Tìm hiểu DHCP Server Security (phần 1) Trong phần này, tìm hiểu mối hiểm họa hệ thống DHCP server tìm cách giảm thiểu tối đa biện pháp an ninh phòng chống Trong phần 2, tiếp tục với bước thực công cụ phổ biến dành cho người quản trị, qua đảm bảo tính bảo mật hệ thống DHCP server Windows 2000 Windows Server 2003 Mặc dù tính DHCP server vô quan trọng hầu hết hoạt động hệ thống mạng doanh nghiệp, thực tế, DHCP server security lại phần dễ dàng bị bỏ qua khâu cấu hình hệ thống phần lý nhầm lẫn trình hoạt động DHCP: tín hiệu DHCP client phát tán “thông điệp” (DHCPDISCOVER) có chứa địa MAC DHCP server phản hồi lại cách cung cấp tín hiệu (DHCPOFFER) để gán địa IP thiết lập TCP/IP mà client dùng để giao tiếp hệ thống Các tín hiệu trả lại từ phía client (DHCPREQUEST) tới địa gán cung cấp thông tin nhận diện tín hiệu nhận – trả xác nhận từ phía máy chủ (DHCPACK) theo yêu cầu, đánh dấu sở liệu DHCP Về vậy, điều phải lo lắng an ninh bảo mật? Các kiểu công nhắm vào DHCP Thật không may, vấn đề có liên quan tới tính bảo mật DHCP thường khó khắc phục giải Không có trình xác thực nhận dạng tín hiệu trình trao đổi liệu DHCP server DCHP client, hệ thống server biết tín hiệu gửi từ phía client có an toàn hay không toàn hệ thống mạng, ngược lại, client biết tín hiệu trả từ phía server có đủ an toàn hay không Khả tín hiệu giả mạo từ phía client server gây kết khó lường Ví dụ, tín hiệu DHCP server giả mạo cung cấp cho client hợp pháp thông tin TCP/IP hoàn toàn thật, qua ngăn chặn việc giao tiếp từ phía nạn nhân tới client khác hệ thống Và sau đó, trình Denial Of Service (DoS) khiến cho toàn người sử dụng kết nối vào hệ thống mạng, toàn tài nguyên chia sẻ Việc thiết lập phát tán tín hiệu DHCP server giả mạo đơn giản kiểu công nhằm vào mạng xã hội, kết nối tới laptop điều chỉnh, cấu DHCP server bình thường tình khác dễ dàng gặp phải liên quan đến kẻ công gây ảnh hưởng tới máy tính client hệ thống mạng, qua cài đặt phần mềm liên tục yêu cầu địa IP sử dụng chế MAC giả mạo toàn địa cấp phát hệ thống DHCP server đầy Khi tình trạng xảy ra, toàn client hợp pháp boot hệ thống mạng không nhận dạng cấp phát địa theo yêu cầu, tất nhiên, người sử dụng truy cập hệ thống tài nguyên làm việc kết cục tồi tệ xảy kẻ công “bẻ gãy” chốt an ninh chiếm quyền kiểm soát toàn hệ thống, chúng thay đổi toàn hệ thống DHCP server để gán cho client thông tin sai lệch subnet … tạo tiếp đợt công DoS Hoặc, chúng thay đổi thông số kỹ thuật server để gán cho client thông tin DNS sai lệch, tự động trỏ client tới hệ thống DNS server chuẩn bị sẵn, người dùng làm việc, thao tác bình thường hệ thống mà họ tự cung cấp thông tin cá nhân cho kẻ công thông qua loại trojan nguy hiểm Hoặc khả nữa, chúng thay đổi toàn thiết lập server để gán hệ thống địa IP trỏ hệ thống kẻ công thông qua gateway mặc định, qua chúng dễ dàng nắm bắt, truy cập sử dụng thông tin cá nhân người sử dụng mà họ Mặt khác, bạn sử dụng, quản lý hệ thống DHCP server domain controller – thực chất bị kẻ công khai thác trước đó, liên tục từ chối yêu cầu truy cập từ tài khoản sở liệu, gây xáo trộn cân toàn dây chuyền làm việc Và thường “ác mộng” tồi tệ người quản lý May mắn thay, có số phương pháp đơn giản áp dụng thành công trường hợp vậy, đảm bảo an toàn tính bảo mật mang tính “nền móng” DHCP hệ thống mạng Windows Các mối đe dọa phương pháp đối phó Khi đối mặt với hiểm họa này, yêu cầu cần có DHCP server Windows 2000 Windows Server 2003 xác nhận bên Active Directory trước bắt đầu gán địa thành phần tới client Quá trình xác nhận có nghĩa DHCP server Windows 2000 Windows Server 2003 tiến hành boot hệ thống Active Directory chúng “giao tiếp” với domain controller trước tiên để kiểm tra xem địa IP tìm thấy danh sách DHCP server hợp pháp có domain controller hay không Nếu hệ thống DHCP server xác nhận thông tin nhận từ phía client xác, hệ thống tiếp tục làm yêu cầu Còn ngược lại, hệ thống tự động tắt bỏ dịch vụ DHCP Server, đương nhiên, máy client không gán địa IP hợp lệ Lợi ích thực việc để bảo vệ hệ thống mạng bạn tránh khỏi việc cấu hình sơ sài, không đủ độ bảo mật Hãy thử tưởng tượng xem chuyện xảy tin tặc bí mật sử dụng, kết hợp hệ thống mạng bạn với DHCP server không hoạt động tảng Windows 2000 Windows Server 2003? Trong trường hợp này, trình xác thực quyền truy cập tác dụng hệ thống DHCP server Microsoft không cung cấp thông tin phản hồi theo