شرکت پردیس پارس ارائه دهنده خدمات شبکه از جمله راهکاری مجازی سازی شبکه،مجازی سازی دسکتاپ، امنیت، راه اندازی و خدمات ایمیل سرور، پشتیبانی شبکه، آموزش و … از شما دعوت مینماید تا با خواندن این مقاله توانایی لازم در زمینه تنظیم و پیاده سازی راهکار امنیت در DHCP Snooping را در سوئیچ های سیسکو بدست آورید. بنده اشکان پزشکی کارشناس ارشد این شرکت با کمک منابع فارسی و انگلیسی مقاله زیر را تهیه و در اختیار شما خوانندگان عزیز قرار میدهم. امید است مورد توجه علاقه مندان محترم قرار گیرد.
همان طور که مطلع هستید یکی از راه های آسیب رساندن و خرابکاری در شبکه های کامپیوتری راه اندازی سرویس DHCP جعلی می باشد هر اندازه ای که شبکه شما بزرگتر باشد پیدا کردن سرویس جعلی مشکل تر بوده و صدمات جبران ناپذیری تهدیدتان خواهد کرد. حال سوال اینجاست که برای مقابله با این اقدامات خرابکارانه چه باید کرد ؟
در انتهای این مقاله شما با موارد زیر آشنا می شوید:
1- فرآیند دریافت IP از سرویس DHCP توسط کلاینت ها
2- انواع حملات به DHCP سرور
3- راهکار شرکت سیسکو برای مقابله با تهدیدات
4- مفاهیم اولیه راه اندازی DHCP Snooping
5- دستورات اصلی و مفهوم هر کدام از این دستورات
سرویس DHCP و نوع کارکرد آن:
مسلما با مفهوم این سرویس مهم در شبکه آشنایی داشته و میدانید که توسط آن چه کارهایی انجام میشود بنابراین از توضیح در مورد آن خودداری کرده و توصیه میکنیم مطالب قبلی را به صورت کامل مطالعه بفرمایید.
روندی که کلاینت یک IP از DHCP سرور دریافت میکند همانند تصویر زیر می باشد:
در مرحله اول کلاینت پیام discovery را با پورت UDP 67 در سطح شبکه broadcast میکند وقتی DHCP سرور پیام DHCP Discover را دریافت میکند پیام DHCP Offer با پورت UDP 68 برای کلاینت ارسال میشود. کلاینت این امکان را دارد تا DHCP Offer را از چندین سرور دریافت کند، اما پذیرش فقط از یک Offer صورت میپذیرد. کلاینت offer را با پیام Request جواب میدهد و در آخرین مرحله وقتی DHCP سرور پیام Request از کلاینت دریافت کرد پروسه وارد آخرین فاز میشود. فاز پذیرش شامل ارسال پکت Ack برای کلاینت است. این پکت شامل تمام اطلاعات تنظیمی است که شما در DHCP Option خود تعیین نموده اید.
پس از آشنایی با مفاهیم اولیه DHCP، اکنون به بررسی دقیقتر و پیادهسازی عملی آن میپردازیم.
امنیت در DHCP
شرکت سیسکو نخستین شرکتی بود که قابلیت DHCP Snooping را در سوئیچهای خود فعال کرد تا همچنان در زمینههای امنیتی پیشرو باشد. پس از آن، سایر فروشندگان تجهیزات نیز با الگوبرداری از سیسکو، این قابلیت را در محصولات خود قرار دادند. اما DHCP Snooping چیست؟ این مفهوم بر پایه معرفی پورتهای مورد اعتماد (Trusted Ports) در سوئیچها بنا شده است تا از طریق آن، تنها سرور DHCP مورد تأیید در شبکه فعالیت کند. حفاظت از شبکه به این صورت است که پیامهای DHCP فقط از طریق سرورهای مطمئن به اینترفیسهای مورد اعتماد سوئیچ ارسال میشوند.
همانطور که در ابتدای مقاله اشاره شد، برای مقابله با تهدیدات خرابکاری در شبکه، مانند اجرای چندین سرور DHCP غیرمجاز، از راهکار DHCP Snooping استفاده میشود. دو نوع حمله به سرور DHCP در شبکه وجود دارد:
- DHCP Starvation
- DHCP Spoofing
برای اطلاعات بیشتر در این زمینه، میتوانید جستجویی در گوگل انجام دهید یا مقالات بعدی ما را در سایت مطالعه کنید.
