it-swarm-id.com

Alamat IP DHCP vs. Statis

Bagaimana membandingkan DHCP dan Static IP address, dari sudut pandang keamanan? Apa risiko/manfaat yang terkait dengan masing-masing?

Saya tahu solusi yang disukai antara keduanya akan bervariasi dengan ukuran dan tata letak jaringan, tapi saya hanya mencari penjelasan yang lebih umum tentang bagaimana mereka membandingkan.

Harap jawab dari sudut pandang keamanan saja - mengabaikan topik seperti overhead jaringan dan biaya infrastruktur, kecuali jika secara langsung dan signifikan mempengaruhi Kerahasiaan, Integritas, atau Ketersediaan sistem.

20
Iszi

Penawaran DHCP jangan membocorkan beberapa informasi tentang jaringan. Opsi-opsi yang terkandung mengungkapkan rincian tertentu tentang tata letak dan infrastruktur jaringan, yang dirancang untuk dilakukan oleh DHCP. Tugas statis tidak menawarkan detail ini.

Ancaman di sini adalah koneksi tidak sah ke jaringan. Itu bisa berupa perangkat yang terhubung ke soket jaringan langsung atau klien nirkabel yang mendapatkan akses ke WLAN. Setelah koneksi yang tidak sah telah terjadi, kemampuan penyerang untuk melakukan apa pun setelah mereka terhubung adalah di mana DHCP vs Static ikut bermain.

DHCP dengan registrasi MAC adalah model DHCP yang paling kuat. Itu tidak menawarkan alamat ke MAC apa pun yang belum diceritakan, sehingga secara teori perangkat yang tidak sah tidak akan ditawari informasi. Hal yang sama berlaku untuk penugasan statis, tidak ada server untuk meminta pengalamatan.

DHCP tanpa registrasi MAC akan memungkinkan perangkat yang tidak sah menggunakan alamat IP.

Registrasi MAC mengharuskan semua perangkat baru dari jenis apa pun untuk didaftarkan pada sistem DHCP yang secara signifikan dapat meningkatkan berapa lama yang dibutuhkan untuk perangkat baru untuk berfungsi. Tidak semua perangkat jaringan memiliki MAC yang diposting di mana mereka dapat dengan mudah dibaca, sehingga beberapa perangkat Edge-case mungkin memerlukan beberapa tes bangku untuk mengetahui MAC apa yang mereka gunakan. Plug-and-go tidak akan berfungsi (sesuai desain!). Selain itu, jika perangkat yang ada memiliki kartu jaringan mereka ditukar untuk beberapa alasan, teknisi harus ingat untuk mendaftar ulang MAC baru. Deregistrasi MAC lama adalah langkah penting dari proses ini, dan sering terlewatkan sampai cakupan DHCP terisi.

Ada beberapa serangan yang membuat DHCP dengan registrasi MAC kurang bermanfaat. Jika penyerang dapat menempatkan jembatan antara perangkat yang diotorisasi dan port jaringannya (seperti laptop dengan dua NIC), ia dapat mengetahui alamat MAC perangkat itu dengan sangat sederhana. Lalu lintas apa pun yang dipantau dengan cara ini akan mengungkapkan alamat MAC perangkat yang diotorisasi. Sebagian besar kartu jaringan memungkinkan untuk mengubah alamat MAC, jadi yang harus dilakukan penyerang adalah mengganti MAC di salah satu NIC mereka, cabut perangkat yang diotorisasi, colokkan perangkat yang dinomori ulang, dan dapatkan akses pada MAC yang terdaftar.

Pada nirkabel, setelah penyerang berhasil membobol WLAN ke titik di mana mereka dapat memonitor gelombang udara; mendapatkan informasi MAC juga mudah.

Pertahanan untuk ini adalah Kontrol Akses Jaringan. Untuk berbicara dengan jaringan, perangkat yang terpasang harus dapat mengautentikasi pada tingkat mesin. Ini membela terhadap perangkat yang tidak sah melampirkan ke jaringan karena mencegah percakapan jaringan yang signifikan terjadi. Dalam skenario di atas, perangkat penyerang akan ditolak aksesnya. Tidak semua perangkat DAPAT menggunakan NAC, terutama printer yang terhubung ke jaringan, sehingga penyerang dapat fokus pada perangkat tersebut, yang berarti bahwa peristiwa pemutusan jaringan perlu dipantau pada port tersebut.

