Tìm hiu v DHCP Server Security
(phn 1)
Trong phn 1 này, chúng ta s cùng nhau tìm hiu v các mi him ha
đối vi h thng DHCP server và tìm cách gim thiu ti đa các bin
pháp an ninh phòng chng. Trong phn 2, chúng ta s tiếp tc vi các
bước thc hin và công c ph biến dành cho nhng người qun tr, qua đó
đảm bo đưc tính bo mt ca h thng DHCP server ca Windows 2000
và Windows Server 2003.
Mc dù tính năng DHCP server vô cùng quan trng đối vi hu hết hot
động trong h thng mng ca doanh nghip, nhưng trên thc tế, DHCP
server security li là phn d dàng b b qua nht trong khâu cu hình h
thng. 1 phn lý do có th là s nhm ln v quá trình hot động cơ bn ca
DHCP: các tín hiu DHCP client s phát tán các “thông đip”
(DHCPDISCOVER) có cha địa ch MAC và DHCP server phn hi li
bng cách cung cp tín hiu (DHCPOFFER) để gán 1 địa ch IP bt k
các thiết lp v TCP/IP mà client có th dùng để giao tiếp trên h thng. Các
tín hiu tr li t phía client (DHCPREQUEST) ti địa ch gán đầu tiên cung
cp thông tin nhn din như tín hiu nhn – tr và xác nhn t phía máy ch
(DHCPACK) theo yêu cu, và được đánh du trong cơ s d liu ca
DHCP. V cơ bn là như vy, vy còn điu gì phi lo lng v an ninh hoc
bo mt?
Các kiu tn công nhm vào DHCP
Tht không may, các vn đề có liên quan ti tính bo mt DHCP thường rt
khó khc phc và gii quyết. Không h có quá trình xác thc hoc nhn
dng tín hiu gia quá trình trao đổi d liu gia DHCP server và DCHP
client, do đó h thng server không th biết được tín hiu gi đi t phía
client có an toàn hay không trên toàn b h thng mng, và ngược li, client
cũng không th biết được tín hiu tr v t phía server có đủ an toàn hay
không. Kh năng tín hiu gi mo t phía client và server có th gây ra
nhng kết qu khó lường.
Ví d, tín hiu DHCP server gi mo có th cung cp cho client hp pháp
thông tin v TCP/IP hoàn toàn không có tht, và qua đó ngăn chn vic giao
tiếp t phía nn nhân ti các client khác trong h thng. Và sau đó, quá trình
Denial Of Service (DoS) s khiến cho toàn b người s dng không th kết
ni vào h thng mng, cũng như toàn b tài nguyên chia s. Vic thiết lp
và phát tán các tín hiu DHCP server gi mo cũng khá đơn gin như kiu
tn công nhm vào mng xã hi, hoc có th kết ni ti laptop và điu chnh,
cu hình như 1 DHCP server bình thường.
1 tình hung khác có th d dàng gp phi liên quan đến nhng k tn công
s gây nh hưởng ti máy tính client trên h thng mng, và qua đó cài đặt
các phn mm liên tc yêu cu địa ch IP mi s dng cơ chế MAC gi mo
cho ti khi toàn b địa ch được cp phát trong h thng DHCP server đầy.
Khi tình trng này xy ra, toàn b các client hp pháp đều không th boot
trên h thng mng do không được nhn dng và cp phát địa ch theo yêu
cu, và tt nhiên, người s dng không th truy cp h thng tài nguyên và
làm vic.
1 kết cc ti t hơn có th xy ra khi nhng k tn công “b gãy” nhng cht
an ninh hin ti và chiếm quyn kim soát toàn b h thng, và chúng s
ngay lp tc thay đổi toàn b h thng DHCP server để gán cho client các
thông tin sai lch v subnet … do đó s to ra tiếp 1 đợt tn công DoS. Hoc,
chúng thay đổi thông s k thut ca server để gán cho client các thông tin
DNS sai lch, và t động tr client ti h thng DNS server đã được chun
b sn, người dùng s làm vic, thao tác như bình thường trên h thng này
mà h không h biết rng đang t cung cp thông tin cá nhân cho k tn
công thông qua các loi trojan nguy him. Hoc 1 kh năng na, chúng thay
đổi toàn b thiết lp ca server để gán h thng địa ch IP tr v h thng
ca k tn công thông qua gateway mc định, qua đó chúng s d dàng nm
bt, truy cp và s dng thông tin cá nhân ca người s dng mà h không
h biết.
Mt khác, nếu bn đang s dng, qun lý h thng DHCP server bng
domain controller – thc cht đã b nhng k tn công khai thác trước đó,
liên tc t chi yêu cu truy cp t các tài khon trong cơ s d liu, s gây
ra s xáo trn và mt cân bng trong toàn b dây chuyn làm vic. Và đây
thường là “ác mng” ti t nht đối vi người qun lý. May mn thay, có 1
s phương pháp cơ bn và khá đơn gin có th áp dng thành công trong
nhng trường hp như vy, đảm bo an toàn và tính bo mt mang tính “nn
móng” ca DHCP và h thng mng Windows.
