CCIE за год. Цикл 4. Тема 24. Вопросы.

1. Из чего состоит DHCP атака?

Rogue DHCP Server (подмена DHCP-сервера)
DHCP starvation (спуффинга клиентских запросов)

2. Как работает DHCP Snooping?

DHCP snooping позволяет:
защитить клиентов в сети от получения адреса от неавторизованного DHCP-сервера,
регулировать какие сообщения протокола DHCP отбрасывать, какие перенаправлять и на какие порты.
Для правильной работы DHCP snooping, необходимо указать какие порты коммутатора будут доверенными (trusted), а какие — нет (untrusted, в дальнейшем — ненадёжными):

  • Ненадёжные (Untrusted) — порты, к которым подключены клиенты. DHCP-ответы, приходящие с этих портов отбрасываются коммутатором. Для ненадёжных портов выполняется ряд проверок сообщений DHCP и создаётся база данных привязки DHCP (DHCP snooping binding database).
  • Доверенные (Trusted) — порты коммутатора, к которым подключен другой коммутатор или DHCP-сервер. DHCP-пакеты полученные с доверенных портов не отбрасываются.
3. Из чего состоит DHCP Snooping Binding Database?

В DHCP Snooping Binding Database хранятся (информация хранится только о ненадёжных портах):

  • MAC-адрес клиента
  • Арендованный IP-адрес клиента
  • Время аренды в секундах
  • Идентификатор VLAN
  • Идентификатор порта к которому присоединен клиент
4. Опишите атаку ARP-spoofing.

Протокол ARP является уязвимым — он не проверяет подлинность ARP-запросов и ARP-ответов. А так как сетевые интерфейсы на компьютерах поддерживают самопроизвольный ARP (ARP-ответ присылается на интерфейс устройства без необходимости), то как раз в таком случае возможна атака ARP-spoofing (перехват трафика между узлами, которые расположены в пределах одного широковещательного домена). Злоумышленник шлет ARP-ответы узлам о новом MAC-адресе. На самом деле, этот MAC-адрес соответствует интерфейсу машины злоумышленника и весь трафик будет теперь получать машина злоумышленника.

5. На чем основывается принцип работы Dynamic ARP Inspection?

Dynamic ARP Inspection позволяет:

  • защитить клиентов в сети от атак с использованием протокола ARP,
  • регулировать какие сообщения протокола ARP отбрасывать, какие перенаправлять.

Для правильной работы Dynamic ARP Inspection, необходимо указать какие порты коммутатора будут доверенными (trusted), а какие — нет (untrusted, в дальнейшем — ненадёжными):

  • Ненадёжные (Untrusted) — порты, к которым подключены клиенты. Для ненадёжных портов выполняется ряд проверок сообщений ARP.
  • Доверенные (Trusted) — порты коммутатора, к которым подключен другой коммутатор. Сообщения протокола ARP полученные с доверенных портов не отбрасываются.

Проверка соответствия MAC-адреса IP-адресу может выполняться на основании информации:

  • Базы данных привязки DHCP,
  • Статических записей
6. Что позволяет сделать команда rate limit и для чего она нужна?

Если команда на интерфейсе:
rate-limit {input | output} [dscp dscp-value] [access-group [rate-limit] acl-index] bps burst-normal burst-max conform-action conform-action exceed-action exceed-action
То она позволяет настроить политику committed access rate (CAR) и distributed CAR (DCAR)

Если команда на интерфейсе:
ip arp inspection limit { rate pps [ burst interval seconds ] | none }
То она позволяет ограничить входящие ARP запросы и ответы на интерфейсе. По умолчанию — на ненадежных: 15 pps, для доверенных: неограниченно.

7. Дать описание атаки IP-spoofing.

IP-spoofing — атака, заключающаяся в использовании в IP-пакетах, отправляемых жертве, в качестве обратного адреса IP-адрес хоста, которому она доверяет; легко осуществима в UDP, в некоторых случаях возможна в TCP-соединениях.