Chraňte svoji datovou síť – používejte DHCP Snooping
Spolehlivost datových sítí je v dnešní digitální době klíčová. Noční můra správců sítě je situace, kdy začnou uživatelé hlásit náhodné problémy s funkčností připojení. Vše se tváří v pořádku, zařízení připojení do sítě, jen “windows hlásí vykřičník na ikoně připojení”. Po chvíli se ale jakoby problém vyřeší sám a vše zase funguje. Co jen se v síti asi děje?
Prošel jsem mnoho firemních sítí a viděl hotely i školy s velmi zranitelnou sítí. Jedním z “útoků” na síť může být totiž nevinné připojení vlastního routeru některého ze zaměstnanců např. pro domnělé zlepšení pokrytí WiFi. Pokud je síť navržena bez hlubších znalostech o IT bezpečnosti, snadno se stane, že nesprávně nakonfigurovaný WiFi router způsobí nahodilé výpadky ostatním připojeným zařízením. Viděl jsem firmu, kde brigádník vyřadil celou výrobu pouze tím, že připojil kabel do špatné datové zásuvky. Co se stalo? Testoval zařízení, které mělo na svém portu (pro účely jednodušší konfigurace) v továrním nastavení DHCP server. Tato, jindy nevinná, vlastnost v kombinaci se špatně navrženou sítí vede vždy k vážným problémům.
Co dělá DHCP server?
DHCP server slouží zjednodušeně k automatickému přiřazení IP adresy zařízením v síti. Kromě IP adresy ještě připojeným zařízením sděluje tzv Default GW (adresa brány), což není nic jiného než informace, kudy se jde ven mimo lokální síť – tedy i do internetu. Jakmile se zařízení připojí do sítě (nebo při vypršení doby zapůjčení adresy) posílá toto zařízení tzv DHCP request. To je zpráva, která nemá jasného adresáta a jde v podstatě na všechna zařízení v síti. Pokud je v síti více než jeden DHCP server, připojené zařízení vezme informace od toho, kdo mu odpoví první.
Proč nechceme v síti cizí DHCP?
Možnost připojit do volného portu svůj DHCP server přináší závažná bezpečnostní rizika. Jak jsme si řekli výše, to “nejmenší” co se může stát je fakt, že někomu nepůjde internet. Horší je ale situace, kdy toto někdo udělá cíleně za účelem způsobit škodu. Pokud totiž nainstaluji svůj router s DHCP, poběží komunikace od “poškozených” zařízení právě přes tento router. Díky tomu lze jednoduše sledovat datový tok, manipulovat s obsahem, zjišťovat citlivá data atp.
Jak zabezpečit svoji síť?
Obrana proti nevyžádanému DHCP serveru není tak složitá ani drahá, jak by se možná mohlo zdát. Důležité je nepoužívat obyčejné switche, ale kvalitní switche s podporou DHCP snooping. Jedná se o funkci, která detekuje DHCP zprávy na jednotlivých portech a zahazuje ty, které přicházejí z tzv “unterusted” tedy nedůvěryhodných portů. Díky tomu zajistíte alespoň základní obranu proti těmto nejjednodušším útokům. Tuto funkci mají např všechny produkty od Mikrotiku. Po správné konfiguraci lze vidět blokované DHCP v logu:
Vyřešte svoji síť komplexně
Říká se, že nezálohuje ten, kdo ještě nepřišel o data a bezpečnost neřeší jen ten, kdo žije v minulém století. Doba jde rychle dopředu a v IT platí dvojnásob. Správná konfigurace datové sítě ale může pro méně zkušené uživatele znamenat velký oříšek. Netrapte se s nastavováním pokus-omyl, nechte si síť odborně navrhnout a nakonfigurovat nebo rovnou spravovat.
