DHCP rispetto all'indirizzo IP statico

Naviga le tue risposte
20

Come si confrontano gli indirizzi IP DHCP e statici, dal punto di vista della sicurezza? Quali sono i rischi / benefici associati a ciascuno?

So che la soluzione preferita tra i due varierà con le dimensioni e il layout della rete, ma sto solo cercando una spiegazione più generale di come si confrontano.

Rispondi da un punto di vista della sicurezza da solo, ignorando argomenti come i costi di rete e di infrastruttura, a meno che non incidano direttamente e in modo significativo sulla Riservatezza, integrità o disponibilità del sistema.

    
posta Iszi 28.01.2011 - 17:29
fonte

4 risposte

21

Le offerte DHCP contengono alcune informazioni su una rete. Le opzioni contenute rivelano alcuni dettagli sul layout di rete e sull'infrastruttura, che è ciò che DHCP è progettato per fare. L'assegnazione statica non offre questo dettaglio.

La minaccia qui è la connessione non autorizzata alla rete. Può essere un dispositivo collegato a una presa di rete attiva o un client wireless che accede a una WLAN. Una volta che la connessione non autorizzata è avvenuta, l'abilità dell'utente malintenzionato di fare qualsiasi cosa dopo essersi connessi è dove entra in gioco DHCP e Static.

DHCP con registrazione MAC è il modello DHCP più affidabile. Non offre indirizzi a nessun MAC di cui non sia stato informato, quindi in teoria i dispositivi non autorizzati non verranno offerti informazioni. Lo stesso vale per l'assegnazione statica, non esiste un server per chiedere l'indirizzamento.

DHCP senza registrazione MAC consentirà ai dispositivi non autorizzati di utilizzare un indirizzo IP.

La registrazione MAC richiede che tutti i nuovi dispositivi di qualsiasi tipo siano registrati con il sistema DHCP, il che può aumentare significativamente il tempo necessario per il funzionamento di un nuovo dispositivo. Non tutti i dispositivi di rete hanno i loro MAC pubblicati dove possono essere facilmente letti, quindi alcuni dispositivi edge-case potrebbero richiedere alcuni test da banco per capire quale MAC stanno usando. Il plug-and-go non funzionerà (in base alla progettazione!). Inoltre, se i dispositivi esistenti hanno le schede di rete scambiate per qualche motivo, i tecnici dovranno ricordarsi di registrare nuovamente il nuovo MAC. La cancellazione dei vecchi MAC è un passaggio fondamentale di questo processo e spesso viene ignorato fino a quando non viene riempito un ambito DHCP.

Ci sono un paio di attacchi che rendono meno utile il DHCP con la registrazione MAC. Se un utente malintenzionato può posizionare un bridge tra un dispositivo autorizzato e la sua porta di rete (come un laptop con due schede NIC), può capire molto facilmente l'indirizzo MAC del dispositivo. Qualsiasi traffico monitorato in questo modo rivelerà l'indirizzo MAC del dispositivo autorizzato. La maggior parte delle schede di rete consente di modificare l'indirizzo MAC, quindi tutto ciò che l'utente malintenzionato deve fare è modificare il MAC su una delle NIC, scollegare il dispositivo autorizzato, collegare il dispositivo ri-numerato e ottenere l'accesso su un MAC registrato.

On wireless, una volta che un utente malintenzionato si è inserito correttamente in una rete WLAN fino al punto in cui è possibile monitorare le onde radio; acquisire informazioni MAC è altrettanto semplice.

La difesa per questo è Network Access Control. Per parlare con la rete, il dispositivo collegato deve essere in grado di autenticarsi a livello di macchina. Questo difende da dispositivi non autorizzati collegati a una rete in quanto impedisce che si verifichino significative conversazioni di rete. Nello scenario sopra riportato, al dispositivo dell'attaccante verrà negato l'accesso. Non tutti i dispositivi POSSONO utilizzare NAC, in particolare stampanti collegate in rete, quindi un utente malintenzionato può concentrarsi su tali dispositivi, il che significa che gli eventi di disconnessione della rete devono essere monitorati su tali porte.

    
risposta data 28.01.2011 - 18:53
fonte
10

In generale, in un ambiente adeguatamente configurato questa scelta non inciderà molto sulla tua sicurezza. Detto questo, il DHCP potrebbe avere alcuni buchi da considerare.

Con DHCP (supponendo che stiate distribuendo solo indirizzi a client noti) a un computer sconosciuto che salta sulla rete non verrà assegnato un indirizzo. Ora, se stai distribuendo i leasing a qualsiasi computer collegato, stai aprendo un problema di sicurezza, ma la risposta è "Non farlo!".
Teoricamente qualcuno potrebbe collegarsi alla rete e cercare messaggi broadcast, avere un'idea di come appare la rete (server DNS, router, forse alcune informazioni trapelate basate su ID client DHCP e gli intervalli IP a cui vengono assegnati), ma se le persone si collegano alla tua rete (teoricamente sicura) hai pesci più grandi da friggere.

Con indirizzi statici e nessun server DHCP c'è meno perdita di informazioni naturale (router e informazioni DNS non verranno distribuite, e non ci saranno ID client DHCP a perdita di informazioni). Anche in questo caso, se un attaccante entra nella tua rete, può semplicemente sedersi lì a soffocare silenziosamente il traffico fino a scoprire le stesse informazioni che avrebbero ottenuto dalle trasmissioni DHCP: ci metteranno più a lungo e sarà più difficile, ma è ancora possibile.

Idealmente dovresti disattivare le porte di rete inutilizzate, proteggere qualsiasi wireless che hai con un WPA di buona qualità e probabilmente fare il filtraggio degli indirizzi MAC ai tuoi switch di accesso & punti di accesso wireless: se si sta facendo tutto ciò, si tratta di un ostacolo sostanziale per qualcuno che riesce ad accedere alla rete e aiuta a mitigare eventuali fughe di informazioni che potrebbero ottenere da DHCP (o seduti e annusando) ponendo un altro ostacolo tra loro e il soft underbelly della tua rete.

    
risposta data 28.01.2011 - 18:22
fonte
5

Una sfida con gli indirizzi IP assegnati dinamicamente è che questo può rendere un po 'più difficile costruire regole del firewall. Spesso, le regole del firewall vengono create utilizzando gli indirizzi IP codificati per gli host con cui si comunicherà. Se questi host hanno un IP dinamico, è più difficile codificare un criterio firewall sicuro per loro.

(Il motivo per cui è solitamente più sicuro utilizzare gli indirizzi IP codificati nel criterio del firewall, al contrario di un nome host DNS, è in questo modo la sicurezza del firewall non è vulnerabile allo spoofing del DNS, al dirottamento DNS o ad altri DNS attacchi).

    
risposta data 30.01.2011 - 06:40
fonte
4

Un altro problema di sicurezza non menzionato qui ancora, è la possibilità di attacchi man-in-the-middle.

Se un utente malintenzionato distribuisce un server DHCP canaglia, può essenzialmente diventare il gateway, sia per la comunicazione alla intranet che a Internet.

La mitigazione per questo tipo di attacco dipende dall'hardware utilizzato nell'infrastruttura. Se il tuo hardware supporta le regole di blocco pr. porta, disabilitando i pacchetti con la porta di origine 67.

In caso contrario, anche l'ascolto passivo dei server DHCP di rouge sulla rete è un'opzione.

    
risposta data 29.06.2011 - 23:05
fonte

Leggi altre domande sui tag

Devo usare le proprie costanti quando uso algoritmi di hashing ben noti? Esiste un ransomware open source? [chiuso]