it-swarm-tr.com

DHCP ve Statik IP Adresleme

DHCP ve Statik IP adresleme, bir güvenlik açısından nasıl karşılaştırılır? Her biriyle ilişkili riskler/faydalar nelerdir?

İkisi arasında tercih edilen çözümün ağ boyutuna ve düzenine göre değişeceğini biliyorum, ancak nasıl karşılaştırıldıklarına dair daha genel bir açıklama arıyorum.

Sistemin Gizliliğini, Bütünlüğünü veya Kullanılabilirliğini doğrudan ve önemli ölçüde etkilemedikleri sürece, lütfen ağ güvenliği ve altyapı maliyetleri gibi konuları göz ardı ederek yalnızca güvenlik açısından yanıt verin.

20
Iszi

DHCP teklifleri bir ağ hakkında bazı bilgiler sızdırıyor. İçerilen seçenekler, DHCP'nin yapmak için tasarlandığı ağ düzeni ve altyapısı hakkında belirli ayrıntıları ortaya çıkarır. Statik atama bu detayların hiçbirini sunmaz.

Buradaki tehdit, ağa yetkisiz bağlantıdır. Bu, canlı bir ağ jakına takılan bir cihaz veya WLAN'a erişen kablosuz bir istemci olabilir. Yetkisiz bağlantı kurulduktan sonra, saldırganın bağlandıktan sonra herhangi bir şey yapma yeteneği DHCP ve Statik'in devreye girdiği yerdir.

MAC kaydına sahip DHCP, en sağlam DHCP modelidir. Herhangi bir MAC'a adresleri sunmaz, bu nedenle teoride yetkisiz cihazlara bilgi sunulmaz. Aynı durum statik atama için de geçerlidir, adresleme isteyecek bir sunucu yoktur.

MAC kaydı olmayan DHCP, yetkisiz cihazların bir IP adresi kullanmasına izin verecektir.

MAC kaydı, herhangi bir türdeki tüm yeni aygıtların DHCP sistemine kaydedilmesini gerektirir ve bu da yeni bir aygıtın çalışmasının ne kadar süreceğini önemli ölçüde artırabilir. Tüm ağ cihazlarının MAC'leri kolayca okunabilecekleri yerlerde yayınlanmaz, bu nedenle bazı Edge-case cihazları hangi MAC kullandıklarını anlamak için bazı tezgah testleri gerektirebilir. Tak ve kullan özelliği çalışmaz (tasarım gereği!). Ek olarak, mevcut cihazların ağ kartları bir nedenle değiştirilirse, teknisyenler yeni MAC'ı tekrar kaydetmeyi hatırlamak zorunda kalacaktır. Eski MAC'ların kaydının silinmesi bu sürecin kritik bir adımıdır ve bir DHCP kapsamı dolana kadar sıklıkla kaçırılır.

MAC kaydı ile DHCP'yi daha az kullanışlı hale getiren birkaç saldırı var. Saldırgan, yetkili bir aygıt ile ağ bağlantı noktası (iki NIC'li bir dizüstü bilgisayar gibi) arasına bir köprü yerleştirebilirse, aygıtın MAC adresini çok basit bir şekilde bulabilir. Bu şekilde izlenen trafik, yetkili cihazın MAC adresini gösterir. Çoğu ağ kartı MAC adresinin değiştirilmesine izin verir, bu nedenle saldırganın tek yapması gereken, NIC'lerinden birinde MAC'yi değiştirmek, yetkili cihazı fişten çıkarmak, yeniden numaralandırılmış cihazlarını takmak ve kayıtlı bir MAC'a erişmek.

Kablosuz ağda, bir saldırgan bir WLAN'a hava dalgalarını izleyebilecekleri noktaya başarıyla kırıldığında; MAC bilgilerini edinmek de benzer şekilde kolaydır.