21
sysadmin1138

Secara umum dalam lingkungan yang dikonfigurasi dengan benar, pilihan ini tidak akan terlalu memengaruhi keamanan Anda. Yang mengatakan DHCP mungkin memiliki beberapa lubang yang patut dipertimbangkan.

Dengan DHCP (dengan asumsi Anda hanya membagikan alamat ke klien yang dikenal) mesin tidak dikenal yang melompat pada jaringan tidak akan diberi alamat. Sekarang jika Anda membagikan sewa ke mesin apa pun yang terhubung Anda membuka masalah keamanan, tetapi jawabannya ada "Jangan lakukan itu!".
Secara teoritis seseorang dapat menyambungkan ke jaringan dan mencari pesan siaran, mendapatkan gambaran seperti apa jaringan Anda (server DNS, router, mungkin beberapa informasi yang bocor berdasarkan ID klien DHCP & rentang IP yang mereka dapatkan ditugaskan untuk), tetapi jika orang menghubungkan ke jaringan Anda (secara teoritis aman) Anda memiliki ikan yang lebih besar untuk digoreng.

Dengan alamat statis dan tidak ada server DHCP, ada sedikit kebocoran informasi alami (router & info DNS tidak akan dibagikan, dan tidak akan ada ID klien DHCP untuk membocorkan informasi juga). Bahkan dalam kasus ini sekalipun jika seorang penyerang masuk ke jaringan Anda, mereka hanya bisa duduk di sana diam-diam mengendus lalu lintas sampai mereka mengeluarkan informasi yang sama dengan yang mereka dapatkan dari siaran DHCP - itu akan memakan waktu lebih lama, dan akan lebih sulit, tetapi itu masih mungkin.


Idealnya Anda harus menonaktifkan port jaringan yang tidak terpakai, mengamankan nirkabel apa pun yang Anda miliki dengan WPA berkualitas baik, dan mungkin melakukan penyaringan alamat MAC di sakelar akses & titik akses nirkabel Anda - Jika Anda melakukan semua itu akan memberikan penghalang substansial kepada seseorang mengelola untuk masuk ke jaringan Anda, dan membantu mengurangi kebocoran informasi apa pun yang bisa mereka dapatkan dari DHCP (atau duduk dan mengendus) dengan menempatkan penghalang lain di antara mereka dan perut lembut jaringan Anda.

10
voretaq7

Satu tantangan dengan alamat IP yang ditetapkan secara dinamis adalah bahwa hal ini dapat membuatnya agak sulit untuk membangun aturan firewall. Seringkali, aturan firewall dibuat menggunakan alamat IP hard-coded untuk host yang akan Anda ajak berkomunikasi. Jika host tersebut memiliki IP dinamis, maka lebih sulit untuk membuat kode kebijakan firewall yang aman untuk mereka.

(Alasan mengapa biasanya paling aman untuk menggunakan alamat IP hard-coded dalam kebijakan firewall Anda, dibandingkan dengan nama host DNS, adalah dengan cara ini keamanan firewall Anda tidak rentan terhadap spoofing DNS, pembajakan DNS, atau serangan DNS lainnya.)

5
D.W.

Masalah keamanan lain yang belum disebutkan di sini, adalah kemungkinan serangan man-in-the-middle.

Jika seorang penyerang menggunakan server DHCP yang jahat, ia pada dasarnya dapat menjadi gateway, baik untuk komunikasi ke intranet dan internet.

Mitigasi untuk jenis serangan ini, tergantung pada perangkat keras yang digunakan dalam infrastruktur. Jika perangkat keras Anda mendukung aturan pemblokiran pr. port, melarang paket dengan port sumber 67.

Jika tidak, secara pasif mendengarkan server DHCP di jaringan juga merupakan opsi.

4