搜尋此網誌

2010年6月9日 星期三

[資安觀念] 非法的 DHCP 伺服器,你到底要做甚麼?

32743因為稽核的必要性與重要性日益升高,再加上新版的個人資料保護法已經通過三讀立法,所以內部管理的議題持續受到用戶的重視,而其中一個項目就是所謂的 IP 管理 (IPAM)。IP 管理基本上就是管理 IP 位址的使用情況,從過去的 ISP/Datacenter 管理客戶的 IP 位址,到現在網路管理者用來自行管理內部網路的使用情況。跟 IP 位址運作相關聯的重要協定(包含 ARP、DHCP、DNS 等)所衍生的問題,都是這類產品所必須面對的。

在使用 DHCP 的環境中,對大多數的網路管理員來說,通常最困擾的就是 IP 相衝的問題。也就是有些被稱為小白的終端使用者不循正常方式使用 DHCP,卻逕自設定成固定 IP。當然,這些使用者可能因為無心,不小心設定成 DHCP 伺服器所管理的 IP 位址,因此造成日後透過 DHCP 伺服器取得同一個 IP 位址的電腦設備些許的不便。不過真正的問題是萬一這些使用者設定的是網路設備 (如印表機)、甚至是伺服器所使用的 IP 位址,那會發生甚麼事情可就很難說了。比較嚴重的情形,甚至可能造成服務的中斷。這類問題真正麻煩的地方,倒也不是怎麼解決問題,而是找到問題的源頭,也就是那位小白終端使用者。

除了上述的情況外,還有另外一個問題,那就是所謂的惡意 DHCP 伺服器 (Rogue DHCP Server)。惡意 DHCP 伺服器對網路有甚麼影響呢?對不少管理者而言,可能認為它帶來的問題跟上述情況差不多,也就是會造成 IP 衝突的情況。不過惡意的 DHCP 伺服器,其危害可絕對不僅於此,其真正的危害來自於所謂的中間人攻擊 (Man-in-the-Middle Attack)。透過 DHCP 的協定,終端設備除了可以取得 IP 位址外,像是閘道 (Gateway)、DNS 伺服器、WINS 伺服器等重要設定也都可以一併加以設定。其中尤其以閘道與 DNS 伺服器兩個設定值,更是幾乎所有網路環境都必須使用的設計值。所以,惡意的 DHCP 伺服器只要將發放給終端設備的閘道設定成已經受其掌控的設備 (這種手法又可以稱之為 DHCP 假冒, DHCP Spoofing),如此一來這個終端設備所有非同 IP 網段的封包資料就會先送到這個受其掌控的設備。在這種情況下,資料的竊取已經不算甚麼,就連資料的假冒也是輕而易舉。其他像是控制 DNS 伺服器或 WINS 伺服器的設定,雖然產生的網路行為不同,但是卻都同樣可以達成中間人攻擊的目的。

要解決惡意 DHCP 伺服器的問題,網路設備廠商在 Layer 2 實現了一種泛稱為 DHCP Snooping 的機制。而如果使用的網路設備不支援,有些 IPAM 的產品 (軟、硬體) 也提供了一定的防護能力。當然,網路設備通常能夠提供比較嚴謹的防護能力,但是卻同時也很容易受到網路設備本身佈署情況的影響,而造成防護範圍不足的問題,因此在規畫相關解決方案時必須多加注意。如果你的預算不足,也有一些小工具可以幫助你找到這些隱匿在網路中的惡意份子。

相關連結:

About