امنیت در DHCP
شرکت پردیس پارس ارائه دهنده خدمات شبکه از جمله راهکاری مجازی سازی شبکه،مجازی سازی دسکتاپ، امنیت، راه اندازی و خدمات ایمیل سرور، پشتیبانی شبکه، آموزش و … از شما دعوت مینماید تا با خواندن این مقاله توانایی لازم در زمینه تنظیم و پیاده سازی راهکار DHCP Snooping را در سوئیچ های سیسکو بدست آورید. بنده اشکان پزشکی کارشناس ارشد این شرکت با کمک منابع فارسی و انگلیسی مقاله زیر را تهیه و در اختیار شما خوانندگان عزیز قرار میدهم. امید است مورد توجه علاقه مندان محترم قرار گیرد.
همان طور که مطلع هستید یکی از راه های آسیب رساندن و خرابکاری در شبکه های کامپیوتری راه اندازی سرویس DHCP جعلی می باشد هر اندازه ای که شبکه شما بزرگتر باشد پیدا کردن سرویس جعلی مشکل تر بوده و صدمات جبران ناپذیری تهدیدتان خواهد کرد. حال سوال اینجاست که برای مقابله با این اقدامات خرابکارانه چه باید کرد ؟
در انتهای این مقاله شما با موارد زیر آشنا می شوید:
1- فرآیند دریافت IP از سرویس DHCP توسط کلاینت ها
2- انواع حملات به DHCP سرور
3- راهکار شرکت سیسکو برای مقابله با تهدیدات
4- مفاهیم اولیه راه اندازی DHCP Snooping
5- دستورات اصلی و مفهوم هر کدام از این دستورات
سرویس DHCP و نوع کارکرد آن:
مسلما با مفهوم این سرویس مهم در شبکه آشنایی داشته و میدانید که توسط آن چه کارهایی انجام میشود بنابراین از توضیح در مورد آن خودداری کرده و توصیه میکنیم مطالب قبلی را به صورت کامل مطالعه بفرمایید.
روندی که کلاینت یک IP از DHCP سرور دریافت میکند همانند تصویر زیر می باشد:
در مرحله اول کلاینت پیام discovery را با پورت UDP 67 در سطح شبکه broadcast میکند وقتی DHCP سرور پیام DHCP Discover را دریافت میکند پیام DHCP Offer با پورت UDP 68 برای کلاینت ارسال میشود. کلاینت این امکان را دارد تا DHCP Offer را از چندین سرور دریافت کند، اما پذیرش فقط از یک Offer صورت میپذیرد. کلاینت offer را با پیام Request جواب میدهد و در آخرین مرحله وقتی DHCP سرور پیام Request از کلاینت دریافت کرد پروسه وارد آخرین فاز میشود. فاز پذیرش شامل ارسال پکت Ack برای کلاینت است. این پکت شامل تمام اطلاعات تنظیمی است که شما در DHCP Option خود تعیین نموده اید.
با خواندن مقدمه بالا در مورد DHCP وقت آن رسیده است که وارد اصل ماجرا شویم و ماجراجویی را آغاز کنیم.
امنیت در DHCP
سیسکو اولین شرکتی بود که قابلیت DHCP Snooping را بر روی سوئیچ های خود فعال نمود تا مثل همیشه در زمینه های امینتی پیشرو باشد. طولی نکشید که بقیه فروشندگان تجهیزات هم کم و بیش به تقلید از سیسکو این قابلیت را در محصولات خود جای دادند. حال سوال اینجاست که DHCP Snooping اصلا چیست؟ این مفهوم بر اساس و پایه معرفی پورت های تراست سوئیچ بنیانگذاری شد تا از طریق آن DHCP سرور مورد تایید در شبکه فعالیت نماید. محافظت از شبکه بدین صورت است که پیام های DHCP فقط از طریق سرورهای مطمئن به اینترفیس های تراست سیسکو صورت میپذیرد. همان طور که در ابتدای مقاله متوجه شدید جهت مقابله با خطرات خرابکاری در شبکه (اجرا کردن چندین و چند DHCP سرور) از راهکار DHCP Snooping استفاده میشود. لازم به یادآوری است که دو نوع حمله به DHCP سرور در شبکه وجود دارد: 1- DHCP Starvation 2- DHCP Snooping که جهت اطلاعات بیشتر در این زمینه میتوانید جستجویی مختصر در گوگل داشته باشید و یا مقالات بعدی ما را در سایت مطالعه بفرمایید.
مکانیزم کار بدین صورت می باشد که کلاینت ها به شبکه متصل بوده و با یکدیگر در ارتباط میباشند سوئیچ یک “binding table” در خود دارد که شامل لیست مک آدرس های DHCP واگذار شده با کلاینت ها می باشد. سوئیچ با استفاده از DHCP Snooping به صورت خودکار هر DHCP سروری که از پورت های تراست نشده پیام میفرستد را فیلتر میکند. جدول binding table به صورت لوکال در مموری قرار میگیرد اما امکان export کردن این لیست با استفاده از TFTP و یا FTP وجود دارد. خارج کردن این دیتاها از آن جهت صورت میگیرد تا در صورت ریبوت شدن غیرمنتظره سوئیچ، دیتا به صورت کلی از بین نرود.
نکته: توجه داشته باشید که پیاده سازی DHCP Snooping در سوئیچ های سیسکو سبب میشود فریم هایی که سورس مک آنها با آدرس فیزیکی داخلی کارت شبکه یکسان نیست دراپ شوند و اینکار در دیتاسنترهای مجازی شده امروزی که ارتباطات بسیار زیادی وجود داشته و گاها مک آدرس ها تغییر میکند ایده ی جالبی نمی باشد.
DHCP Snooping Configuration:
از قسمت Global command دستور dhcp snooping را فعال میکنیم. این دستور در تصویر زیر نمایش داده شده است:
در مرحله بعدی VLAN ی که قصد داریم از آن محافظت نماییم را پیکربندی میکنیم:
همان طور که در تصویر سوم مشاهده میکنید امکان فعال سازی این قابلیت در یک رنج و یا تعدادی VLAN وجود دارد.
حال وقت آن رسیده تا به پورت سوئیچ اعلام کنیم که کدام DHCP سرور تراست است و از طریق چه اینترفیسی به سوئیچ متصل شده است.
این موارد تنظیمات مقدماتی بر روی سوئیچ سیسکو بود. برای بررسی های بیشتر کافی است از کامند
Show ip dhcp snooping
استفاده نمایید.
توجه داشته باشید که DHCP Snooping برای هر دو VLAN99 و VLAN999 اعمال میشود اما فقط برای VLAN99 عملی می گردد.
در تنظیمات پیشرفته شما میتوانید دیتابیس bind شده به dhcp را خروجی بگیرید و تعداد پاسخگویی های سرور به درخواست ها را مشخص نمایید.
نکته : تمام سوئیچ ها با پورت ترانک به یکدیگر وصل میشوند و پروتکل آنها به صورت 802.1Q پیکربندی میشود.
مثالی دیگر:
#interface fa0/1
#ip dhcp snooping trust
در دستورات بالا ابتدا پورت را انتخاب کرده و سپس بعنوان پورت تراست معرفی میکنیم.
#ip dhcp snooping limit rate 200
دستور بالا سبب محدود کردن تعداد درخواست ها به 200 عدد در ثانیه میشود.
Switch(config)#ip dhcp snooping vlan5
دستور بالا سبب فعال شدن dhcp snooping در سطح vlan میشود.
Switch(config)#ip dhcp snooping
دستور بالا سبب فعال شدن dhcp snooping در سطح لوکال سوئیچ میشود.