A Packet Tracer 6.1 béta verziójának újdonságai - DHCP snooping

Cikksorozatunk ezen részében egy biztonsági védelmi technikát, a DHCP snooping-ot mutatjuk be röviden. A módszer a nevéből is kikövetkeztethetően a DHCP biztonságát igyekszik fokozni úgy, hogy hamis szerverek ne láthassák el hamis információkkal a klienseket, man-in-the-middle vagy túlterheléses támadásokat előidézve. Lényegében a kapcsolóknak a DHCP szerver felé menő portját megbízható (trusted) állapotba kell állítanunk, ezután a kapcsoló egy adatbázist épít fel a normál forgalmi adatokból, és az ettől eltérő forgalmat eldobja.

A konfigurálás három lépésből áll:

• globálisan engedélyezni kell a szolgáltatást

• azokban a VLAN-okban külön is engedélyezni kell, ahol használni szeretnénk

• végül a megbízható portok beállítása következik.

Tegyük fel, hogy a következő, nagyon egyszerű topológiánk van: egy PC csatlakozik az S1 kapcsoló Fa0/1-es, a normál DHCP szerver az Fa0/24-es portjára, és helyezzünk el egy kalóz szervert is az Fa0/2-es porton. Csak az alapértelmezett 1-es VLAN-t használjuk. Ebben az esetben a konfigurálás a következőképpen néz ki:

S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 1
S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust

A következő, opcionális (de ajánlott) beállítás segítségével a támadót abban tudjuk megakadályozni, hogy lefoglalja az összes kiosztható címet, egyfajta DoS támadással:

S1(config)# interface range f0/1-2
S1(config-if-range)# ip dhcp snooping limit rate 25

Ezek után a PC csak a normál szervertől érkező forgalmat fogadja el (a bekapcsolás előtt nem lehet pontosan meghatározni, melyik szervertől érkezik be előbb felajánlás). A beállításokat a show ip dhcp snooping parancs segítségével lehet gyorsan ellenőrizni.