ShirazOnline hotspotplus
نمایش نتایج: از شماره 1 تا 1 , از مجموع 1

موضوع: Rogue DHCP چیست ؟ جلوگیری از آن در WISP ها

  1. #1
    کاربر عادی azizbandzan آواتار ها
    تاریخ عضویت
    Apr 2016
    نوشته ها
    1
    تشکرها / پسندها

    پیش فرض Rogue DHCP چیست ؟ جلوگیری از آن در WISP ها

    Rogue DHCP چیست ؟ جلوگیری از آن در WISP ها توسط میکروتیک

    Rogue DHCP سرور ها در واقع DHCP سرور هایی هستند که یا بصورت مناسبی تنظیم نشده اند و یا اینکه ناخواسته یا بدون مجوز و بدون اطلاع مدیر شبکه در شبکه فعالیت میکنند . بیشتر اینگونه سرور ها برای فعالیت های مخرب مورد استفاده قرار می گیرند و در حملات مخرب به شبکه کاربر دارند. حتی اگر این سرور ها عملیات تخریبی انجام نداده و صرفا بصورت تصادفی در شبکه ایجاد شده باشند می توانند عملکرد سیستم ها و به ویژه کلاینت های شبکه را مختل کنند ، در صورت وجود چنین DHCP سرور هایی در شبکه کلاینت ها از این سرویس استفاده کرده و تنظیمات IP دریافت می کنند که مرتبط با شبکه فعلی نبوده و یا تنظیمات نادرستی می باشد ، برای مثال آدرس Gateway و یا DNS متفاوتی با آنچه در محیط واقعی شبکه وجود دارد دریافت می کنند ، یک [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید] می تواند با راه اندازی یک DHCP سرور به این شکل خود را به عنوان سرویس دهنده به کلاینت معرفی کند و کلیه ترافیکی که توسط وی تولید می شود را مانیتور یا بهتر بگوییم Sniff کند.
    برای درک این موضوع به سناریوی زیر دقت کنید:
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    شکل 1 - WISP
    در این سناریو ما یک WISP هستیم و قصد داریم مشترک های خود را طریق دو عدد AP به PPPOE Server متصل کنیم.
    کلاینت ها از طریق Bridge به AP ها متصل هستند و از طریق کانکشن PPPOE در اکسس پوینت به اینترنت متصل میشن.
    در حالت کلی هر کلاینت شبکه داخلی خود را دارد و از DHCP Server موجود در اکسس پوینت Ip می گیرد.
    همانطور که می دانید ازتباط Bridge یک ارتباط لایه 2 می باشد. Bridge نیز همانند Switch قادر است دو یا چند شبکه همنوع (Ethernet) را به هم پیوند بزند و فریمها را بین انها مبادله نماید ، از این دیدگاه فرقی با هم ندارند و متخصصین شبکه این دو را معادل یکدیگر میدانند. تنها نکته ای که Bridge را از Switch متمایز میکند آنست که Bridge می توانند دو شبکه غیر همنوع (مثل Wireless و Ethernet)را بهم متصل کرده و عملیات تغییر و تبدیل فریمها و نهایتا هدایت آنها را انجام بدهد.


    برای درک بهتر موضوع ابتدا با نحوه عملکرد پروتکل DHCP آشنا می شویم.
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    شکل 2 – DHCP operation
    عملکرد DHCP به چهار قسمت پایه تقسیم می‌گردد:


    • اکتشاف (DHCP Discovery)
    • پیشنهاد (DHCP Offer)
    • درخواست (DHCP Request)
    • تصدیق (DHCP Acknowledgement)

    این چهار مرحله به صورت خلاصه با عنوان DORA شناخته می‌شوند که هر یک از حرف‌ها، سرحرف مراحل بالا می‌باشد.
    DHCP Discovery (اکتشاف DHCP)

