it-swarm-eu.dev

DHCP vs. statické IP adresování

Jak se porovná DHCP a statická IP adresa z hlediska bezpečnosti? Jaká rizika a přínosy jsou s nimi spojeny?

Vím, že upřednostňované řešení mezi nimi se bude lišit v závislosti na velikosti a rozložení sítě, ale hledám jen obecnější vysvětlení jejich srovnání.

Odpovězte pouze z bezpečnostního hlediska - bez ohledu na témata, jako jsou režijní náklady na síť a náklady na infrastrukturu, pokud přímo a významně neovlivní důvěrnost, integritu nebo dostupnost systému.

20
Iszi

DHCP nabízí únik některých informací o síti. Možnosti obsažené odhalují určité podrobnosti o rozvržení sítě a infrastruktuře, což je DHCP navrženo. Statické přiřazení nenabízí žádný z těchto detailů.

Hrozbou je neoprávněné připojení k síti. Může to být buď zařízení připojující se k živému síťovému konektoru, nebo bezdrátový klient získávající přístup k síti WLAN. Jakmile dojde k neoprávněnému připojení, je schopnost útočníka udělat cokoli, jakmile se připojí, místo, kde začíná hrát DHCP vs. Static.

DHCP s registrací MAC je nej robustnějším modelem DHCP. Nenabízí adresy žádnému MAC, o kterém nebylo řečeno, takže neautorizovaným zařízením teoreticky nebudou informace nabízeny. Totéž platí pro statické přiřazení, neexistuje žádný server, který by žádal o adresování.

DHCP bez registrace MAC umožní neoprávněným zařízením spotřebovat IP adresu.

Registrace MAC vyžaduje, aby všechna nová zařízení jakéhokoli typu byla zaregistrována v systému DHCP, což může výrazně prodloužit dobu, po kterou bude nové zařízení funkční. Ne všechna síťová zařízení mají své MAC umístěny tam, kde je lze snadno přečíst, takže některá zařízení Edge-case mohou vyžadovat nějaké testovací testy, aby zjistily, co MAC používají. Plug-and-go nebude fungovat (záměrně!). Pokud mají stávající zařízení z nějakého důvodu své síťové karty vyměněny, technici si budou muset pamatovat na novou registraci nového MAC. Deregistrace starých MAC je kritickým krokem tohoto procesu a často chybí, dokud se nevyplní rozsah DHCP.

Existuje několik útoků, které činí DHCP s registrací MAC méně užitečnou. Pokud útočník může umístit most mezi autorizované zařízení a jeho síťový port (např. Notebook se dvěma NIC), může snadno zjistit MAC adresu tohoto zařízení. Jakýkoli provoz sledovaný tímto způsobem odhalí MAC adresu autorizovaného zařízení. Většina síťových karet umožňuje změnu MAC adresy, takže útočník musí pouze změnit MAC na jednom ze svých NIC, odpojit autorizované zařízení, zapojit své přečíslované zařízení a získat přístup k registrované MAC.

V bezdrátové síti, jakmile útočník úspěšně rozbije WLAN na místo, kde může sledovat vzdušné vlny; získání MAC informací je podobně snadné.

Obranou je kontrola přístupu k síti. Aby mohlo připojené zařízení hovořit do sítě, musí být schopno autentizace na úrovni stroje. To brání neoprávněným zařízením připojeným k síti, protože brání tomu, aby došlo k významné konverzaci v síti. Ve výše uvedeném scénáři by byl útočníkovi zařízení odepřen přístup. Ne všechna zařízení mohou používat NAC, zejména tiskárny připojené k síti, takže se útočník může zaměřit na tato zařízení, což znamená, že na těchto portech je třeba sledovat události odpojení od sítě.

21
sysadmin1138

Obecně řečeno, ve správně nakonfigurovaném prostředí tato volba ve skutečnosti příliš neovlivní vaši bezpečnost. To znamená, že DHCP může mít několik otvorů, které stojí za zvážení.

S DHCP (za předpokladu, že rozdáváte adresy pouze známým klientům), neznámý stroj, který skočí do sítě, nedostane adresu. Nyní, pokud rozdáváte zapůjčení jakéhokoli počítače, který se připojuje, otevíráte bezpečnostní problém, ale odpověď zní: „Nedělej to!“.
Teoreticky by se někdo mohl připojit k síti a hledat vysílané zprávy a získat tak představu o tom, jak vaše síť vypadá (servery DNS, směrovače, možná nějaké únikové informace založené na ID klienta DHCP a rozsahy IP, které získají) přiřazeno), ale pokud se lidé připojují k vaší (teoreticky zabezpečené) síti, máte větší ryby na smažení.

Se statickými adresami a žádným serverem DHCP nedochází k přirozenému úniku informací (informace o směrovačích a serverech DNS nebudou rozdávány a nebudou existovat žádné klientské identifikátory DHCP k úniku informací). I v tomto případě, i když se útočník připojí k vaší síti, může tam jen tak sedět a tiše čichat provoz, dokud nevyčkají stejné informace, jaké by získali z DHCP vysílání - bude to trvat déle a bude to obtížnější, ale je to stále možné.


V ideálním případě byste měli deaktivovat nepoužívané síťové porty, zabezpečit všechny bezdrátové sítě s kvalitní WPA a pravděpodobně provádět filtrování MAC adres ve svých přístupových přepínačích a bezdrátových přístupových bodech - Pokud děláte vše, co někomu poskytuje podstatnou překážku zvládne se dostat do vaší sítě a pomáhá zmírnit jakékoli úniky informací, které by se mohly dostat z DHCP (nebo sedět a čichat) tím, že mezi ně a měkké podbřišek vaší sítě umístí další překážku.

10
voretaq7

Jednou z výzev s dynamicky přidělenými IP adresami je, že to může ztěžovat vytváření pravidel brány firewall. Pravidla brány firewall jsou často vytvářena pomocí pevně kódovaných adres IP pro hostitele, se kterými budete komunikovat. Pokud mají tito hostitelé dynamickou IP, je pro ně těžší kódovat pro ně zásady zabezpečené brány firewall.

(Důvodem, proč je obvykle nejbezpečnější použít pevně kódované adresy IP ve vaší zásadě brány firewall, na rozdíl od názvu hostitele DNS, je zabezpečení vaší brány firewall tak neohrožené předstíraním DNS, únosem DNS nebo jinými útoky DNS.)

5
D.W.

Dalším bezpečnostním problémem, který zde ještě není uveden, je možnost útoků typu člověk-uprostřed.

Pokud útočník nasadí nepoctivý DHCP server, může se v podstatě stát bránou pro komunikaci s intranetem a internetem.

Zmírnění tohoto typu útoku závisí na hardwaru používaném v infrastruktuře. Pokud váš hardware podporuje pravidla blokování pr. port, zakázání paketů se zdrojovým portem 67.

Pokud tomu tak není, je také možné pasivně poslouchat rouge servery DHCP v síti.

4