Konfiguracja DHCP Snooping

Damian Stelmach

Teraz zajmiemy się kolejną funkcjonalnością oferowaną przez urządzanie Cisco, a mianowicie DHCP Snooping. Usługa DHCP powinna być już wszystkim dobrze znana, jej głównym zadaniem jest automatyczne przydzielanie adresacji IP dla urządzeń pracujących w sieci. Praktycznie nie ma na świecie sieci komputerowych, które nie korzystały by z serwerów DHCP.

DHCP to usługa bazująca na transmisji broadcastowej, czyli rozgłoszeniowej i w związku z tym narażona jest na różnego rodzaju ataki. Korzystając z odpowiednich narzędzi, można spowodować, że serwer zostanie zalany komunikatami DHCP Discover i przestanie działać.

DHCP snooping

Podłączony wówczas do sieci niezaufany serwer można zacząć przydzielać swoje adresy IP. Funkcjonalność DHCP snooping, polega na przypisaniu do konkretnego portu zaufanego serwera DHCP, a co za tym idzie, uniemożliwi podłączenie „lewego” serwera, do któregoś z innych portów. Dodatkowo funkcjonalność pozwala na ograniczenie ilości możliwych do wysłania z inny portów komunikatów – żądań DHCP Discover, co uniemożliwi wykonanie ataku.

Zaczniemy od przypisania portu 24 jako zaufanego dla DHCP. W trybie konfiguracji globalnej wykonujemy następujące polecenia:

  • Switch(config)#interface fastEthernet 0/24 /przejście do trybu konfiguracji szczegółowej 24 interfejsu przełącznika
  • Switch(config-if)#ip dhcp snooping trust /oznaczenie portu 24 jako zaufanego dla serwera DHCP
  • Switch(config-if)#exit /wyjście z trybu konfiguracji szczegółowej 24 interfejsu, do trybu konfiguracji globalnej
  • Switch(config)#ip dhcp snooping vlan 1 /uruchomienie funkcjonalności DHCP Snooping dla vlan’u pierwszego (obecnie cały przełącznik pracuje w vlanie pierwszym)
  • Switch(config)#ip dhcp snooping /potwierdzenie uruchomienia funkcjonalności DHCP Snooping

Teraz musimy dokonać konfiguracji pozostałych portów przełącznika, tak aby ilość możliwych do wysłania żądań DHCP była jak najmniejsza, wymagana tylko do tego aby komputery w sieci faktycznie adres mogły otrzymać, a nie zalać serwer rzeką komunikatów. Dzięki temu próba wysłania większej liczby żądań aniżeli ilość zdefiniowana podczas konfiguracji spowoduje zablokowanie portu. W trybie konfiguracji globalnej wykonujemy następujące polecenia:

  • Switch(config)#interface range fastEthernet 0/1 – 23 /przejście do zbiorczej konfiguracji interfejsów od 1 do 23
  • Switch(config-if-range)#ip dhcp snooping limit rate 10 /ograniczenie do 10, ilości możliwych komunikatów DHCP Discover, mogących zostać wysłanych z portów

Należy zawsze pamiętać o zapisaniu konfiguracji urządzenia po dokonaniu zmian! Aby zapisać aktualną konfigurację do pliku konfiguracji startowej, w trybie uprzywilejowanym należy wykonać polecenie:

  • Switch#copy running-config startup-config