Bezpečnostní okénko: Útoky na DHCP server

Ještě než se podíváme na to, jak jde útok na DHCP server realizovat, tak se zaměříme na to, co to vlastně DHCP server je a jaká je jeho role v počítačové síti.

Co je to DHCP server?

Každý prvek (počítač, notebook, telefon, tablet...), který operuje v počítačové síti musí mít nastavené určité parametry. Tyto parametry slouží k tomu, aby zařízení mohlo v síti komunikovat. Zařízení by mělo mít nastavené parametry jako je jeho IP adresa, IP adresa výchozí brány (default gateway), adresu DNS serveru a masku sítě. 

Administrátor sítě má v zásadě dvě možnosti, jak může tyto parametry k jednotlivým zařízením distribuovat. První varianta je tzv. statické adresování. Kdy administrátor musí obejít každé zařízení v síti a ručně mu nastavit výše uvedené údaje. Výhodou tohoto řešení je absolutní přehled o tom, jaká zařízení se můžou v síti vyskytovat. Nevýhodou je složitost nastavování změn, případně nutnost manuálního zásahu při přidávání nového zařízení. Statické adresování má smyslu u síťových sdílených tiskáren, routerů a switchů v síti.

Druhá varianta je využití dynamického přidělování výše zmíněných parametrů (IP adresa zařízení, default gateway, adresa DNS, maska sítě). K dynamickému přidělení těchto parametrů se využívá DHCP server. 

Získání adres z DHCP serveru:

1. Počítač (síťové zařízení) po připojení do sítě zašle dotaz DHCP Discover. Tento dotaz je zaslaný na všechna zařízení v počítačové síti (tzv. broadcast) a slouží k tomu, aby počítač (síťové zařízení) nalezlo DHCP server.
2. Jakmile DHCP server obdrží dotaz DHCP Discover odpoví na něj pomocí DHCP Offer. V odpovědi zasílá DHCP server nabízenou konfiguraci - tj. zašle nabízenou IP adresu, informaci o DNS serveru, výchozí bránu a masku sítě.
3. Pokud nabízené údaje, které jsou obdrženy z DHCP serveru, vyhovují konfiguraci počítače, tak počítač zašle zpět na server tzv. DHCP Request. V této odpovědi počítač požaduje přidělení nabízené konfigurace.
4. DHCP server potvrdí že přijímá požadavek z počítače a přidělí mu údaje. Této konečné fázi se říká DHCP Acknowledgement.

DHCP spoofing

DHCP spoofing je jeden z útoků na DHPC server. Útočník se zde vydává za DHCP server. Toho docílí tak, že v síti poslouchá jednotlivé požadavky z ostatních počítačů a zařízení. Jakmile útočník detekuje požadavek DHCP Discover tak na něho zašle odpověď DHCP Offer a tím zkusí předběhnout právý DHCP server. Pokud cílový počítač (síťové zařízení) tuto nabídku konfigurace od útočníka přijme, tak je následne veškerá síťová komunikace vedena přes útočníka. Ten jí může odposlouchávat a podvrhovat odpovědi ze serverů.

Obrana proti DHCP Spoofingu

Pro úspěšnou obranu proti DHCP spoofingu je potřeba na směrovači nastavit na jakém portu DHCP server běží. Tím zvládne směrovač filtrovat DHCP Offer odpovědi, které jsou podvržené a chodí z neočekavaných portů. Dále se dá využít vytváření databáze s úspěšnými DHCP transakcemi. Díky údajům v této databázi pak může administrátor rozpoznat podezřelé chování v síti.

Pokud zvažujete vývoj webu, webové aplikace nebo mobilní aplikace, tak nás neváhejte kontaktovat. Rádi Vám pomůžeme s její IT bezpečností.

Mohlo by Vás zajímat:

• Šifrování dat aneb když Homerovi píše máma
• Bezpečnostní okénko: Co je to phishing? Aneb pozor na e-maily.
• Je Váš web zabezpečený? Pozor na rozdíl mezi HTTP a HTTPS