it-swarm-vi.com

Địa chỉ DHCP so với IP tĩnh

Làm thế nào để so sánh địa chỉ DHCP và IP tĩnh, từ quan điểm bảo mật? Những rủi ro/lợi ích liên quan đến mỗi là gì?

Tôi biết giải pháp ưa thích giữa hai sẽ thay đổi theo kích thước và bố cục mạng, nhưng tôi chỉ tìm kiếm một lời giải thích tổng quát hơn về cách họ so sánh.

Vui lòng trả lời từ quan điểm bảo mật một mình - bỏ qua các chủ đề như chi phí cơ sở hạ tầng và chi phí cơ sở hạ tầng, trừ khi chúng ảnh hưởng trực tiếp và đáng kể đến Bảo mật, Tính toàn vẹn hoặc Tính khả dụng của hệ thống.

20
Iszi

Cung cấp DHCP làm rò rỉ một số thông tin về một mạng. Các tùy chọn chứa tiết lộ một số chi tiết nhất định về bố cục và cơ sở hạ tầng mạng, đó là những gì DHCP được thiết kế để làm. Chuyển nhượng tĩnh không cung cấp chi tiết này.

Mối đe dọa ở đây là kết nối trái phép vào mạng. Đó có thể là một thiết bị cắm vào giắc cắm mạng trực tiếp hoặc máy khách không dây có quyền truy cập vào mạng WLAN. Khi kết nối trái phép đã xảy ra, khả năng kẻ tấn công có thể làm bất cứ điều gì một khi chúng đã kết nối là nơi DHCP vs Tĩnh phát huy tác dụng.

DHCP với đăng ký MAC là mô hình DHCP mạnh mẽ nhất. Nó không cung cấp địa chỉ cho bất kỳ MAC nào mà nó chưa được thông báo, vì vậy về mặt lý thuyết, các thiết bị trái phép sẽ không được cung cấp thông tin. Điều tương tự cũng đúng đối với gán tĩnh, không có máy chủ để yêu cầu địa chỉ.

DHCP mà không cần đăng ký MAC sẽ cho phép các thiết bị trái phép sử dụng địa chỉ IP.

Đăng ký MAC yêu cầu tất cả các thiết bị mới thuộc bất kỳ loại nào phải được đăng ký với hệ thống DHCP, điều này có thể làm tăng đáng kể thời gian cần thiết để thiết bị mới hoạt động. Không phải tất cả các thiết bị mạng đều có MAC được đăng ở nơi chúng có thể dễ dàng đọc được, vì vậy một số thiết bị có vỏ cạnh có thể yêu cầu một số thử nghiệm băng ghế để tìm ra MAC mà chúng đang sử dụng. Plug-and-go sẽ không hoạt động (theo thiết kế!). Ngoài ra, nếu một số thiết bị hiện có thẻ mạng bị tráo đổi vì một số lý do, các kỹ thuật viên sẽ phải nhớ đăng ký lại MAC mới. Hủy đăng ký MAC cũ là một bước quan trọng của quy trình này và thường bị bỏ qua cho đến khi phạm vi DHCP lấp đầy.

Có một vài cuộc tấn công làm cho DHCP với đăng ký MAC trở nên ít hữu ích hơn. Nếu kẻ tấn công có thể đặt cầu nối giữa một thiết bị được ủy quyền và cổng mạng của nó (chẳng hạn như máy tính xách tay có hai NIC), nó có thể tìm ra địa chỉ MAC của thiết bị đó rất đơn giản. Bất kỳ lưu lượng nào được theo dõi theo cách này sẽ tiết lộ địa chỉ MAC của thiết bị được ủy quyền. Hầu hết các card mạng cho phép thay đổi địa chỉ MAC, vì vậy tất cả những kẻ tấn công phải làm là thay đổi MAC trên một trong các NIC của chúng, rút ​​phích cắm thiết bị được ủy quyền, cắm thiết bị được đánh số lại và truy cập vào MAC đã đăng ký.

Trên mạng không dây, một khi kẻ tấn công đã đột nhập thành công vào mạng WLAN đến mức chúng có thể theo dõi sóng vô tuyến; đạt được thông tin MAC là dễ dàng tương tự.