    هر سرویس گیرنده (کاربر) برای شناسایی سرورهای DHCP موجود اقدام به فرستادن پیامی در زیر شبکه خود می‌کند. مدیرهای شبکه می‌توانند مسیریاب محلی را به گونه ایی پیکربندی کنند که بتواند بسته داده‌ای DHCP را به یک سرور DHCP دیگر که در زیر شبکه متفاوتی وجود دارد، بفرستد. این مهم باعث ایجاد بسته داده با [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید] می‌شود که آدرس مقصد ارسالی آن ۲۵۵٫۲۵۵٫۲۵۵٫۲۵۵ و یا آدرس مشخص ارسال زیر شبکه می‌باشد. کاربر (سرویس گیرنده) DHCP همچنین می‌تواند آخرین آی پی آدرس شناخته شده خود را درخواست بدهد. اگر سرویس گیرنده همچنان به شبکه متصل باشد در این صورت آی پی آدرس معتبر می‌باشد و سرور ممکن است که درخواست را بپذیرد. در غیر اینصورت، این امر بستگی به این دارد که سرور به عنوان یک مرجع معتبر باشد. یک سرور به عنوان یک مرجع معتبر درخواست فوق را نمی‌پذیرد و سرویس گیرنده را مجبور می‌کند تا برای درخواست آی پی جدید عمل کند. یک سرور به عنوان یک مرجع غیرمعتبر به سادگی درخواست را نمی‌پذیرد و آن را به مثابهی یک درخواست پیاده‌سازی از دست رفته تلقی می‌کند؛ و از سرویس گیرنده می‌خواهد درخواست را لغو و یک آی پی آدرس جدید درخواست کند.
    DHCP Offer (پیشنهاد DHCP)

    زمانی که یک سرور DHCP یک درخواست را از سرویس گیرنده (کاربر) دریافت می‌کند، یک آی پی آدرس را برای سرویس گیرنده رزو می‌کند و آن را با نام DHCP Offer برای کاربر می‌فرستد. این پیام شامل: MAC آدرس (آدرس فیزیکی دستگاه) کاربر؛ آی پی آدرسی پیشنهادی توسط سرور؛ Subnet Mask آی پی؛ زمان تخصیص آی پی (lease Duration) و آی پی آدرس سروری می‌باشد که پیشنهاد را داده است.
    DHCP Request (درخواست DHCP)

    سرویس گیرنده با یک درخواست به مرحله پیشین پاسخ می‌گوید. یک کاربر می‌تواند پیشنهادهای‌های مختلفی از سرورهای متفاوت دریافت کند. اما فقط می‌تواند یکی از پیشنهادها را بپذیرد. بر اساس تنظیمات شناسایی سرور در درخواست و فرستادن پیام‌ها (identification option)، سرورها مطلع می‌شوند که پیشنهاد کدام یک پذیرفته شده است. هنگامی که سرورهای DHCP دیگر این پیام را دریافت می‌کنند، آن‌ها پیشنهادهای دیگر را، که ممکن است به کاربر فرستاده باشند، باز پس می‌گیرند و آن‌ها را در مجموعه آی پی‌های در دسترس قرار می‌دهند.
    DHCP Acknowledgement (تصدیق DHCP)

    هنگامی که سرور DHCP، پیام درخواست DHCP را دریافت می‌کند، مراحل پیکربندی به فاز پایانی می‌رسد. مرحله تصدیق شامل فرستادن یک بسته داده‌ای (DHCP Pack) به کاربر می‌باشد. این داده [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید] شامل: زمان تخصیص آی پی و یا هرگونه اطلاعات پیکربندی که ممکن بوده است که سرویس گیرنده درخواست کرده باشد، می‌باشد. در این مرحله فرایند پیکربندی آی پی کامل شده است.
    حال تصور کنید که ما یک DHCP Server در روی اینترفیس Bridge یکی از رادیو های کلاینت قرار بدیم. چه اتفاقی میافتد؟
    به تصویر زیر دقت کنید:
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    شکل 3 – DHCP Offer
    یکت DHCP Offer از ذوی بستر Bridge عبور می کند و به مقصد همه ی کلاینت های روی هر دو AP ارسال می شود و هر Node در شبکه که روی DHCP Client تنظیم شده باشد و این پکت را دریافت کند به آن پاسخ می شدهد و یک DHCP Request به به سمت آن DHCP Server ارسال می کند.
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    شکل 4 - DHCP Request
    DHCP Server در پاسخ یک پکت DHCP ACK ارسال می کند که حاوی IP , Gateway , DNS و ... می باشد.
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    شکل 5 – DHCP ACK
    با تعییر Gateway , DNS , IP Address می توان گفت که شبکه ما مختل شده است. به این می گویند Roge DHCP که خواسته یا ناخواسته توسط کلاینت ها در شبکه و عدم دقت کافی در کانفیگ AP ها توسط WISP ها بوجود می آید.
    اکنون برای جلوگیری از این مشکل چه باید کرد:


    • جلوگیری از ارتباط کلاینت های یک AP با سایر کلاینت های همان AP

    برای این کار وارد تنظیمات کارت شبکه AP می شویم و مراحل زیر را انجام می دهیم
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    شکل 6 – AP Config
    گزینه Defualt Forward را غیر فعال می کنیم
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    شکل 7 – AP Config
    اگر مراحل فوق را به درستی طی کرده باشد نتیجتا دیگر کلاینت های روی این AP نمی توانند با یکدیگر ارتباط برقرار کنند.

