DHCP Snooping là một công nghệ bảo mật trên bộ chuyển mạch Lớp 2 có thể ngăn chặn các máy chủ DHCP trái phép truy cập vào mạng của bạn. Nó là một biện pháp bảo vệ khỏi các máy chủ không đáng tin cậy muốn trở thành máy chủ DHCP. DHCP Snooping hoạt động như một biện pháp bảo vệ khỏi các cuộc tấn công trung gian. Bản thân DHCP hoạt động trên Lớp 3 của mô hình OSI trong khi DHCP Snooping hoạt động trên các thiết bị Lớp 2 để lọc lưu lượng đến từ các máy khách DHCP.
Tại sao chúng ta cần DHCP Snooping?
Dynamic Host Configuration Protocol(DHCP) server đóng vai trò quan trọng trong mạng của mọi tổ chức, vì hầu hết các thiết bị người dùng cuối như PC và laptop đang sử dụng DHCP để tự tìm hiểu địa chỉ IP. Máy chủ đang cho thuê địa chỉ IP cho máy chủ DHCP.
Để bảo vệ máy chủ trong mạng của tổ chức nhằm thiết lập kết nối khỏi các máy chủ DHCP giả mạo trái phép, chúng ta cần định cấu hình DHCP Snooping trên switch lớp 2 nơi các máy chủ trái phép được kết nối.
DHCP Snooping Trusted và Unstrusted Ports
Trong các thiết bị chuyển mạch của Cisco, DHCP Snooping được bật theo cách thủ công. Các cổng đáng tin cậy nên được định cấu hình theo cách thủ công và các cổng chưa định cấu hình còn lại được coi là các cổng không đáng tin cậy. Hầu hết các thiết bị được kết nối với các cổng đáng tin cậy(Trusted Port) là bộ định tuyến, bộ chuyển mạch và máy chủ. Các máy khách DHCP như PC và máy tính xách tay thường được kết nối với một cổng không đáng tin cậy(Unstrusted Port).
Cách hoạt động là nó sẽ cho phép các thông báo máy chủ DHCP như DHCPOFFER và DHCPACK đến từ một nguồn đáng tin cậy. Nếu thông báo máy chủ DHCP đến từ các cổng không đáng tin cậy, nó sẽ loại bỏ lưu lượng DHCP. Switch tạo một bảng được gọi là Cơ sở dữ liệu liên kết truy xuất DHCP(DHCP Snooping Binding Database). Cơ sở dữ liệu DHCP Snooping đăng ký địa chỉ MAC nguồn và địa chỉ IP của các máy chủ được kết nối với một cổng không đáng tin cậy.
Lưu ý: Máy khách DHCP được kết nối với một cổng không đáng tin cậy sẽ truyền các thông báo DHCP này: DHCP DISCOVER và DHCP REQUEST. Nếu nó truyền DHCPOFFER và DHCPACK, thì switch sẽ loại bỏ các gói DHCP. DHCPOFFER và DHCPACK dự kiến sẽ được nhận trên các cổng đáng tin cậy của bộ chuyển mạch.
Cấu hình Dynamic Host Configuration Protocol Snooping
Đối với ví dụ cấu hình của chúng tôi, chúng tôi sẽ sử dụng cấu trúc liên kết mạng bên dưới. Có một máy chủ DHCP rouge đang cố gắng kết nối với mạng của chúng tôi thông qua một cuộc tấn công trung gian.
1. Để bật DHCP Snooping trên switch, chúng ta sử dụng lệnh sau:
Sw(config)#ip dhcp snooping
2. Sau khi bật DHCP Snooping, hãy cấu hình FastEthernet 0/1 và FastEthernet 0/2 làm cổng tin cậy.
Sw(config)# interface range FastEthernet 0/1 – FastEthernet 0/2
Sw(config-if-range)# ip dhcp snooping trust
Sw(Config-if-range)# no shutdown
Sw(Config-if-range)# exit
3. Gán IP DHCP Snooping cho VLAN hiện đang sử dụng bằng lệnh sau:
Sw(config)# ip dhcp snooping vlan 1
4. Gán địa chỉ IP cho interface gigabitEthernet 0/0 của bộ định tuyến.
Router(config)# interface gigabitEthernet 0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# no shutdown
5. Trên máy chủ DHCP hợp pháp, chọn tab Service và nhấp vào DHCP. Bật dịch vụ và chỉ định chi tiết IP, subnet mask, DNS. Không thể thay đổi tên serverPool vì nó đã tồn tại.
6. Kích hoạt DHCP trên PC0 và PC1 và sẽ nhận được địa chỉ IP từ máy chủ DHCP hợp pháp.
7. Ngắt kết nối máy chủ DHCP hợp pháp và quan sát rằng PC0 và PC1 không nhận được bất kỳ IP nào. Đoạn mã dưới đây cho thấy PC0 đang nhận được một địa chỉ APIPA. Các PC sẽ không thể kết nối với máy chủ DHCP giả mạo.
Lệnh xác minh theo dõi DHCP
Sau đây là các lệnh hiển thị mà chúng ta có thể sử dụng trên switch để xác minh xem DHCP Snooping có hoạt động như mong đợi không.
Cộng Đồng