Bảo vệ cho điều này là Kiểm soát truy cập mạng. Để nói chuyện với mạng, thiết bị đính kèm cần có khả năng xác thực ở cấp độ máy. Điều này bảo vệ chống lại các thiết bị trái phép gắn vào mạng vì nó ngăn cuộc trò chuyện mạng quan trọng xảy ra. Trong trường hợp trên, thiết bị của kẻ tấn công sẽ bị từ chối truy cập. Không phải tất cả các thiết bị đều có thể sử dụng NAC, đặc biệt là các máy in gắn mạng, vì vậy kẻ tấn công có thể tập trung vào các thiết bị đó, điều đó có nghĩa là các sự kiện ngắt kết nối mạng cần được giám sát trên các cổng đó.

21
sysadmin1138

Nói chung trong một môi trường được cấu hình đúng, lựa chọn này sẽ không thực sự ảnh hưởng đến bảo mật của bạn quá nhiều. Điều đó nói rằng DHCP có thể có một vài lỗ đáng để xem xét.

Với DHCP (giả sử bạn chỉ trao địa chỉ cho các khách hàng đã biết), một máy không xác định nhảy trên mạng sẽ không được cung cấp địa chỉ. Bây giờ nếu bạn đang cho thuê bất kỳ máy nào cắm vào bạn đang mở ra một vấn đề bảo mật, nhưng câu trả lời là "Đừng làm vậy!".
[.__.] Về mặt lý thuyết ai đó có thể cắm vào mạng và tìm kiếm tin nhắn quảng bá, hiểu được mạng của bạn trông như thế nào (máy chủ DNS, bộ định tuyến, có thể một số thông tin bị rò rỉ dựa trên ID máy khách DHCP và dải IP mà họ nhận được được gán cho), nhưng nếu mọi người đang cắm vào mạng (về mặt lý thuyết) của bạn, bạn có cá lớn hơn để chiên.

Với các địa chỉ tĩnh và không có máy chủ DHCP, sẽ có ít rò rỉ thông tin tự nhiên (thông tin về bộ định tuyến & DNS sẽ không được cung cấp và sẽ không có bất kỳ ID khách DHCP nào để rò rỉ thông tin). Ngay cả trong trường hợp này mặc dù nếu kẻ tấn công xâm nhập vào mạng của bạn, họ chỉ có thể ngồi đó lặng lẽ đánh hơi lưu lượng cho đến khi họ nói ra thông tin giống như họ đã nhận được từ các chương trình phát sóng DHCP - sẽ mất nhiều thời gian hơn, và sẽ khó khăn hơn, nhưng nó vẫn có thể.


Tốt nhất là bạn nên tắt các cổng mạng không sử dụng, bảo vệ bất kỳ mạng không dây nào bạn có với WPA chất lượng tốt và có thể thực hiện lọc địa chỉ MAC tại các công tắc truy cập và các điểm truy cập không dây của bạn - Nếu bạn đang làm tất cả những gì nó cung cấp một rào cản đáng kể cho ai đó quản lý để truy cập mạng của bạn và giúp giảm thiểu bất kỳ rò rỉ thông tin nào họ có thể nhận được từ DHCP (hoặc ngồi xung quanh và đánh hơi) bằng cách đặt một trở ngại khác giữa chúng và phần mềm dưới mạng của bạn.

10
voretaq7

Một thách thức với các địa chỉ IP được gán động là điều này có thể khiến việc xây dựng các quy tắc tường lửa trở nên khó khăn hơn. Thông thường, các quy tắc tường lửa được xây dựng bằng cách sử dụng các địa chỉ IP được mã hóa cứng cho các máy chủ bạn sẽ liên lạc. Nếu các máy chủ đó có IP động, thì việc lập chính sách tường lửa an toàn cho chúng sẽ khó hơn.

.

5
D.W.

Một vấn đề an ninh khác chưa được đề cập ở đây, đó là khả năng các cuộc tấn công trung gian.

Nếu kẻ tấn công triển khai một máy chủ DHCP lừa đảo, về cơ bản anh ta có thể trở thành cổng, cả để liên lạc với mạng nội bộ và internet.

Giảm thiểu cho loại tấn công này, phụ thuộc vào phần cứng được sử dụng trong cơ sở hạ tầng. Nếu phần cứng của bạn hỗ trợ chặn quy tắc pr. cổng, không cho phép các gói với cổng nguồn 67.

Nếu không, việc nghe thụ động các máy chủ DHCP trên mạng cũng là một tùy chọn.

4
Dog eat cat world