Konfiguracja DHCP Snooping
Damian Stelmach
Teraz zajmiemy się kolejną funkcjonalnością oferowaną przez urządzanie Cisco, a mianowicie DHCP Snooping. Usługa DHCP powinna być już wszystkim dobrze znana, jej głównym zadaniem jest automatyczne przydzielanie adresacji IP dla urządzeń pracujących w sieci. Praktycznie nie ma na świecie sieci komputerowych, które nie korzystały by z serwerów DHCP.
DHCP to usługa bazująca na transmisji broadcastowej, czyli rozgłoszeniowej i w związku z tym narażona jest na różnego rodzaju ataki. Korzystając z odpowiednich narzędzi, można spowodować, że serwer zostanie zalany komunikatami DHCP Discover i przestanie działać.
Podłączony wówczas do sieci niezaufany serwer można zacząć przydzielać swoje adresy IP. Funkcjonalność DHCP snooping, polega na przypisaniu do konkretnego portu zaufanego serwera DHCP, a co za tym idzie, uniemożliwi podłączenie „lewego” serwera, do któregoś z innych portów. Dodatkowo funkcjonalność pozwala na ograniczenie ilości możliwych do wysłania z inny portów komunikatów – żądań DHCP Discover, co uniemożliwi wykonanie ataku.
Zaczniemy od przypisania portu 24 jako zaufanego dla DHCP. W trybie konfiguracji globalnej wykonujemy następujące polecenia:
- Switch(config)#interface fastEthernet 0/24 /przejście do trybu konfiguracji szczegółowej 24 interfejsu przełącznika
- Switch(config-if)#ip dhcp snooping trust /oznaczenie portu 24 jako zaufanego dla serwera DHCP
- Switch(config-if)#exit /wyjście z trybu konfiguracji szczegółowej 24 interfejsu, do trybu konfiguracji globalnej
- Switch(config)#ip dhcp snooping vlan 1 /uruchomienie funkcjonalności DHCP Snooping dla vlan’u pierwszego (obecnie cały przełącznik pracuje w vlanie pierwszym)
- Switch(config)#ip dhcp snooping /potwierdzenie uruchomienia funkcjonalności DHCP Snooping
Teraz musimy dokonać konfiguracji pozostałych portów przełącznika, tak aby ilość możliwych do wysłania żądań DHCP była jak najmniejsza, wymagana tylko do tego aby komputery w sieci faktycznie adres mogły otrzymać, a nie zalać serwer rzeką komunikatów. Dzięki temu próba wysłania większej liczby żądań aniżeli ilość zdefiniowana podczas konfiguracji spowoduje zablokowanie portu. W trybie konfiguracji globalnej wykonujemy następujące polecenia:
- Switch(config)#interface range fastEthernet 0/1 – 23 /przejście do zbiorczej konfiguracji interfejsów od 1 do 23
- Switch(config-if-range)#ip dhcp snooping limit rate 10 /ograniczenie do 10, ilości możliwych komunikatów DHCP Discover, mogących zostać wysłanych z portów
Należy zawsze pamiętać o zapisaniu konfiguracji urządzenia po dokonaniu zmian! Aby zapisać aktualną konfigurację do pliku konfiguracji startowej, w trybie uprzywilejowanym należy wykonać polecenie:
- Switch#copy running-config startup-config
Polecamy: Sekurak Academy 2024
Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp do materiałów z edycji Sekurak Academy z roku 2023! Przy zakupie możecie skorzystać z kodu: pasja-akademia w koszyku, uzyskując rabat -30% na bilety w wersji "Standard" - warto korzystać! Więcej szczegółów znajdziecie tutaj.
Książka: Wprowadzenie do bezpieczeństwa IT
Niedawno wystartował dodruk świetnej, rozchwytywanej książki pt. "Wprowadzenie do bezpieczeństwa IT, Tom I" (około 940 stron). Mamy dla Was kod: pasja (wpisz go w koszyku), dzięki któremu otrzymacie 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla naszych Widzów! Jest to pierwszy tom serii o ITsec, który wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!
Pomóż dzieciom
Polska Akcja Humanitarna od wielu lat dożywia dzieci. Prosimy, poświęć teraz dosłownie chwilę i pomóż klikając w oznaczony strzałką zielony brzuszek Pajacyka. Dziękujemy!
Komentarze
Czy macie jakieś pytania, sugestie, uwagi? A może zauważyliście literówkę albo błąd? Dajcie koniecznie znać w komentarzach! Dziękujemy Wam za poświęcony na to czas!
Disqus