Các mi đe da và phương pháp đối phó
Khi đối mt vi nhng him ha này, các yêu cu cn có đối vi DHCP
server ca Windows 2000 và Windows Server 2003 s được xác nhn bên
trong Active Directory trước khi bt đầu gán địa ch thành phn ti client.
Quá trình xác nhn đây có nghĩa là khi DHCP server ca Windows 2000
hoc Windows Server 2003 tiến hành boot trên h thng Active Directory
nếu chúng “giao tiếp” vi domain controller trước tiên để kim tra xem
nhng địa ch IP được tìm thy trong danh sách DHCP server hp pháp có
đúng là ca domain controller hay không. Nếu h thng DHCP server này
xác nhn nhng thông tin nhn được t phía client là chính xác, h thng s
tiếp tc làm như vy đối vi nhng yêu cu tiếp theo. Còn nếu ngược li, h
thng s t động tt b dch v DHCP Server, và đương nhiên, các máy
client s không được gán địa ch IP hp l na.
Li ích thc s ca vic này là để bo v h thng mng ca bn tránh khi
vic cu hình sơ sài, không đủ độ bo mt. Hãy th tưởng tượng xem chuyn
gì s xy ra khi tin tc bí mt s dng, kết hp h thng mng ca bn vi
DHCP server không hot động trên nn tng Windows 2000 hoc Windows
Server 2003? Trong trường hp này, quá trình xác thc quyn truy cp s
không có tác dng vì h thng DHCP server không phi ca Microsoft s
không cung cp thông tin phn hi theo đúng chun ca Microsoft ti nhng
tin nhn DHCPINFORM ca Windows được s dng để kim tra xem
DHCP server đã được xác nhn hay chưa. Thm chí, nếu DHCP server ca
Windows NT tht bi trong trường hp này, nhng k tn công ch cn 1
chiếc laptop s dng Windows NT như h thng DHCP server gi mo s d
dàng phát hin và tránh khi nhng phương pháp phòng chng ca người
qun tr (chúng ta s bàn lun trong phn 2).
Các tín hiu t phía client gi mo li là 1 vn đề hoàn toàn khác, như vic
DHCP được to ra để gán địa ch IP. 1 trong nhng cách d dàng để đối phó
vi vn đề client gi mo là thi đim đầu tiên DHCP được đặt ra, đối vi
nhng h thng mng vi quy mô ln thì vic thc hin công đon này khá
vt v và phc tp. Phương pháp phòng chng đây là vic thiết lp các chế
độ tùy chnh, thông qua đó, vic lưu tr các địa ch MAC ti 1 địa ch IP bt
k mà ch có client vi thông s MAC c th được ch định trước mi được
gn IP tương ng. Nếu vic bo mt là 1 trong nhng khâu quan trng nht
thì người qun tr có th áp dng phương pháp to và đặt reservation đối vi
mi máy client trên toàn b h thng mng. Do đó, mi 1 client gi mo khi
c gng boot và truy cp vào h thng mng này s nhn được tín hiu
DHCP không còn địa ch IP trng và do đó, không th truy cp vào mng
ca người qun tr.
Nhưng thc s thì mi vic có đơn gin như vy hay không? Trong khi cách
tiếp cn và phòng b này ch có tác dng đối vi nhng cuc tn công mc
trung bình, thì nhng tên hacker vi nhiu th đon tinh vi hơn vn có th
“lách lut” và thâm nhp được vào h thng DHCP. Phương pháp khá đơn
gin và ph biến được tin tc s dng là “lng nghe” các tín hiu
DHCPDISCOVER phát tán t phía client và sau đó, thu thp địa ch MAC.
Và sau khi tín hiu client hp pháp ngng hot động, các client gi mo s
ngay lp tc thiết lp li địa ch MAC để phù hp vi nhng gì client hp
pháp to ra, 1 mt khác, chúng thu thp và tái to nhng thông s k thut
hoàn toàn hp l hoc c gng phá v các mi “giao tiếp” qua li gia các
client hp pháp vi nhau. Để đối phó vi tình trng này, nhng người qun
tr vi kinh nghim và ý thc bo mt cao thường xem xét phương pháp
gim ti DHCP đối vi nhng địa ch tĩnh, nhưng phi làm gì để ngăn chn
trit để tin tc? H có th áp dng nhng phương pháp th công, đơn gin
nhưng khá hiu qu như cài đặt, kích hot tính năng tường la đối vi mi
client trên h thng mng, thiết lp danh sách địa ch IP hp pháp được phép
truy cp. Nhưng hãy th tưởng tượng xem, đội ngũ qun tr s phi đau đầu
như thế nào khi thc hin tng đó thao tác trên mi máy trm? Vì vy, gii