DHCP Snooping - Enterasys

DHCP ( Dynamic Host Configuration Protocol) : basit olarak sistemdeki bilgisayarlara IP adreslerini ve buna ek olarak değişik parametreleri atamak için kullanılan servistir.DHCP’nin temel özelliği sistemi kuran kişilerin tek tek tüm makineleri gezip aynı veya benzer parametreleri defalarca eliyle girmesini engellemek,böylece zaman kazanmak ve sistem yöneticisinin işini kolaylaştırmaktır.(*)

DHCP Snooping : Ağda sahte  DHCP sunucusu kuran ve çalıştıran bir kişi, aynı ağda DHCP isteğinde bulunan istemci cihazlara varsayılan ağ geçidi adresi kendisine ait olan bir DHCP cevabı dönebilir. İstemci bu cevabı aldığı andan itibaren ağ geçidi adresi olarak bu sahte adresi kullanmaya başlar ve yerel ağın dışında bir adresi hedefleyen paketleri ilk olarak atak yapan kişinin makinesine yönlenir. Atakçı bu paketleri gitmeleri gereken doğru adreslere kendi üzerinden gönderirken tüm paketleri izleme olanağına sahip olur. Bu, istemci güvenliğini ve gizliliğini açıkça tehdit eden bir durumdur.  Man-in the-middle ataklarının bir türü olan DHCP Snooping atakları tam olarak bu şekilde gerçekleşir.(**)

Enterasys kenar switchler ve router'lar üzerinde "DHCP Snooping" ataklarını engellemek için aşağıdaki gibi adım adım konfigurasyon yapabiliriz.

1- İlk olarak kenar switch ve router üzerindeki uplink ve gerçek DHCP sunucusunun portlarını "trust" olarak işaretlememiz lazım.Örnek olarak 48 portlu bir switch(Enterasys C2/B2) üzerinde 48.port uplink,47.port gerçek DHCP sunucumuzun bağlı olduğunu farzedelim.

# set dhcpsnooping trust port fe.1.47-48 enable

Yukardaki komutta 47 ve 48.portları trust olarak işaretledik.(Gigabit portlar için fe.1.47-48 yerine ge.1.47-48 yazmalısınız.)

2-Trust portları işaretledikten sonra dhcpsnooping'i global olarak devreye alalım.

# set dhcpsnooping enable

3- Eğer global olarak devreye almayıp,sadece belli ya da belirli vlan'lara açmak istiyorsanız aşağıdaki yapabilirsiniz.

# set dhcpsnooping vlan 1 enable

Yukardaki komutta sadece "vlan 1" için aktif ettik.

# set dhcpsnooping vlan 1-10 enable

Bu komutta da vlan 1 ile 10 arası devreye aldık.

4- Şimdi de untrust portlar için(default olarak tüm portlar zaten untrust'tır.Trust portları dhcpsnooping'i devreye almadan önce işaretlemiştik.) limit koyalım.

# set dhcpsnooping limit fe.1.1-46 none

Bu komutla untrust tüm portlara rate limiti "none" yaparak DHCP paketlerinin rahatça geçebilmesini sağladık.Fakat istersek bu limiti "none" değil de "0-50" arasındaki bir değerle sınırlandırabilirdik.

set dhcpsnooping limit fe.1.1-46 rate 50

Yukardaki gibi limiti " 50" yapabiliriz.Limiti "none" yapmanın avantajı eğer bir portun ucuna hub eklenmiş ve birden fazla host bulunuyorsa bunlar rahatça IP alabilecektir.Fakat "rate" limiti kısıtlı tutarsak hub kullanan host'lardan bazıları IP alamayabilirler.

5- Son olarak dhcpsnooping 'i devreye aldıktan sonra router veya switch üzerinde veritabanında IP ve MAC bilgileri yazılır.Bu bilgileri kontrol edelim:

show dhcpsnooping binding

Total number of bindings:  4

MAC Address       IP Address     VLAN   Interface    Type    Lease (min) -----------------  ---------------  ----  -----------  -------  ----------- 00:01:6C:::     10.1.70.165     1      fe.1.12  DYNAMIC           41 00:11:85:::     10.1.70.220     1      fe.1.12  DYNAMIC           45 00:11:85:::     10.1.70.166     1      fe.1.12  DYNAMIC           51 00:1C:25:::     10.1.70.131     1      fe.1.23  DYNAMIC           48

Yukardaki çıktıda portlar üzerindeki IP ve MAC adresi bilgileri,hangi portlarda olduğunu,vlan'larını,DHCP lease sürelerini görebilirsiniz.

• http://tr.wikipedia.org/wiki/DHCP

** http://www.agciyiz.net/index.php/guvenlik/dhcp-snooping-ataklari/