    • جلوگیری از ارتباط کلاینت های AP1 با کلاینت های AP2

    این کار به دو روش امکان پذیر است:

    • جدا کردن Broadcast هر AP توسط Vlan

    در این روش ما AP ها را بوسیله یک Management Switch به PPPOE Server متصل می کنیم و هر کدام از پورت های Switch که AP ها به آنها متصل هستند را در یک Broadcact منحصر به فرد قرار می دهیم. با این کار مشترک های هر AP را از سایر AP ها جدا میکنیم و کلاینت ها دیگر نمی توانند به کلاینت های سایر AP ها پکت ارسال کنند.

    • با استفاده از Bridge Filter Rule

    به این نکته دقت کنید که ما سرویس اینترنت را بصورت PPPOE به کلاینت ها عرضه می کنیم پس ضرورتی ندارد که پروتکل های دیگری بغیر از PPPOE از بستر Bridge ما عبور کنند. برای جلوگیری از عبور سایر پروتکل کد های زیر را در ترمینال روتر کپی می کنیم:

    /interface bridge filter

    add action=accept chain=forward in-interface=wlan1 in-interface-list=all \

    mac-protocol=pppoe-discovery

    add action=accept chain=forward in-interface=wlan1 in-interface-list=all \

    mac-protocol=pppoe

    \add action=drop chain=forward in-interface=wlan1 in-interface-list=all


    و یا مراحل زیر را انجام می دهیم:
    [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید] [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید] [فقط اعضا می توانند لینک ها را مشاهده کنند برای ثبت نام اینجا را کلیک کنید]
    شکل 8-9-10 – Bridge Filter Config
    اگر مراحل فوق را به درستی انجام داده باشید دیگر هیچ کلاینتی نمی تواند به AP ها پروتکلی غیر از PPPOE ارسال کند.

    نویسنده : مهندس عزیزاله بندزن
    شهریور 1396
    ذکر بدون نام منبع اشکال شرعی دارد
    تصاویر پیوست شده تصاویر پیوست شده
    • نوع فایل: jpg b1.jpg (91.9 کیلو بایت, 2 نمایش)
    • نوع فایل: jpg b2.jpg (91.4 کیلو بایت, 1 نمایش)
    • نوع فایل: jpg b3.jpg (89.9 کیلو بایت, 1 نمایش)
    • نوع فایل: jpg 2.jpg (75.7 کیلو بایت, 1 نمایش)
    • نوع فایل: jpg 4.jpg (75.4 کیلو بایت, 1 نمایش)
    ویرایش توسط azizbandzan : 2017/08/28 در ساعت 04:12 PM

  2. # ADS
    Circuit advertisement
    تاریخ عضویت
    Always
    نوشته ها
    Many
     

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. راه اندازی wisp
    توسط vahid.y1363 در انجمن وایرلس(Wireless)
    پاسخ ها: 30
    آخرين نوشته: 2014/06/02, 09:29 AM
  2. یک سوال در رابطه با wisp ها و میکروتیک
    توسط alisc در انجمن میکروتیک (Mikrotik)
    پاسخ ها: 6
    آخرين نوشته: 2011/07/06, 11:14 PM
  3. نظریه راه اندازی wisp
    توسط مهدی مشرف در انجمن وایرلس(Wireless)
    پاسخ ها: 4
    آخرين نوشته: 2009/12/13, 01:31 AM
  4. پاسخ ها: 0
    آخرين نوشته: 2007/05/12, 09:19 AM
  5. Rogue Trooper (2006) RIP
    توسط l!nux در انجمن بازیهای تحت شبکه
    پاسخ ها: 0
    آخرين نوشته: 2007/02/20, 09:04 PM

کلمات کلیدی این موضوع

علاقه مندی ها (Bookmarks)

علاقه مندی ها (Bookmarks)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •