« Port Security-Örnek Konfigürasyon
Virtual Local Area Networkler-Bölüm 2:Statik Vlan Konfigürasyonu »

Cisco Switchler Üzerinde DHCP Snooping

Yayınlanma 22 Oca 2008 Kategori: LAN Security ve Switching

DHCP Ataklarını engellemek için kullanıabilecek DHCP Snooping ile belirli bir Vlan’daki DHCP mesajları izlenebilir ve gerekirse kısıtlamalar yapılabilir. DHCP Snooping, Cisco Switchlerin DHCP Server ve istemciler tarafından gönderilen mesajları inceleyen bir çalışma şekline sahiptir.

DHCP ile ip konfigürasyonunun dağıtılması işlemlerinde dönen mesajlardan DHCPOFFER ve DHCPACK mesajları sadece DHCP Server’lar tarafından gönderilir. İşte tam da bu noktada DHCP Snooping devreye girer ve istemcilerin bağlı olduğu portlardan DHCPOffer veya DHCPAck mesajı geldiğinde bu paketlerin switch tarafından bloklanmasını sağlar.

DHCP Snooping mantığı içerisinde portlar DHCP yönünden iki farklı modda olabilirler;

1. Trusted: Bütün DHCP mesajları gönderilebilir
2. Untrusted: DHCPOffer ve DHCPAck mesajları gönderilemez.

Tabi burada unutulmaması gereken bir diğer nokta Switchler arasındaki bağlantıların Trusted olması gerekliliğidir. Şekildeki yapıda istemcilerin bağlı olduğu portlar Untrusted, DHCP Serverın bağlı olduğu port ve switchler arasındaki bağlantıları sağlayan uplink portları Trusted olarak belirlenmiştir. Dolayısıyla istemciler gerçek DHCP Servera erişip ip konfigürasyonlarını alabilirken sahte DHCP Server Offer mesajını dahi gönderemeyecektir.

Fazla zaman almadan konfigürasyon aşamalarına geçmek istiyorum.

Öncelikle global konfigürasyon modunda enable edilir;

Switch(config)#ip dhcp snooping

Switch(config)#ip dhcp snooping vlan 1

DHCP Snooping enable edildikten sonra bütün portlar Untrusted olacaktır. Bundan sonra yapılması gereken Trusted olması planlanan portlar altında aşağıdaki konfigürasyonun yapılmasıdır;

Switch(config-if)#ip dhcp snooping trust vlan 1

DHCP Server ile istemciler aynı subnette ise Option 82’nin disable edilmesi gerekmektedir.

Switch(config)#no ip dhcp snooping information option

Bu konfigürasyonlar tamamlandıktan sonra sadece DHCP yönünden güvenilir olan portlardan hizmet verilebilecektir.

DHCP Snooping Konfigürasyonu ile ilgili bazı önemli ipuçlarınıda vermek istiyorum.

DHCP Snooping’i enable ettikten sonra bütün portlar untrusted olacaktır. Dolayısıyla DHCP Server’ın bağlı olduğu port Trusted olana kadar istemcile ip konfigürasyonlarını alamayacaklardır. Bu noktada dikkatli olmakta fayda var.

Makalenin devami icin Login ya da Kayit olmalisiniz.

Hayrullah Kolukısaoğlu

Etiketler: DHCP Rate Limiting, DHCP Snooping, LAN Atakları, LAN Security, Layer 2 Security

“Cisco Switchler Üzerinde DHCP Snooping” için 0 Yorum yapılmış.

Bu yazı için besleme Geri izleme Adresi
  1. Yorum Yapılmamış

Yorum yapın

Yorum yapmak için giriş yapmanız gerekiyor.

« Port Security-Örnek Konfigürasyon
Virtual Local Area Networkler-Bölüm 2:Statik Vlan Konfigürasyonu »

Sayfalar

Untitled Document

Ana Sayfa

Blog

Hakkında

İletişim

Popüler Yazılar

Untitled Document

Cisco Switchler Üzerinde Port Security

Virtual Local Area Networkler - Bölüm 2:Statik Vlan Konfigürasyonu

Cisco SDM ile IOS Firewall Konfigürasyonu

EIGRP-Enhanced Interior Gateway Routing Protocol

Virtual Local Area Networkler - Bölüm:1 Genel Konsept

Google Arama