Dynamic Host Configuration Protocol ble utviklet tidlig på 1990-tallet for å lette vedlikehold av nettverk og oppsett, og det har alltid hatt grunnleggende sikkerhetsproblemer. Heldigvis finnes det velprøvde løsninger du kan bruke til å oppdage og forsvare seg mot rogue DHCP-server malware.
Når en DHCP-aktivert klient (for eksempel en bærbar datamaskin) kobles til nettverket, det sender ut en broadcast meldingen søker etter DHCP-serveren. Den lokale DHCP-serveren svarer med en foreslått IP-adressetildeling for den bærbare datamaskinen, og til slutt andre lokale konfigurasjonsinformasjon, for eksempel DNS server IP-adresse og gateway IP-adresse. Når forhandlingene er fullført, kan den bærbare konfigurere seg selv og snakke med andre på IP-nettverk
Spør eksperten
En leser spør vårt nettverk pro Mike Chapple, ". Kan DHCP brukes selektivt blokkere direktemeldingsklienter "?
Takk til DHCP, kan en mobil enhet gå fra en trådløs hotspot til et hjemmenettverk til et bedriftsnettverk, uten å måtte endre sine IP-adresseinnstillinger manuelt. Store bedrifter kan distribuere og omplassere hundrevis eller tusenvis av servere uten å manuelt endre individuelle innstillinger for nettverkskonfigurasjon.
DHCP sikkerhetsinteresser
DHCP, men hadde kjente sikkerhetsproblemer siden det ble oppfunnet. Den opprinnelige DHCP-spesifikasjonen, som dateres tilbake til 1993, har en seksjon som heter " Sikkerhetsaspekter, " som lyder:
" ... DHCP i sin nåværende form er ganske usikker. Uautoriserte DHCP-servere kan enkelt settes opp. Slike servere kan deretter sende falske og potensielt forstyrrende informasjon til kunder som er feil eller like IP-adresser, feil ruteinformasjon (inkludert falske rutere, etc.), feil domenenavnetjener adresser (for eksempel falske navneservere), og så videre ".
På noen måter er det utrolig at vi har gått 16 år uten utbredte DHCP problemer. Siden 2001, om ikke tidligere, har det vært kjente automatiserte verktøy for å gjennomføre DHCP man-in-the-middle angrep. Ett stort problem utnyttet av nettverk sniffer verktøy som Ettercap, samt dagens malware, er at i henhold til standard DHCP gjennomføring, er det ingen måte for en klient å identifisere legitime DHCP-servere. (I 2001 lanserte IETF en spesifikasjon for autentisert DHCP, men leverandører og administratorer har fortsatt ikke allment implementert det.)
Som et resultat av din bærbare stiftelser alle DHCP server svar og forutsetter at de er like gyldige. &Quot; Rogue " DHCP-servere, som kjører på infiserte arbeidsstasjoner, kan svare på sendingen DHCP-forespørsel med falske konfigurasjonsdata. Hvis rogue serverens meldinger kommer først, kan den bærbare datamaskinen godta forgiftet konfigurasjonsinformasjon
Fremveksten av rogue DHCP-server malware
I desember 2008, ". Trojan. Flush.M " malware ble oppdaget. Denne trojaneren setter automatisk opp en rogue DHCP-server med mål om å distribuere en ondsinnet DNS-serveradresse til intetanende kunder. For eksempel når den bærbare datamaskinen forsøker å fornye DHCP lease, en Trojan.Flush.M rogue DHCP-server kan reagere raskt med en forgiftet DHCP svar som inneholder angriperens DNS server IP-adresse. Hvis din bærbare godtar denne informasjonen, så hver gang du skriver inn en ny URL-adresse i nettleseren din bærbare vil spørre angriperens DNS-server for IP-adresse, som tilsvarer det domenenavnet. Du kan skrive inn " http: //bankofamerica.com," og angriperen kan svare med adressen til en ond Bank of America-merkede phishing-område, som da ville føre til nettleseren din for å laste inn en ondsinnet webside.
Ikke gå glipp av disse
Sikkerhets fordeler har ikke råd til å være den siste til å vite. Registrer deg for e-postoppdateringer fra SearchSecurity.com og du vil aldri være bak kurven!
Rogue DHCP-servere kan også brukes for å fange opp og avlytting på kommunikasjon. En infisert arbeidsstasjon kan sende den bærbare datamaskinen en falsk gateway IP-adresse, omdirigere alle bærbare utgående trafikk til en angriper datamaskin. Angriperen kan deretter undersøke trafikken for verdifulle data, videresende trafikken på den virkelige gatewayen, eller bare blokkere det og implementere et tjenestenektangrep.
Dette høres kanskje komplisert ut, men med 16 års utvikling, DHCP angrep verktøy er ganske moden. Ved hjelp Ettercap, kan noen peke-og-klikk deres måte å drive en DHCP man-in-the-middle angrep. Videre kan en enkelt infisert arbeidsstasjon kompromittere en hel subnett trafikk, uten noen bruker realisere.
Hvordan å stoppe useriøse malware angrep DHCP server
Heldigvis gjennom årene effektiv forsvaret verktøy har dukket opp. Flere nettverkssvitsj leverandører tilbyr innebygd " DHCP-snusing " evner, som blokkerer uklarert DHCP-server trafikk på bryteren. &Quot; DHCP-snusing " utstyr sporer også MAC-adresser, IP-adresse oppgaver og tilsvarende porter, slik bare legitime kombinasjoner er lov til å kommunisere.
Du kan skanne nettverket for rogue DHCP-servere ved hjelp av verktøy som DHCP Sentry, Roadkil.net rens DHCP Finn, Dhcploc.exe eller dhcp_probe. Noen DHCP-server-skanning verktøy har innebygde IM varsling evner e-post og, slik at de kan varsle systemansvarlige så snart en potensiell rogue DHCP-server er oppdaget. Network Intrusion Detection systemer kan også konfigureres til å varsle om potensielle rogue DHCP-server trafikk.
Passende nettverkssegmentering vil bidra til å holde rogue DHCP-servere som finnes. På den måten, selv om malware infiserer en enkelt segment og etterligner DHCP, vil skaden være begrenset. Til slutt er det en god idé å overvåke det interne nettverket etter bevis for klient feilkonfigurasjon, for eksempel uventet DNS-trafikk til mistenkelige adresser. Som vi har sett med Trojan.Flush.M kan uriktige DNS-innstillingene være symptomatisk for en rogue DHCP-server.
Rogue DHCP-server malware er en ny vri på et gammelt konsept. Den gode nyheten er at effektive trusselen reduserende strategier eksisterer; Den dårlige nyheten er at mange organisasjoner ikke har brydd seg med å distribuere dem ennå. Segment nettverket nøye, konfigurere DHCP-snusing hvis infrastrukturen støtter det, overvåke interne nettverkstrafikk, og svare raskt på mistenkelig aktivitet. Som alltid er den beste strategien forsvar i dybden
Om forfatteren:
Sherri Davidoff er medforfatter av den nye SANS klassen " Sec558. Network Forensics " og forfatter av Philosecurity. Hun er en GIAC-sertifisert rettsmedisinske sensor og penetrasjon tester. Hun gir sikkerhet rådgivning for mange typer organisasjoner, inkludert juridiske, økonomiske, helsevesen, industri, akademiske og offentlige institusjoner