محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

آموزش راه اندازی DHCP Snooping در سویچ سیسکو به زبان ساده

چگونه DHCP Snooping را راه اندازی کنیم؟ Rogue DHCP سرورها DHCP سرورهایی هستند که به صورت خواسته یا ناخواسته در شبکه شما راه اندازی می شوند و بعضا باعث مختل شدن فعالیت شبکه شما می شوند. برای جلوگیری از عملکرد DHCP سرورهای غیرمجاز یا Rogue در شبکه ، در سویچ های سیسکو قابلیتی به عنوان DHCP Snooping ارائه شده است. ویژگی DHCP Snooping در واقع یک فایروال Logical در بین Untrusted Host ها یا کلاینت های غیرقابل اعتماد و DHCP سرورها ایجاد می کند. همانطور که در شکل زیر مشاهده می کنید سویچ بعد از فعال شدن قابلیت DHCP Snooping یک جدول یا Table ایجاد و نگهداری می کند که به DHCP Snooping Table یا DHCP Binding Database معروف است.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

سویچ از این جدول برای شناسایی و فیلتر کردن پیام های untrusted یا غیرقابل اعتماد از شبکه استفاده می کند ، سویچ از این جدول برای شناسایی DHCP سرورهای مجاز و قابل اعتماد و همچنین DHCP سرورهای غیر مجاز استفاده می کند ، زمانیکه در این جدول یک DHCP سرور به عنوان مورد اعتماد یا Trusted معرفی شد آدرس MAC آن به همراه مبدا ارسالی آن در این جدول ثبت می شود ، اگر پیام DHCP سروری از سایر پورت های شبکه دریافت شود که برابر آدرس MAC و مبدا ثبت شده در این جدول نباشد سویچ آن پیام و سرویس را مسدود و فیلتر می کند ، یا بهتر بگوییم اگر Packet ای از Untrusted Port ها وارد سویچ شود و فرآیند DHCP را داشته باشد Drop خواهد شد.

 

تصویر اول DHCP Snooping Table

تصویر پایین روش عملکرد قابلیت DHCP Snooping در عمل را نشان می دهد ، همانطور که مشاهده می کنید یک هکر یا مهاجم یا حتی کسی که به اشتباه یک DHCP سرور بر روی سیستم خود وصل کرده است سعی در مختل کردن ارتباط بین کلاینت و سرور می کند اما DHCP Snooping ترافیک ورودی از Trusted Port ها را فقط قبول می کند و چون ترافیک DHCP مهاجم از پورت های Untrusted یا غیر قابل اعتماد ارسال می شوند این Packet را Drop می کند و اجازه فعالیت به Rogue DHCP سرور نمی دهد.

 

تصویر دوم روش عملکرد مکانیزم DHCP Snooping

قابلیت DHCP Snooping هم در سطح سویچ و هم در سطح VLAN قابل پیاده سازی است. برای اینکه قابلیت DHCP Snooping بتواند به درستی عمل کند ، تمامی DHCP سرورهایی که به پورتها یا بهتر بگوییم Interface های سویچ متصل شده اند بایستی به عنوان Trusted Interface به سویچ معرفی شوند. شما می توانید با استفاده از دستور ip dhcp snooping trust در تنظیمات سویچ خود یک Trusted Interface را به سویچ معرفی کنید. سایر Interface ها و حتی DHCP Client هایی که به سویچ متصل شده اند و ترافیک از سویچ دریافت و به آن ارسال می کنند بایستی به عنوان Untrusted Interface به سویچ معرفی شوند که اینکار با استفاده از دستور no ip dhcp snooping trust در تنظیمات سویچ سیسکو انجام می شود.

برای پیکربندی تنظیمات DHCP Snooping ابتدا شما بایستی بر روی یکی از VLAN های خود DHCP Snooping را با استفاده از دستور[ ip dhcp snooping vlan [vlan-id در تنظیمات Global Configuration Mode فعال کنید. همین دستور را برای سایر VLAN های خود نیز تکرار کنید ، سپس قابلیت DHCP Snooping را بصورت کامل به شکل ip dhcp snooping از Global Configuration Mode اجرا کنید. هر دوی این تنظیمات بایستی به درستی انجام شوند تا DHCP Snooping به درستی پیاده سازی شود.

به مثال زیر توجه کنید ، در این مثال یک DHCP سرور داریم که به پورت FastEthernet 0//1 سویچ متصل شده است ، بنابراین این پورت بایستی به عنوان Trusted Port به سویچ معرفی شود ، در خط دوم ما تعداد Packet هایی که می تواند در هر ثانیه رد و بدل شود را با استفاده از دستور rate limit به 200 عدد محدود کرده ایم. با استفاده از دستور rate limit شما مطمئن می شوید که ترافیک زیادی باعث از کار افتادن DHCP سرور نمی شود یا به قول فنی تر DHCP Flood صورت نمی گیرد. در ادامه DHCP Snooping برای VLAN5 فعال شد و بصورت Globally نیز Active شد. تمامی مواردی که در این قسمت گفتیم در دستورات زیر به خوبی نمایش داده شده است :

Switch(config)# interface Fastethernet0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate 200
Switch(config-if)# exit
Switch(config)# ip dhcp snooping vlan 5
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping information option

شما می توانید با استفاده از دستور show ip dhcp snooping تنظیمات DHCP Snooping را مشاهده کنید. همچنین با استفاده از دستور show ip dhcp snooping binding می توانید untrusted port هایی که برای DHCP Snooping تعریف شده اند را نیز مشاهده کنید ، امیدوارم مورد توجه شما قرار گرفته باشد ، منتظر انتقادات و پیشنهادات سازنده شما در خصوص این مقاله هستیم ، توسینسو باشید


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات