Cisco ASA [Chapter 4.1] Cơ chế hoạt động của DHCP Server

Discussion in 'Lý Thuyết' started by root, Apr 28, 2014.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,133
    Likes Received:
    60
    Trophy Points:
    48

    Cơ chế hoạt động của DHCP Server


    I. Nguyên lý hoạt động DHCP


    1. Cách thức xin và cấp DHCP


    - Gồm 4 bước:

    Cơ chế hoạt động của DHCP Server


    - Bước 1: Client gửi gói Discover (hoạt động theo gói tin Broadcast). Gói Discover dùng để hỏi ai là DHCP.
    • Source IP: 0.0.0.0 vì lúc này client chưa có IP
    • DesIP: 255.255.255.255
    - Bước 2: DHCP trả lời gói Offer. Trong gói offer đã có đề nghị luôn IP cấp cho IP. Nếu trong thời gian mà PC ko có phản hồi lại thì DHCP sẽ thực hiện thu hồi lại IP này
    • Source IP: là IP của DHCP.
    • Des IP: Ip của client
    • Source MAC: của DHCP server
    • Des MAC: PC 1
    - Bước 3: Pc gửi gói tin Request. PC gửi gói tin Request để xác nhận muốn sử dụng IP được cấp
    - Bước 4: DHCP gửi về gói ACK. Xác nhận đồng ý cho PC xài

    2. Gói tin Broadcast
    - Có 2 loại gói tin Broadcast
    • Directed broadcast: Broadcast cho 1 mạng cụ thể. Vd: Netmask: 192.168.1.0/24 -> broadcast: 192.168.1.255
    • Local broadcast: Khi 1 gói tin được gửi với địa chỉ local broadcast 255.255.255.255 thì tất cả các host đều nhận được hết
    - Đối với các thiết bị Layer 3(sw layer 3, Router, Firewall..) thì
    • Không bao giờ cho gói tin Local broadcast đi qua
    • Còn gói tin Directed Broadcast thì do người quản trị có quyền điều khiển cho qua hay không cho qua. Mặc định trên Router cho phép gói Directed Broadcast đi qua.
    - Cấu hình cho phép gói tin Directed Broadcast đi qua hoặc không cho đi qua
    Code:
    (config-if)# ip helper-addresss X
    - Chú ý với câu lệnh:
    • Vị trí câu lệnh: Gõ trên interface nhận gói Discover vào
    • X: là IP của DHCP
    • Chú ý vấn đề Routing(đảm bảo mạng hội tụ để có thể đi xin DHCP giùm được). VD: Khi DHCP trả lời về gói Offer thì source IP: chính là IP của interface nhận gói Discover trên Router(192.168.1.1). Nên DHCP phải nhìn thấy bên trong LAN => Hệ thống mạng phải hội tụ được

    3. Spoofing attack
    • PC1 ping PC2 với tần số cao 10.000 gói. Lúc này ko biết PC nào chết trước vì khi ping PC2 nó sẽ reley về.
    • Lúc này nó ping PC3 với source là PC2, rồi tiếp tục ping PC4 với source pc2… lúc này PC2 sẽ chết vì chịu quá nhiều gói tin relay từ PC3, PC4…
    Spoofing attack

    • Thay vì ping từng máy thì PC2 sẽ ping 192.168.1.255(ping nguyên range mạng) với source là PC2. Thì lúc này nguyên 1 lớp mạng sẽ relay về cho PC2. Lúc này PC2 sẽ hứng chịu 1 đợt tấn công từ các host trong cùng mạng vô cùng lớn( 192.168.1.255 các software sẽ tự động add MAC 255 là chữ f, nó ko phải là 1 địa chỉ MAC của 1 IP cụ thể)

    II. DHCP relay-agent


    1. Cách thức hoạt động:
    - Lúc này DHCP server được đặt ở 1 Broadcast domain khác với client
    - Nên khi PC gửi gói Discover để tìm DHCP sẽ bị Router chặn lại vì là gói Local Broadcast.

    DHCP relay agent Cisco ASA

    - DHCP relay-Agent:
    • Khi PC gửi gói Discover ra đến Router thì nó sẽ nhờ Router chuyển gói Discover tìm xem ai là DHCP bằng cách chuyển gói Broadcast thành gói Unicast(Sử dụng UDP port 67)
    2. cấu hình:
    - Để cấu hình dùng lệnh sau để Router chuyển gói Discover từ broadcast sang dạng Unicast đến DHCP server
    Code:
    (config-if)# ip helper-addresss X
    - Chú ý với câu lệnh:
    • Vị trí câu lệnh: Gõ trên interface nhận gói Discover vào
    • X: là IP của DHCP
    • Chú ý vấn đề Routing(đảm bảo mạng hội tụ để có thể đi xin DHCP giùm được). VD: Khi DHCP trả lời về gói Offer thì source IP: chính là IP của interface nhận gói Discover trên Router(192.168.1.1). Nên DHCP phải nhìn thấy bên trong LAN => Hệ thống mạng phải hội tụ được

