alikamanak
June 18th, 2014, 15:06
Rogue DHCP سرورها DHCP سرورهایی هستند که به صورت خواسته یا ناخواسته در شبکه شما راه اندازی می شوند و بعضا باعث مختل شدن فعالیت شبکه شما می شوند. برای جلوگیری از عملکرد DHCP سرورهای غیرمجاز یا Rogue در شبکه ، در سویچ های سیسکو قابلیتی به عنوان DHCP Snooping ارائه شده است. ویژگی DHCP Snooping در واقع یک فایروال Logical در بین Untrusted Host ها یا کلاینت های غیرقابل اعتماد و DHCP سرورها ایجاد می کند. همانطور که در شکل زیر مشاهده می کنید سویچ بعد از فعال شدن قابلیت DHCP Snooping یک جدول یا Table ایجاد و نگهداری می کند که به DHCP Snooping Table یا DHCP Binding Database معروف است.سویچ از این جدول برای شناسایی و ***** کردن پیام های untrusted یا غیرقابل اعتماد از شبکه استفاده می کند ، سویچ از این جدول برای شناسایی DHCP سرورهای مجاز و قابل اعتماد و همچنین DHCP سرورهای غیر مجاز استفاده می کند ، زمانیکه در این جدول یک DHCP سرور به عنوان مورد اعتماد یا Trusted معرفی شد آدرس MAC آن به همراه مبدا ارسالی آن در این جدول ثبت می شود ، اگر پیام DHCP سروری از سایر پورت های شبکه دریافت شود که برابر آدرس MAC و مبدا ثبت شده در این جدول نباشد سویچ آن پیام و سرویس را مسدود و ***** می کند ، یا بهتر بگوییم اگر Packet ای از Untrusted Port ها وارد سویچ شود و فرآیند DHCP را داشته باشد Drop خواهد شد.
http://itpro.ir/resources/images/a84cd41d3fb94c2998fe5a62feb7650f
تصویر پایین روش عملکرد قابلیت DHCP Snooping در عمل را نشان می دهد ، همانطور که مشاهده می کنید یک هکر یا مهاجم یا حتی کسی که به اشتباه یک DHCP سرور بر روی سیستم خود وصل کرده است سعی در مختل کردن ارتباط بین کلاینت و سرور می کند اما DHCP Snooping ترافیک ورودی از Trusted Port ها را فقط قبول می کند و چون ترافیک DHCP مهاجم از پورت های Untrusted یا غیر قابل اعتماد ارسال می شوند این Packet را Drop می کند و اجازه فعالیت به Rogue DHCP سرور نمی دهد.
http://itpro.ir/resources/images/b4f4be3517d34ef6aeab512111ddf1c1
قابلیت DHCP Snooping هم در سطح سویچ و هم در سطح VLAN قابل پیاده سازی است. برای اینکه قابلیت DHCP Snooping بتواند به درستی عمل کند ، تمامی DHCP سرورهایی که به پورتها یا بهتر بگوییم Interface های سویچ متصل شده اند بایستی به عنوان Trusted Interface به سویچ معرفی شوند. شما می توانید با استفاده از دستور ip dhcp snooping trust در تنظیمات سویچ خود یک Trusted Interface را به سویچ معرفی کنید. سایر Interface ها و حتی DHCP Client هایی که به سویچ متصل شده اند و ترافیک از سویچ دریافت و به آن ارسال می کنند بایستی به عنوان Untrusted Interface به سویچ معرفی شوند که اینکار با استفاده از دستور no ip dhcp snooping trust در تنظیمات سویچ سیسکو انجام می شود.
برای پیکربندی تنظیمات DHCP Snooping ابتدا شما بایستی بر روی یکی از VLAN های خود DHCP Snooping را با استفاده از دستور[ ip dhcp snooping vlan [vlan-id در تنظیمات Global Configuration Mode فعال کنید. همین دستور را برای سایر VLAN های خود نیز تکرار کنید ، سپس قابلیت DHCP Snooping را بصورت کامل به شکل ip dhcp snooping از Global Configuration Mode اجرا کنید. هر دوی این تنظیمات بایستی به درستی انجام شوند تا DHCP Snooping به درستی پیاده سازی شود.