Bunun savunması Ağ Erişim Kontrolüdür. Ağ ile konuşmak için, bağlı cihazın makine düzeyinde kimlik doğrulaması yapabilmesi gerekir. Bu, bir ağa bağlanan yetkisiz cihazlara karşı önemli bir ağ konuşmasının olmasını önler. Yukarıdaki senaryoda, saldırganın cihazına erişim reddedilecektir. Tüm aygıtlar NAC'yi, özellikle ağa bağlı yazıcıları kullanamaz, bu nedenle bir saldırgan bu aygıtlara odaklanabilir, yani ağ bağlantı kesme olaylarının bu bağlantı noktalarında izlenmesi gerekir.

21
sysadmin1138

Genel olarak düzgün yapılandırılmış bir ortamda konuşmak, bu seçim güvenliğinizi çok fazla etkilemez. Bahsedilen DHCP'nin dikkate almaya değer birkaç deliği olabilir.

DHCP ile (yalnızca bilinen istemcilere adres dağıttığınızı varsayarsak), ağa atlayan bilinmeyen bir makineye adres verilmez. Şimdi, bir güvenlik sorunu açtığınız herhangi bir makineye kiralama dağıtıyorsanız, ama cevap "Bunu yapma!".
Teorik olarak birisi ağa bağlanabilir ve yayın mesajlarını arayabilir, ağınızın neye benzediğini anlayabilir (DNS sunucuları, yönlendiriciler, belki DHCP istemci kimlikleri ve aldıkları IP aralıklarına göre sızan bazı bilgiler insanlar (teorik olarak güvenli) ağınıza bağlanıyorsa, kızartmak için daha büyük balıklarınız olur.

Statik adresler ve DHCP sunucusu olmadığında daha az doğal bilgi sızıntısı olur (yönlendirici ve DNS bilgileri dağıtılmaz ve bilgi sızdıracak DHCP istemci kimlikleri de olmaz). Bu durumda bile, bir saldırgan ağınıza girerse, DHCP yayınlarından aldıkları aynı bilgiyi toplayana kadar sessizce koklama trafiğine oturabilirler - daha uzun sürecek ve daha zor olacak, ancak daha zor olacak, ancak hala mümkün.


İdeal olarak, kullanılmayan ağ bağlantı noktalarını devre dışı bırakmalı, sahip olduğunuz kablosuz bağlantıyı kaliteli WPA ile korumalı ve muhtemelen erişim anahtarlarınızda ve kablosuz erişim noktalarınızda MAC adres filtrelemesi yapmalısınız - Tüm bunları yapıyorsanız, birisine önemli bir engel sağlar ağınıza girmeyi başarır ve DHCP'den (veya etrafta oturup koklama) alabilecekleri bilgi sızıntılarını hafifletmeye yardımcı olur ve bunlar ile ağınızın yumuşak göbeği arasına başka bir engel koyar.

10
voretaq7

Dinamik olarak atanan IP adresleriyle ilgili bir zorluk, bunun güvenlik duvarı kuralları oluşturmayı biraz zorlaştırabilmesidir. Genellikle, güvenlik duvarı kuralları iletişim kuracağınız ana bilgisayarlar için sabit kodlu IP adresleri kullanılarak oluşturulur. Bu ana makinelerin dinamik bir IP'si varsa, onlar için güvenli bir güvenlik duvarı ilkesini kodlamak daha zordur.

(DNS ana bilgisayar adının aksine, güvenlik duvarı ilkenizde sabit kodlu IP adreslerini kullanmanın genellikle en güvenli olmasının nedeni, güvenlik duvarınızın güvenliğinin DNS sahtekarlığına, DNS ele geçirmesine veya diğer DNS saldırılarına karşı savunmasız olmamasıdır.)

5
D.W.

Burada bahsedilmeyen bir diğer güvenlik sorunu ise ortadaki adam saldırıları olasılığıdır.

Saldırgan hileli bir DHCP sunucusu dağıtırsa, hem intranete hem de internete iletişim için esasen ağ geçidi olabilir.

Bu tür saldırıların azaltılması, altyapıda kullanılan donanıma bağlıdır. Donanımınız engelleme kurallarını destekliyorsa pr. port, kaynak port 67 ile paketlere izin vermeme.

Değilse, ağdaki alçak DHCP sunucularını pasif olarak dinlemek de bir seçenektir.

4