DHCP contre l'adressage IP statique
Comment l'adressage DHCP et l'adressage IP statique se comparent-ils du point de vue de la sécurité? Quels sont les risques/avantages associés à chacun?
Je sais que la solution préférée entre les deux variera selon la taille et la disposition du réseau, mais je cherche juste une explication plus générale de la façon dont ils se comparent.
Veuillez répondre d'un seul point de vue de la sécurité - sans tenir compte des sujets tels que les frais généraux du réseau et les coûts d'infrastructure, à moins qu'ils n'affectent directement et de manière significative la confidentialité, l'intégrité ou la disponibilité du système.
Les offres DHCP fuient certaines informations sur un réseau. Les options contenues révèlent certains détails sur la configuration et l'infrastructure du réseau, ce que DHCP est conçu pour faire. L'affectation statique n'offre aucun de ces détails.
La menace ici est une connexion non autorisée au réseau. Cela peut être soit un périphérique se connectant à une prise réseau en direct, soit un client sans fil accédant à un WLAN. Une fois que la connexion non autorisée a eu lieu, la capacité de l'attaquant à faire quoi que ce soit une fois qu'il s'est connecté est là où DHCP vs Static entre en jeu.
DHCP avec enregistrement MAC est le modèle DHCP le plus robuste. Il ne propose des adresses à aucun MAC dont il n'a pas été informé, donc en théorie, les appareils non autorisés ne recevront pas d'informations. Il en va de même pour l'affectation statique, il n'y a pas de serveur à demander pour l'adressage.
DHCP sans enregistrement MAC permettra aux appareils non autorisés de consommer une adresse IP.
L'enregistrement MAC nécessite que tous les nouveaux appareils de tout type soient enregistrés auprès du système DHCP, ce qui peut augmenter considérablement le temps de fonctionnement d'un nouvel appareil. Tous les périphériques réseau n'ont pas leur MAC affiché où ils peuvent être facilement lus, donc certains périphériques Edge-case peuvent nécessiter des tests de banc pour déterminer quel MAC ils utilisent. Plug-and-go ne fonctionnera pas (par conception!). De plus, si les périphériques existants voient leurs cartes réseau remplacées pour une raison quelconque, les techniciens devront se rappeler de réenregistrer le nouveau MAC. Désenregistrement d'anciens MAC est une étape critique de ce processus, et souvent manquée jusqu'à ce qu'une portée DHCP se remplisse.
Il existe quelques attaques qui rendent l'enregistrement DHCP avec MAC moins utile. Si un attaquant peut placer un pont entre un périphérique autorisé et son port réseau (tel qu'un ordinateur portable avec deux cartes réseau), il peut déterminer très simplement l'adresse MAC de ce périphérique. Tout trafic surveillé de cette manière révélera l'adresse MAC de l'appareil autorisé. La plupart des cartes réseau permettent de changer l'adresse MAC, donc tout l'attaquant a à faire est de changer le MAC sur l'un de leurs NIC, de débrancher l'appareil autorisé, de brancher leur appareil renuméroté et d'accéder à un MAC enregistré.
Sur le sans fil, une fois qu'un attaquant s'est introduit avec succès dans un WLAN au point où il peut surveiller les ondes; obtenir des informations MAC est tout aussi facile.
La défense pour cela est le contrôle d'accès au réseau. Pour parler au réseau, le périphérique connecté doit pouvoir s'authentifier au niveau de la machine. Cela se défend contre les périphériques non autorisés se connectant à un réseau car il empêche une conversation réseau importante de se produire. Dans le scénario ci-dessus, l'appareil de l'attaquant se verrait refuser l'accès. Tous les appareils NE PEUVENT PAS utiliser NAC, notamment les imprimantes connectées au réseau, donc un attaquant peut se concentrer sur ces appareils, ce qui signifie que les événements de déconnexion du réseau doivent être surveillés sur ces ports.
D'une manière générale, dans un environnement correctement configuré, ce choix n'affectera pas trop votre sécurité. Cela dit, DHCP peut avoir quelques trous à considérer.
Avec DHCP (en supposant que vous ne distribuez des adresses qu'à des clients connus), une machine inconnue qui saute sur le réseau ne recevra pas d'adresse. Maintenant, si vous distribuez des baux à une machine qui se branche, vous ouvrez un problème de sécurité, mais la réponse est "Ne faites pas ça!".
Théoriquement, quelqu'un pourrait se connecter au réseau et rechercher des messages diffusés, avoir une idée de l'apparence de votre réseau (serveurs DNS, routeurs, peut-être des informations divulguées en fonction des ID client DHCP et des plages IP qu'ils obtiennent. assigné à), mais si les gens se connectent à votre réseau (théoriquement sécurisé) vous avez de plus gros poissons à faire frire.
Avec des adresses statiques et aucun serveur DHCP, il y a moins de fuites d'informations naturelles (le routeur et les informations DNS ne seront pas distribués, et il n'y aura pas non plus d'ID de client DHCP pour fuir les informations). Même dans ce cas, si un attaquant pénètre dans votre réseau, il peut simplement rester assis à renifler le trafic jusqu'à ce qu'il analyse les mêmes informations qu'il aurait obtenues des émissions DHCP - cela leur prendra plus de temps et sera plus difficile, mais c'est toujours possible.
Idéalement, vous devez désactiver les ports réseau inutilisés, sécuriser tous les réseaux sans fil que vous avez avec un WPA de bonne qualité et probablement filtrer les adresses MAC sur vos commutateurs d'accès et points d'accès sans fil.Si vous faites tout cela, cela constitue une barrière importante pour quelqu'un parvient à accéder à votre réseau et aide à atténuer les fuites d'informations qu'ils pourraient obtenir du DHCP (ou s'asseoir et renifler) en mettant un autre obstacle entre eux et le ventre mou de votre réseau.
Un défi avec les adresses IP attribuées dynamiquement est que cela peut rendre un peu plus difficile la création de règles de pare-feu. Souvent, les règles de pare-feu sont construites à l'aide d'adresses IP codées en dur pour les hôtes avec lesquels vous allez communiquer. Si ces hôtes ont une IP dynamique, il est plus difficile de coder pour eux une politique de pare-feu sécurisé.
(La raison pour laquelle il est généralement plus sûr d'utiliser des adresses IP codées en dur dans votre stratégie de pare-feu, par opposition à un nom d'hôte DNS, est ainsi que la sécurité de votre pare-feu n'est pas vulnérable à l'usurpation DNS, au détournement de DNS ou à d'autres attaques DNS.)
Un autre problème de sécurité qui n'est pas encore mentionné ici est la possibilité d'attaques d'homme au milieu.
Si un attaquant déploie un serveur DHCP non autorisé, il peut essentiellement devenir la passerelle, à la fois pour la communication avec l'intranet et Internet.
L'atténuation de ce type d'attaque dépend du matériel utilisé dans l'infrastructure. Si votre matériel prend en charge les règles de blocage pr. port, interdiction des paquets avec le port source 67.
Sinon, l'écoute passive des serveurs DHCP rouges sur le réseau est également une option.