chuẩn Microsoft tới tin nhắn DHCPINFORM Windows sử dụng để kiểm tra xem DHCP server xác nhận hay chưa Thậm chí, DHCP server Windows NT thất bại trường hợp này, kẻ công cần laptop sử dụng Windows NT hệ thống DHCP server giả mạo dễ dàng phát tránh khỏi phương pháp phòng chống người quản trị (chúng ta bàn luận phần 2) Các tín hiệu từ phía client giả mạo lại vấn đề hoàn toàn khác, việc DHCP tạo để gán địa IP cách dễ dàng để đối phó với vấn đề client giả mạo thời điểm DHCP đặt ra, hệ thống mạng với quy mô lớn việc thực công đoạn vất vả phức tạp Phương pháp phòng chống việc thiết lập chế độ tùy chỉnh, thông qua đó, việc lưu trữ địa MAC tới địa IP mà có client với thông số MAC cụ thể định trước gắn IP tương ứng Nếu việc bảo mật khâu quan trọng người quản trị áp dụng phương pháp tạo đặt reservation máy client toàn hệ thống mạng Do đó, client giả mạo cố gắng boot truy cập vào hệ thống mạng nhận tín hiệu DHCP không địa IP trống đó, truy cập vào mạng người quản trị Nhưng thực việc có đơn giản hay không? Trong cách tiếp cận phòng bị có tác dụng công mức trung bình, tên hacker với nhiều thủ đoạn tinh vi “lách luật” thâm nhập vào hệ thống DHCP Phương pháp đơn giản phổ biến tin tặc sử dụng “lắng nghe” tín hiệu DHCPDISCOVER phát tán từ phía client sau đó, thu thập địa MAC Và sau tín hiệu client hợp pháp ngừng hoạt động, client giả mạo thiết lập lại địa MAC để phù hợp với client hợp pháp tạo ra, mặt khác, chúng thu thập tái tạo thông số kỹ thuật hoàn toàn hợp lệ cố gắng phá vỡ mối “giao tiếp” qua lại client hợp pháp với Để đối phó với tình trạng này, người quản trị với kinh nghiệm ý thức bảo mật cao thường xem xét phương pháp giảm tải DHCP địa tĩnh, phải làm để ngăn chặn triệt để tin tặc? Họ áp dụng phương pháp thủ công, đơn giản hiệu cài đặt, kích hoạt tính tường lửa client hệ thống mạng, thiết lập danh sách địa IP hợp pháp phép truy cập Nhưng thử tưởng tượng xem, đội ngũ quản trị phải đau đầu thực thao tác máy trạm? Vì vậy, giải pháp tối ưu bảo mật có liên quan tới phần cứng theo sách chặt chẽ có thể, hành động nghi ngờ, dù nhỏ bị loại bỏ, việc kết nối thiết bị lưu trữ ngoại vi (USB, ổ cứng di động … ) thay đổi dây mạng với máy khác hệ thống … mặt khác, đạo tạo toàn hệ thống nhân viên ý thức bảo mật kỹ thuật xử lý cố từ mức đến nâng cao Tuy nhiên, hệ thống sở hạ tầng áp dụng phương pháp bảo mật trên, mặt chất, cần bảo mật thực từ điểm mấu chốt hệ thống mạng Một tin tặc xâm nhập vào bên hệ thống phòng thủ người quản trị, việc cấu hình lại hệ thống DHCP diễn âm thầm phận quản trị không hay biết, chúng tìm cách tiếp cận, khai thác kích hoạt lỗ hổng bảo mật toàn hệ thống, việc chỉnh sửa lại toàn sở liệu, ghi Dynamic DNS (DDNS) sử dụng, thu thập thông tin nhạy cảm chi tiết toàn hoạt động máy server client … Tổng quát Hãy nhìn qua danh sách vài tình liệt kê bên để rút kinh nghiệm cho thân, muốn áp dụng vào hệ thống DHCP bạn Trong phần tiếp theo, tiếp tục bàn luận sâu hệ thống Windows networks, trước tiên, bắt đầu với đơn giản nhất: Tăng cường thực biện pháp liên quan tới phần cứng áp dụng, mở rộng quy mô triển khai sách an ninh có thể, thận trọng việc trì biện pháp Nâng cấp biện pháp bảo mật Windows NT, để chắn người dùng sử dụng DHCP server qua chế xác thực bên Active Directory Tránh sử dụng domain controller Windows 2000 Windows Server 2003 DHCP servers Sử dụng phương pháp reservation việc gán địa truy cập server trọng điểm hệ thống, tận dụng địa tĩnh để thay Trong phần tiếp theo, tiếp tục tìm hiểu phương pháp làm để kích hoạt tính kiểm soát DHCP server, theo dõi thành viên nhóm DHCPAdministrators sử dụng tính Restricted Groups Windows Server 2003, bên cạnh đó, đảm bảo hệ thống DNS hoạt động với DHCP, sử dụng công cụ khác để phát DHCP server giả mạo hệ thống Chúc bạn thành công! ... nhắn DHCPINFORM Windows sử dụng để kiểm tra xem DHCP server xác nhận hay chưa Thậm chí, DHCP server Windows NT thất bại trường hợp này, kẻ công cần laptop sử dụng Windows NT hệ thống DHCP server. .. nghĩa DHCP server Windows 2000 Windows Server 2003 tiến hành boot hệ thống Active Directory chúng “giao tiếp” với domain controller trước tiên để kiểm tra xem địa IP tìm thấy danh sách DHCP server. .. dụng DHCP server qua chế xác thực bên Active Directory Tránh sử dụng domain controller Windows 2000 Windows Server 2003 DHCP servers Sử dụng phương pháp reservation việc gán địa truy cập server