مکانیزم کار برای امنیت در DHCP
مکانیزم کار به این صورت است که کلاینتها به شبکه متصل شده و با یکدیگر در ارتباط هستند. سوئیچ دارای یک جدول Binding است که شامل لیست مک آدرسهای تخصیصیافته به کلاینتها توسط DHCP است. سوئیچ با استفاده از DHCP Snooping بهصورت خودکار هر سرور DHCP که از پورتهای غیرمطمئن پیام ارسال میکند را فیلتر میکند. این جدول بهصورت محلی در حافظه قرار میگیرد، اما امکان خروجی گرفتن از این لیست با استفاده از TFTP یا FTP وجود دارد. این کار بهمنظور جلوگیری از از دست رفتن دادهها در صورت راهاندازی مجدد غیرمنتظره سوئیچ انجام میشود.
نکته: توجه داشته باشید که پیادهسازی DHCP Snooping در سوئیچهای سیسکو باعث میشود فریمهایی که مک آدرس مبدأ آنها با آدرس فیزیکی داخلی کارت شبکه یکسان نیست، حذف شوند. این کار در دیتاسنترهای مجازی امروزی که ارتباطات زیادی وجود دارد و گاهی مک آدرسها تغییر میکنند، ممکن است مناسب نباشد.
پیکربندی DHCP Snooping:
برای فعالسازی DHCP Snooping، ابتدا باید این ویژگی را در سطح جهانی (Global) فعال کنید. این دستور در تصویر زیر نمایش داده شده است:
Switch(config)# ip dhcp snooping
سپس باید DHCP Snooping را برای VLANهای موردنظر فعال کنید:
Switch(config)# ip dhcp snooping vlan [VLAN-ID]
در نهایت، پورتهای متصل به سرور DHCP مورد اعتماد را بهعنوان پورتهای Trusted تنظیم کنید:
Switch(config-if)# ip dhcp snooping trust
با انجام این تنظیمات، DHCP Snooping در شبکه شما فعال شده و از ورود سرورهای DHCP غیرمجاز جلوگیری میکند. این ویژگی امنیتی با فیلتر کردن پیامهای DHCP از منابع نامعتبر، از تخصیص نادرست آدرسهای IP جلوگیری کرده و به پایداری و امنیت شبکه کمک میکند.
در مرحله بعدی VLAN ی که قصد داریم از آن محافظت نماییم را پیکربندی میکنیم:
همان طور که در تصویر سوم مشاهده میکنید امکان فعال سازی این قابلیت در یک رنج و یا تعدادی VLAN وجود دارد.
اکنون زمان آن رسیده است که پورت سوئیچ را طوری پیکربندی کنیم که مشخص کند کدام سرور DHCP مورد اعتماد است و از طریق کدام اینترفیس به سوئیچ متصل شده است.
این موارد تنظیمات مقدماتی بر روی سوئیچ سیسکو بود. برای بررسی های بیشتر کافی است از کامند
Show ip dhcp snooping
استفاده نمایید.
توجه داشته باشید که DHCP Snooping برای هر دو VLAN 99 و VLAN 999 پیکربندی شده است، اما تنها در VLAN 99 فعال میباشد. در تنظیمات پیشرفته، میتوانید دیتابیس Binding مربوط به DHCP را استخراج کرده و تعداد پاسخهای سرور به درخواستها را مشخص نمایید.
همچنین، تمامی سوئیچها از طریق پورتهای ترانک به یکدیگر متصل شدهاند و پروتکل آنها بر اساس استاندارد 802.1Q پیکربندی شده است.
نکات کلیدی:
-
فعالسازی DHCP Snooping در VLAN مشخص: برای اطمینان از عملکرد صحیح، DHCP Snooping باید در سطح VLAN موردنظر فعال شود.
-
پیکربندی پورتهای ترانک: پورتهای ترانک باید بهدرستی پیکربندی شوند تا ترافیک VLANها بهطور مؤثر بین سوئیچها منتقل شود.
مثال:
ابتدا پورت موردنظر را انتخاب کرده و آن را بهعنوان پورت مورد اعتماد (Trusted) معرفی میکنیم:
Switch(config)# interface fa0/1
Switch(config-if)# ip dhcp snooping trust
سپس، برای محدود کردن تعداد درخواستهای DHCP به 200 عدد در ثانیه:
Switch(config-if)# ip dhcp snooping limit rate 200
در ادامه، DHCP Snooping را در سطح VLAN فعال میکنیم:
Switch(config)# ip dhcp snooping vlan 5
و در نهایت، DHCP Snooping را در سطح سوئیچ فعال مینماییم:
Switch(config)# ip dhcp snooping
با این تنظیمات، سوئیچ تنها به سرورهای DHCP مورد اعتماد اجازه میدهد تا به درخواستهای DHCP پاسخ دهند و از فعالیت سرورهای DHCP غیرمجاز جلوگیری میکند.