به مثال زیر توجه کنید ، در این مثال یک DHCP سرور داریم که به پورت FastEthernet 0/1 سویچ متصل شده است ، بنابراین این پورت بایستی به عنوان Trusted Port به سویچ معرفی شود ، در خط دوم ما تعداد Packet هایی که می تواند در هر ثانیه رد و بدل شود را با استفاده از دستور rate limit به 200 عدد محدود کرده ایم. با استفاده از دستور rate limit شما مطمئن می شوید که ترافیک زیادی باعث از کار افتادن DHCP سرور نمی شود یا به قول فنی تر DHCP Flood صورت نمی گیرد. در ادامه DHCP Snooping برای VLAN5 فعال شد و بصورت Globally نیز Active شد. تمامی مواردی که در این قسمت گفتیم در دستورات زیر به خوبی نمایش داده شده است :
1
2
3
4
5
6
7
Switch(config)# interface Fastethernet0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate 200
Switch(config-if)# exit
Switch(config)# ip dhcp snooping vlan 5
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping information option
شما می توانید با استفاده از دستور show ip dhcp snooping تنظیمات DHCP Snooping را مشاهده کنید. همچنین با استفاده از دستور show ip dhcp snooping binding می توانید untrusted port هایی که برای DHCP Snooping تعریف شده اند را نیز مشاهده کنید ، امیدوارم مورد توجه شما قرار گرفته باشد ، منتظر انتقادات و پیشنهادات سازنده شما در خصوص این مقاله هستیم ، ITPRO باشید
نویسنده : محمد نصیری
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
http://itpro.ir/resources/images/a84cd41d3fb94c2998fe5a62feb7650f
تصویر پایین روش عملکرد قابلیت DHCP Snooping در عمل را نشان می دهد ، همانطور که مشاهده می کنید یک هکر یا مهاجم یا حتی کسی که به اشتباه یک DHCP سرور بر روی سیستم خود وصل کرده است سعی در مختل کردن ارتباط بین کلاینت و سرور می کند اما DHCP Snooping ترافیک ورودی از Trusted Port ها را فقط قبول می کند و چون ترافیک DHCP مهاجم از پورت های Untrusted یا غیر قابل اعتماد ارسال می شوند این Packet را Drop می کند و اجازه فعالیت به Rogue DHCP سرور نمی دهد.
http://itpro.ir/resources/images/b4f4be3517d34ef6aeab512111ddf1c1
قابلیت DHCP Snooping هم در سطح سویچ و هم در سطح VLAN قابل پیاده سازی است. برای اینکه قابلیت DHCP Snooping بتواند به درستی عمل کند ، تمامی DHCP سرورهایی که به پورتها یا بهتر بگوییم Interface های سویچ متصل شده اند بایستی به عنوان Trusted Interface به سویچ معرفی شوند. شما می توانید با استفاده از دستور ip dhcp snooping trust در تنظیمات سویچ خود یک Trusted Interface را به سویچ معرفی کنید. سایر Interface ها و حتی DHCP Client هایی که به سویچ متصل شده اند و ترافیک از سویچ دریافت و به آن ارسال می کنند بایستی به عنوان Untrusted Interface به سویچ معرفی شوند که اینکار با استفاده از دستور no ip dhcp snooping trust در تنظیمات سویچ سیسکو انجام می شود.
برای پیکربندی تنظیمات DHCP Snooping ابتدا شما بایستی بر روی یکی از VLAN های خود DHCP Snooping را با استفاده از دستور[ ip dhcp snooping vlan [vlan-id در تنظیمات Global Configuration Mode فعال کنید. همین دستور را برای سایر VLAN های خود نیز تکرار کنید ، سپس قابلیت DHCP Snooping را بصورت کامل به شکل ip dhcp snooping از Global Configuration Mode اجرا کنید. هر دوی این تنظیمات بایستی به درستی انجام شوند تا DHCP Snooping به درستی پیاده سازی شود.
به مثال زیر توجه کنید ، در این مثال یک DHCP سرور داریم که به پورت FastEthernet 0/1 سویچ متصل شده است ، بنابراین این پورت بایستی به عنوان Trusted Port به سویچ معرفی شود ، در خط دوم ما تعداد Packet هایی که می تواند در هر ثانیه رد و بدل شود را با استفاده از دستور rate limit به 200 عدد محدود کرده ایم. با استفاده از دستور rate limit شما مطمئن می شوید که ترافیک زیادی باعث از کار افتادن DHCP سرور نمی شود یا به قول فنی تر DHCP Flood صورت نمی گیرد. در ادامه DHCP Snooping برای VLAN5 فعال شد و بصورت Globally نیز Active شد. تمامی مواردی که در این قسمت گفتیم در دستورات زیر به خوبی نمایش داده شده است :
1
2
3
4
5
6
7
Switch(config)# interface Fastethernet0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate 200
Switch(config-if)# exit
Switch(config)# ip dhcp snooping vlan 5
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping information option
شما می توانید با استفاده از دستور show ip dhcp snooping تنظیمات DHCP Snooping را مشاهده کنید. همچنین با استفاده از دستور show ip dhcp snooping binding می توانید untrusted port هایی که برای DHCP Snooping تعریف شده اند را نیز مشاهده کنید ، امیدوارم مورد توجه شما قرار گرفته باشد ، منتظر انتقادات و پیشنهادات سازنده شما در خصوص این مقاله هستیم ، ITPRO باشید
نویسنده : محمد نصیری
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد