it-swarm.dev

DHCP vs Indirizzamento IP statico

Come si confrontano l'indirizzamento DHCP e IP statico, dal punto di vista della sicurezza? Quali sono i rischi/benefici associati a ciascuno?

So che la soluzione preferita tra i due varierà con le dimensioni e il layout della rete, ma sto solo cercando una spiegazione più generale di come si confrontano.

Rispondere solo dal punto di vista della sicurezza, trascurando argomenti come i costi di rete e di infrastruttura, a meno che non influiscano direttamente e significativamente sulla Riservatezza, Integrità o Disponibilità del sistema.

20
Iszi

Le offerte DHCP perdono alcune informazioni su una rete. Le opzioni contenute rivelano alcuni dettagli sul layout e sull'infrastruttura di rete, che è ciò che DHCP è progettato per fare. L'assegnazione statica non offre questo dettaglio.

La minaccia qui è la connessione non autorizzata alla rete. Può essere un dispositivo collegato a una presa di rete attiva o un client wireless che accede a una rete WLAN. Una volta che la connessione non autorizzata ha avuto luogo, la capacità dell'attaccante di fare qualsiasi cosa una volta che si è connesso è dove entra in gioco DHCP vs Statico.

DHCP con registrazione MAC è il modello DHCP più affidabile. Non offre indirizzi a nessun MAC di cui non sia stato detto, quindi in teoria ai dispositivi non autorizzati non verranno offerte informazioni. Lo stesso vale per l'assegnazione statica, non esiste un server a cui chiedere l'indirizzamento.

Il DHCP senza registrazione MAC consentirà ai dispositivi non autorizzati di utilizzare un indirizzo IP.

La registrazione MAC richiede che tutti i nuovi dispositivi di qualsiasi tipo siano registrati con il sistema DHCP, il che può aumentare significativamente il tempo necessario affinché un nuovo dispositivo funzioni. Non tutti i dispositivi di rete hanno il proprio MAC pubblicato dove possono essere facilmente letti, quindi alcuni dispositivi Edge case potrebbero richiedere alcuni test da banco per capire quale MAC stanno usando. Plug-and-go non funzionerà (in base alla progettazione!). Inoltre, se i dispositivi esistenti hanno le loro schede di rete sostituite per qualche motivo, i tecnici dovranno ricordarsi di registrare nuovamente il nuovo MAC. Annullamento della registrazione di vecchi MAC è un passaggio fondamentale di questo processo e spesso manca fino a quando non si riempie un ambito DHCP.

Esistono un paio di attacchi che rendono meno utile DHCP con registrazione MAC. Se un utente malintenzionato può posizionare un ponte tra un dispositivo autorizzato e la sua porta di rete (come un laptop con due schede NIC), può capire l'indirizzo MAC di quel dispositivo in modo molto semplice. Qualsiasi traffico monitorato in questo modo rivelerà l'indirizzo MAC del dispositivo autorizzato. La maggior parte delle schede di rete consente di modificare l'indirizzo MAC, quindi tutto ciò che l'attaccante deve fare è cambiare il MAC su una delle sue schede NIC, scollegare il dispositivo autorizzato, ricollegare il dispositivo ricodificato e accedere a un MAC registrato.

In modalità wireless, una volta che un utente malintenzionato è riuscito a entrare in una rete WLAN al punto da poter monitorare le onde radio; ottenere informazioni MAC è altrettanto facile.

La difesa di ciò è il controllo dell'accesso alla rete. Per comunicare con la rete, il dispositivo collegato deve essere in grado di autenticarsi a livello di macchina. Ciò difende dai dispositivi non autorizzati che si collegano a una rete poiché impedisce che si verifichino conversazioni di rete significative. Nello scenario sopra, al dispositivo dell'attaccante verrebbe negato l'accesso. Non tutti i dispositivi POSSONO utilizzare NAC, in particolare le stampanti collegate in rete, quindi un utente malintenzionato può concentrarsi su tali dispositivi, il che significa che gli eventi di disconnessione di rete devono essere monitorati su tali porte.

21
sysadmin1138

In genere, in un ambiente configurato correttamente, questa scelta non influirà in modo eccessivo sulla sicurezza. Detto questo, DHCP potrebbe avere alcune lacune che vale la pena considerare.

Con DHCP (supponendo che tu stia distribuendo gli indirizzi solo a client noti) a una macchina sconosciuta che salta sulla rete non verrà assegnato un indirizzo. Ora, se stai distribuendo contratti di locazione a qualsiasi macchina che si collega, stai aprendo un problema di sicurezza, ma la risposta è "Non farlo!".
Teoricamente qualcuno potrebbe collegarsi alla rete e cercare messaggi broadcast, ottenendo un'idea dell'aspetto della rete (server DNS, router, forse alcune informazioni trapelate in base agli ID client DHCP e agli intervalli IP che ottengono assegnato a), ma se le persone si collegano alla tua rete (teoricamente sicura) hai pesci più grandi da friggere.

Con indirizzi statici e nessun server DHCP c'è una perdita di informazioni meno naturale (le informazioni sul router e sul DNS non verranno fornite e non ci saranno neanche ID client DHCP per la perdita di informazioni). Anche in questo caso, tuttavia, se un utente malintenzionato si collega alla tua rete, può semplicemente rimanere lì in silenzio annusando il traffico fino a quando non ottiene le stesse informazioni che avrebbe ottenuto dalle trasmissioni DHCP: impiegherà più tempo e sarà più difficile, ma è ancora possibile.


Idealmente, dovresti disattivare le porte di rete inutilizzate, proteggere qualsiasi wireless che hai con WPA di buona qualità e probabilmente fare il filtraggio dell'indirizzo MAC nei tuoi switch di accesso e punti di accesso wireless - Se stai facendo tutto ciò che costituisce una barriera sostanziale per qualcuno riuscire ad accedere alla tua rete e aiuta a mitigare eventuali perdite di informazioni che potrebbero derivare dal DHCP (o sedersi e annusare) mettendo un altro ostacolo tra loro e il ventre molle della tua rete.

10
voretaq7

Una sfida con indirizzi IP assegnati dinamicamente è che ciò può rendere un po 'più difficile la creazione di regole firewall. Spesso, le regole del firewall vengono create utilizzando indirizzi IP codificati per gli host con cui si intende comunicare. Se tali host dispongono di un IP dinamico, è più difficile codificare un criterio firewall sicuro per loro.

(Il motivo per cui di solito è più sicuro utilizzare indirizzi IP codificati nella politica del firewall, al contrario di un nome host DNS, è in questo modo la sicurezza del firewall non è vulnerabile allo spoofing DNS, al dirottamento DNS o ad altri attacchi DNS.)

5
D.W.

Un altro problema di sicurezza non ancora menzionato qui è la possibilità di attacchi man-in-the-middle.

Se un utente malintenzionato distribuisce un server DHCP non autorizzato, può essenzialmente diventare il gateway, sia per la comunicazione con la rete Intranet che con Internet.

La mitigazione per questo tipo di attacco dipende dall'hardware utilizzato nell'infrastruttura. Se l'hardware supporta le regole di blocco pr. porta, non consentendo i pacchetti con la porta di origine 67.

In caso contrario, è anche possibile ascoltare passivamente i server DHCP rouge sulla rete.

4