Perché DHCP è considerato insicuro?

3

La maggior parte dei posti in cui ho lavorato considera il DHCP una cattiva idea per reti di gestione o reti "protette". Sono curioso di sapere perché è così.

Considera questo scenario ...

  • Esiste una rete di archiviazione ISCSI, ad esempio, 10.1.1.0/24
  • I client dispongono di un'interfaccia per le comunicazioni esterne e una seconda interfaccia su questa rete di archiviazione ISCSI per accedere ai volumi di archiviazione.

Non sto solo aggiungendo complessità extra al processo di provisioning richiedendo agli umani di gestire e assegnare gli indirizzi IP? Mi sembra molto più facile usare una tecnologia esistente per questo scopo.

La mia logica è che se un attore malintenzionato è in grado di connettersi alla rete "sicura" e ottenere un indirizzo IP, si hanno problemi molto più grandi dal punto di vista della sicurezza rispetto a DHCP. Indipendentemente da ciò, il dispositivo malintenzionato potrebbe auto-assegnarsi un indirizzo IP, poiché la maggior parte delle reti ha un gateway a x.x.x.1 e subnet mask di /24 .

    
posta thisguy123 12.07.2018 - 23:30
fonte

2 risposte

1

My logic is that if a malicious actor is able to connect to the "secure" network and get an IP address, you have much bigger problems from a security standpoint than DHCP

Sono parzialmente d'accordo, ma dal punto di vista della sicurezza della rete, il DHCP può essere un vettore di attacco extra possibile per la rete interna, quindi è considerato un rischio. Immagino che il DHCP sia considerato insicuro perché può essere abusato dagli aggressori. Due noti attacchi relativi a DHCP sono i seguenti:

  • Attacco di fame DHCP
  • Spoofing DHCP che porta a MITM

Nella maggior parte dei casi tramite DHCP un utente malintenzionato può essere in grado di ottenere o in alcuni casi modificare informazioni utili ( non solo cose banali come il gateway ip ) come:

  • i server DNS (ad esempio possono essere utili per gli attacchi di spoofing del DNS )
  • il nome di dominio
  • nomi host del client (ad esempio che potrebbero essere utili per attacchi mirati )

Anche in alcune reti possono essere configurate anche altre cose tramite server DHCP come NetworkManager, server NETBIOS, server NIS, server NTP, ecc. Quindi, ad esempio, abusando / sfruttando DHCP potresti essere in grado di abusare di tali servizi. Un altro esempio è shellshock, che può anche essere sfruttato su DHCP.

Quindi, dal momento che DHCP è noto per essere utile per gli aggressori, è considerato un altro possibile vettore di attacco ed è per questo che può essere considerato un rischio.

    
risposta data 13.07.2018 - 01:02
fonte
1

Sì, il DHCP potrebbe essere un altro modo per l'attaccante di violare la tua sicurezza ma potrebbe non essere l'unica fonte.

Ad esempio, lo spoofing IP può essere avviato anche in altri modi, non solo tramite DHCP.

Si prega di fare riferimento a questa domanda stack: Come funziona lo spoofing degli indirizzi IP su Internet? Chi può farlo?

Secondo me puoi ancora usare DHCP con il giusto tempismo del modo in cui usi il protocollo DHCP, alcune di queste misure potrebbero essere:

DHCP autenticato : puoi implementare il meccanismo di autenticazione sopra il protocollo DHCP. Si prega di fare riferimento: link

Filtro MAC (abilitato) DHCP - Implementando il binding o il filtro MAC, si aumenta la sicurezza limitando solo l'allocazione IP dhcp solo a determinati host. Si prega di fare riferimento: link

Combinazione di meccanismi : puoi utilizzare questi meccanismi di sicurezza aggiuntivi in combinazione per rafforzare la sicurezza.

In conclusione, potrebbe essere meglio se si possano usare gli indirizzi IP assegnati ai nodi delle zone protette, ma se si ha una situazione nel caso in cui si debba usare DHCP, si può indurire come spiegato sopra per usarlo in modo sicuro .

    
risposta data 13.07.2018 - 03:07
fonte

Leggi altre domande sui tag