11-Mavzu: dhsp protokoli yordamida tarmoqni qurish. Reja: Dinamik xost konfiguratsiyasi protokoli haqida


Download 24.14 Kb.
bet4/4
Sana02.02.2023
Hajmi24.14 Kb.
#1146823
1   2   3   4
Bog'liq
11Mavzu

Zamonaviy dastur


2018 yildan boshlab DHCP IP-manzillarni avtomatik ravishda tayinlash uchun keng qo'llanilmoqda.[25] IP-manzillarni tayinlash uchun yangi takrorlashlar kiradi DHCPv6 va SLAAC.[25]

Xavfsizlik


Shuningdek qarang: DHCPni kuzatib borish
DHCP bazasida autentifikatsiya qilish mexanizmlari mavjud emas.[26] Shu sababli, u turli xil hujumlarga qarshi himoyasiz. Ushbu hujumlar uchta asosiy toifaga bo'linadi:

  • Mijozlarga noto'g'ri ma'lumot beradigan ruxsatsiz DHCP-serverlar.[27]

  • Resurslardan foydalanish huquqiga ega bo'lgan ruxsatsiz mijozlar.[27]

  • Zararli DHCP-mijozlar tomonidan resurslarni tugatish hujumlari.[27]

Mijozda DHCP-server identifikatorini tasdiqlashning iloji yo'qligi sababli, ruxsatsiz DHCP-serverlar (odatda "deb nomlanadi)yolg'on DHCP ") tarmoqlarda ishlashi mumkin, DHCP mijozlariga noto'g'ri ma'lumot beradi.[28] Bu mijozning tarmoq ulanishiga kirishiga to'sqinlik qilib, xizmatni rad etish hujumi sifatida xizmat qilishi mumkin,[29] yoki sifatida o'rtada hujum.[30] DHCP-server DHCP-mijozga server IP-manzillarini taqdim etganligi sababli, masalan, bir yoki bir nechta DNS-serverlarning IP-manzili,[27] tajovuzkor DHCP-mijozni o'zining DNS-server orqali DNS-qidiruvlarini bajarishga ishontirishi mumkin va shuning uchun mijozning DNS-so'rovlariga o'z javoblarini berishi mumkin.[31][32] Bu o'z navbatida tajovuzkorga o'zi orqali tarmoq trafigini yo'naltirishga imkon beradi va unga mijoz va u bilan bog'langan tarmoq serverlari o'rtasidagi aloqalarni tinglashi yoki shunchaki ushbu tarmoq serverlarini o'zi bilan almashtirishi mumkin.[31]
DHCP serverida mijozni autentifikatsiya qilishning xavfsiz mexanizmi yo'qligi sababli, mijozlar boshqa DHCP mijozlariga tegishli bo'lgan mijoz identifikatorlari kabi hisob ma'lumotlarini taqdim etish orqali IP-manzillarga ruxsatsiz kirish huquqiga ega bo'lishlari mumkin.[28] Bu, shuningdek, DHCP mijozlariga DHCP serverining IP-manzillar do'konini tugatishga imkon beradi - har safar manzil so'raganida yangi hisobga olish ma'lumotlarini taqdim etish orqali, mijoz boshqa DHCP mijozlariga xizmat olishiga yo'l qo'ymasdan, ma'lum bir tarmoq havolasida mavjud bo'lgan barcha IP-manzillarni iste'mol qilishi mumkin.[28]
DHCP ushbu muammolarni yumshatish uchun ba'zi mexanizmlarni taqdim etadi. The Relay Agent haqida ma'lumot protokol kengaytmasi (RFC 3046, odatda sanoatda uning haqiqiy soni bilan ataladi Variant 82[33][34]) tarmoq operatorlariga DHCP xabarlariga teglarni biriktirishga imkon beradi, chunki bu xabarlar tarmoq operatorining ishonchli tarmog'iga keladi. Keyinchalik ushbu yorliq mijozning tarmoq manbalariga kirishini boshqarish uchun avtorizatsiya belgisi sifatida ishlatiladi. Mijozning o'rni agentining yuqori qismida tarmoqqa kirish imkoniyati yo'qligi sababli, autentifikatsiyaning etishmasligi DHCP server operatorining avtorizatsiya belgisiga ishonishiga to'sqinlik qilmaydi.[26]
Boshqa kengaytma, DHCP xabarlari uchun autentifikatsiya (RFC 3118 ), DHCP xabarlarini autentifikatsiya qilish mexanizmini taqdim etadi. 2002 yildan boshlab RFC 3118 ko'plab DHCP mijozlari uchun kalitlarni boshqarish muammolari tufayli keng qabul qilinmagan edi.[35] DSL texnologiyalari haqidagi 2007 yilgi kitobda quyidagilar ta'kidlangan:
tomonidan taklif qilingan xavfsizlik choralariga qarshi ko'plab xavfsizlik zaifliklari aniqlandi RFC 3118. Ushbu fakt, joriy etish bilan birlashtirilgan 802.1x, tasdiqlangan DHCP-ning joylashishini va tezligini pasaytirdi va u hech qachon keng tarqalmagan.[36]
2010 yilgi kitobda quyidagilar qayd etilgan:
[t] bu erda DHCP autentifikatsiyasini amalga oshirish juda kam bo'lgan. Asosiy boshqarish va xeshni hisoblash tufayli kechikishni qayta ishlash muammolari, qabul qilingan foyda uchun juda og'ir narx hisoblanadi.[37]
2008 yildagi me'moriy takliflar DHCP so'rovlaridan foydalangan holda autentifikatsiyani o'z ichiga oladi 802.1x yoki PANA (ikkalasi ham transport EAP ).[38] IETF taklifi EAPni DHCP-ga o'z ichiga olish uchun kiritildi EAPoDHCP;[39] bu IETF loyihasi darajasidan oshib ketgandek ko'rinmaydi, ularning oxirgi qismi 2010 yilga to'g'ri keladi.[40]
Download 24.14 Kb.

Do'stlaringiz bilan baham:
1   2   3   4




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling