nie pobierze ustawie\u0144 a tym samym nie skorzysta z zasob\u00f3w np. Internetu (pomijam, \u017ce z\u0142amanie tego zabezpieczenia nawet dla dziecka z podstaw\u00f3wki to \u017caden problem).<\/p>\n

No wi\u0119c jaki jest problem z DHCP ?<\/strong><\/p>\n

Nasza sie\u0107 rozrasta si\u0119 a tym samym ilo\u015b\u0107 u\u017cytkownik\u00f3w si\u0119 zwi\u0119ksza. A z lud\u017ami jak to z lud\u017ami – nie ka\u017cdy jest tak bardzo obyty lub tym bardziej zna podstawy dzia\u0142ania tego do czego jest pod\u0142\u0105czony. Dodatkowo dochodzi naturalna sk\u0142onno\u015b\u0107 do „kombinowania” a ju\u017c nie daj bo\u017ce do poprawiania tego co zrobi\u0142 administrator sieci lub instalator. \u00a0Je\u015bli nasza sie\u0107 opiera si\u0119 wi\u0119c w wi\u0119kszo\u015bci na zwyk\u0142ej skr\u0119tce (pomijam PON czy sieci WIFI) to pr\u0119dzej czy p\u00f3\u017aniej zdarzy si\u0119 nam, \u017ce kt\u00f3ry\u015b z u\u017cytkownik\u00f3w wepnie kabelek nie tam gdzie trzeba \u00a0– szczeg\u00f3lnie kiedy w dobie router\u00f3w z WIFI ka\u017cdy chce mie\u0107 Internet w ka\u017cdym domowym urz\u0105dzeniu. O ile pojedynczemu u\u017cytkownikowi Internet mo\u017ce nie dzia\u0142a\u0107 – to zamienienie interfejsu LAN z WANem mo\u017ce spowodowa\u0107 nie lada problem dla wi\u0119kszej grupy u\u017cytkownik\u00f3w – szczeg\u00f3lnie, \u017ce popularne „domowe routerki” r\u00f3wnie\u017c serwer DHCP posiadaj\u0105.<\/p>\n

Dwa serwery DHCP w jednym segmencie to za du\u017co<\/strong><\/p>\n

Je\u015bli klient\u00f3w dopinamy do sieci za pomoc\u0105 prostych (niezarz\u0105dzalnych) prze\u0142\u0105cznik\u00f3w to zasadniczo nie mamy mo\u017cliwo\u015bci wi\u0119kszej obrony w przypadku takiego nieumy\u015blnego lub umy\u015blnego dzia\u0142ania u\u017cytkownika. W przypadku znakomitej wi\u0119kszo\u015bci zarz\u0105dzalnych prze\u0142\u0105cznik\u00f3w istnieje co najmniej kilka sposob\u00f3w na „obron\u0119”. Podstawow\u0105 ochron\u0105 naszej sieci jest przypisanie adresu MAC do konkretnego portu. Je\u015bli u\u017cytkownik zamieni WAN z LANem a \u00a0najcz\u0119\u015bciej LAN ma inny adres MAC – switch nie pozwoli na transmisj\u0119 danych lub po prostu wy\u0142\u0105czy port. Istnieje r\u00f3wnie\u017c mo\u017cliwo\u015b\u0107 skorzystania z bardziej wyrafinowanego zabezpieczenia jakim jest dhcp-snooping – kt\u00f3ry pozwala na wskazanie na kt\u00f3rym porcie w prze\u0142\u0105czniku osi\u0105galny jest serwer DHCP. W przypadku kiedy serwer DHCP pojawi si\u0119 na innym porcie ni\u017c zdefiniowany – ruch z takiego serwera lub portu zostanie zablokowany. Co wi\u0119c mo\u017cemy zrobi\u0107 je\u015bli nie posiadamy zarz\u0105dzalnego prze\u0142\u0105cznika?<\/p>\n

Problem staje si\u0119 bardziej powa\u017cny zwa\u017cywszy, \u017ce wpi\u0119ty „odwrotnie” router mo\u017ce roz\u0142o\u017cy\u0107 nam sie\u0107 lub przynajmniej segment do najbli\u017cszego routera. (Warto zaznaczy\u0107, \u017ce DHCP dzia\u0142a w domenie broadcastowej, wi\u0119c nie przechodzi przez routery – no chyba, \u017ce kto\u015b wstawi DHCP Relay’a). Co wi\u0119c poradzi\u0107 w takim wypadku? Rozwi\u0105zania s\u0105 zasadniczo dwa :<\/p>\n