Bài giảng DHCP Snooping

▪ Là một kỹ thuật dùng cấu hình ở vào port của switch nhằm lắng nghe gói tin DHCP và chặn những gói tin DHCP gây nguy hiểm cho hệ thống mạng & dữ liệu của người dùng. ▪ Để hiểu rõ hơn về vấn đề này sẽ được thể hiện thông qua bức tranh tổng thể sau: 9/28/2019innotel 1 9/28/2019innotel 2 • Nhìn vào bức ảnh thấy rằng có một DHCP Server ở trên cùng được nối vào một Switch Layer 3, ở dưới là các người dùng đang nóng lòng nhận được IP từ DHCP cấp. Có một số câu hỏi ở đây: liệu rằng có thêm một DHCP Server được cài đặt ở bất kỳ một máy tính nào, hay một router được lạ được cắm vào mạng và cấp DHCP cho người dùng thì nó có gây nguy hại gì tới hệ thống? • Trong một hệ thống mạng lớn hơn sẽ luôn tìm thấy một DHCP Server tại một lớp mạng, một kẻ tấn công với một DHCP Server nhỏ gọn được gắn vào một lớp mạng con ở bất kỳ switch nào sẽ nhanh chóng cấp DHCP cho lớp mạng đó. Như vậy kẻ tấn công sẽ có thể thay đổi gateway của người dùng bằng một IP gateway khác để điều hướng tất cả các dữ liệu người dùng về một điểm hắn muốn (Main-in-the-midle), cũng có thể thay đổi DNS người dùng từ đó kẻ tấn công dựng lên một DNS Server và giả mạo các trang Web. • Nếu không thể giả mạo DHCP Server kẻ tấn công cũng có thể DoS để làm DHCP Server không còn hoạt động được hoặc đã cấp hết địa chỉ IP bằng cách gửi nhiều yêu cầu cấp IP giả mạo đến. 9/28/2019innotel 3 Các cổng của máy người dùng sẽ được chỉ định không bao giờ được phép gửi gói in Offer bằng cách xác định cổng đó không đáng tin cậy (untrust), chỉ có một cổng được chỉnh định có thể gửi gói tin Offer thêm nữa chúng ta sẽ giới hạn số lượng gói tin Discover trên cổng Untrust để hạn chế kẻ tấn công chủ đích muốn làm đầy IP của DHCP Server. 9/28/2019innotel 4 • Port g0/1 & g0/0 – SW1 untrust • Port g0/1 – SW2 trust ▪ SW2(config)#ip dhcp snooping ▪ SW2(config)#no ip dhcp snooping information option Mặc định switch sẽ thêm vào option 82 sau đó gửi tới DHCP Server một số Server kiểm tra nếu không giống như đã cấu hình trên DHCP Server sẽ drop gói tin và không cấp DHCP nên nếu người dùng bạn không nhận được IP hãy NO nó. ▪ SW2(config)#ip dhcp snooping vlan 1 Chọn vlan 1 kiểm tra gói tin DHCP. ▪ SW2(config)#interface range g0/0-1 ▪ SW2(config-if)#ip dhcp snooping trust ▪ SW2(config-if)#ip dhcp snooping limit rate 10 ▪ SW2(config-if)# end 9/28/2019innotel 5 9/28/2019innotel 6 • SW 1 cấu hình tương tự như SW 2 tuy nhiên g0/0 là untrust. • Sau khi cấu hình xong tiến hành show để kiểm tra các thông tin như đã cấu hình nếu sai sót hãy kiểm tra thật kỹ. • Sau khi người dùng nhận được IP hợp lệ switch sẽ lập bảng trạng thái để ghi lại, đối với gói tin Offer của DHCP Server giả mạo sẽ bị loại bỏ, cũng như gói tin chỉ giới hạn 10 gói trên giây. ▪ Sau bài này tôi hy vọng rằng bạn sẽ hiểu rõ hơn về DHCP Snooping. ▪ Đây là thông tin của tôi nếu có thắc mắc hãy liên lạc khi có thể: Nguyễn Quốc Bin - Zalo 0966 253 105 Skype: quocbinbin_1 9/28/2019innotel 7