    III. Các tình huống

    1. DHCP cùng Broadcast domain
    - Khi tạo ra nhiều pool trên DHCP thì khi nó lấy pool nào để cấp? tại sao?
    - Nó sẽ kiếm pool tương ứng với lớp mạng mà Interface nó nhận gói Discover

    2. DHCP khác Broadcast domain

    - Khi tạo ra nhiều pool trên DHCP khác broadcast domain thì cấp pool như thế nào?
    • Khi R1 dùng Unicast để hỏi R2 thì trong đó nó có trường GIaddr(Getway internet address: trường này sẽ mô tả lớp mạng cần xin). VD: Khi R1 nhận gói Discover từ mạng 192.168.1.0 thì gói tin DHCP sẽ có trương Giaddr với địa chỉ 192.168.1.0/24 thì khi DHCP nhìn vào trường Giaddr để bốc đúng pool
    Multi Pool DHCP
    • Thông thương ISP cấp DHCP cho người dùng bằng DHCP nội bộ để nhanh hơn. Tức là dựa vào con BRAS để cấp DHCP xuống cho các user dùng xADSL.
    DHCP with BRAS DSLAM

    3. Chú ý:
    - X nên là IP loopback
    • Khi DHCP có 2 cách đi ra hạ tầng mạng, khi 1 cổng vật lý chết thì không cấp. Nên trên đây phải gõ 2 lần. Thay vì vầy bạn chọn X là loopback thì bạn chỉ cần gõ 1 lần khi mà 1 interface down thì vẫn còn tiếp tục đi được vì nó sẽ dựa vào Routing để tìm ra Loopback
    • Cho dù có 1 link cũng nên dùng Lookback để sau này dễ mở rộng
    DHCP loopback Interface.

    4. Dynamic asign VLAN
    - Khi user cắm dây vào Sw thì Sw sẽ trả lời về 1 message hỏi Username/password ?
    - Khi có thông tin rồi thì Sw sẽ gửi Username/Password này cho 1 server là: ACS server(cisco security giống Radius) để kiểm tra Username/password.
    - Trên ACS đã cấu hình rằng với username này thì sẽ nhận được VLAN số mấy
    - Nó sẽ lệnh cho SW cấp đúng VLAN cho user
    => Do đó user cắm bất kì interface nào của SW thì nó vẫn nhận VLAN đó

    Dynamic asign VLAN

    - ACS là 1 giải pháp mềm và phải có Account partner của Cisco mới down về xài được. Các bạn down về và cài trên 1 Server(Linux, Windows..)

    5. DHCP spoofing


    - Cách thức tấn công
    • Giả sử 1 client dùng 1 software… để giả lập DHCP server. Lúc này khi client căm vào sẽ có thể nhận được DHCP do attacker dựng. Vì gói tin từ Discover từ attacker qua Sw đến user có thể nhanh hơn là đến DHCP
    • Lúc này attacker có thể cấp IP có gateway là nó để capture traffic -> nguy hiểm
    • Nguyên nhân có thể do Worm tạo ra để chúng nói chuyện với nhau hoặc do có người phá hoại dựng DHCP giả

    DHCP snooping


    - Giải pháp: dùng DHCP snoofing
    • Lúc đầu cho tất cả các cổng Sw rơi vào trạng thái Untrust( là trạng thái không nhận gói Offer)
    • Lúc này mình quan sát traffic từ DHCP đến client đi vào những cổng nào của SW thì các bạn bật cổng đó thành Trust

    6. Các lỗi hay gặp với DHCP:


    - Đang xài ngon lành tự nhiên mất IP, dấu chấm than
    • Đặc tính DHCP bị 1 bệnh: DHCP detect được interface WAN down nó sẽ thực hiện triệu hồi IP về (trong 1 vài trường hợp).
    • Giải pháp: Tách server DHCP ra riêng không cho nằm trên Router có interface ra WAN.
    - Wireless:
    • Thường bị lỗi ngắt kết nối, chấm than, ko cấp DHCP,...
    • Chỉnh lại Interval Rate: AP có chu kì thời gian hỏi thăm user nó quét qua 1 lần. Thì các bạn vào phần advance chỉnh tần số xuống thấp 1 xíu

    Các bài lý thuyết trong
    Module 4
    : Configuring IP Connectivity and Routing
    1. [Chapter 4.1] Cơ chế hoạt động của DHCP Server
    2. [Chapter 4.2] Static route in ASA Firewall
    3. [Chapter 4.3] Dynamic Routing in Firewall ASA
    4. [Chapter 4.4] Dynamic Routing Protocols
    5. [Chapter 4.5] Dynamic Routing protocols
    - Tham khảo thêm các bài lab trong phần Module 4 này
    1. [Lab 4.1] Configure PPPoE on ASA 5525
    2. [Lab 4.2] Configure redistribute on Cisco ASA
    - Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
    - Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
     
    Last edited: Aug 13, 2016

Share This Page