DHCP snooping چیست و چگونه راه اندازی می شود؟

1402/07/04
ارسال شده توسط
امنیت شبکه
8.63k بازدید
dhcp snooping چیست
زمان مطالعه: 4 دقیقه

DHCP Snooping یک ویژگی امنیتی مهم است که در سوئیچ‌ها مورد استفاده قرار می‌گیرد تا از حملات مرتبط با پروتکل DHCP جلوگیری کند. در شبکه‌هایی که از DHCP استفاده می‌شود، کلاینت‌ها برای دریافت آدرس IP و اطلاعات پیکربندی شبکه مانند گیت‌وی و DNS از سرور DHCP درخواست می‌کنند. در یک سناریوی معمولی، این فرآیند بدون مشکل انجام می‌شود، اما اگر یک مهاجم سرور DHCP تقلبی راه‌اندازی کند، می‌تواند ترافیک کلاینت‌ها را به سمت خود هدایت کرده و به شبکه آسیب برساند.

چرا DHCP Snooping اهمیت دارد؟

پروتکل DHCP به طور پیش‌فرض امن نیست و مهاجمان می‌توانند از این ضعف سوءاستفاده کنند. برخی از حملاتی که در نبود مکانیزم‌های امنیتی مانند DHCP Snooping رخ می‌دهند عبارت‌اند از:

  • DHCP Spoofing: در این حمله، مهاجم با ایجاد یک سرور DHCP جعلی در شبکه، اطلاعات نادرستی مانند آدرس IP اشتباه، گیت‌وی اشتباه یا DNS سرورهای مخرب را به کلاینت‌ها ارسال می‌کند. این حمله می‌تواند باعث اختلال در شبکه یا هدایت ترافیک به سرورهای تحت کنترل مهاجم شود.
  • DHCP Starvation: مهاجم با ارسال تعداد زیادی درخواست DHCP جعلی و اشغال تمامی آدرس‌های IP موجود در سرور DHCP، موجب می‌شود سرور دیگر نتواند به کلاینت‌های واقعی IP اختصاص دهد. این حمله ممکن است باعث از کار افتادن کامل شبکه شود.

عملکرد DHCP Snooping

DHCP Snooping با اعمال قوانین خاص بر روی پورت‌های سوئیچ، مانع از اجرای حملات فوق می‌شود. در اینجا نحوه عملکرد این ویژگی را با جزئیات بیشتری توضیح می‌دهیم:

  1. پیکربندی DHCP Snooping

    پیکربندی پورت‌ها به عنوان Trusted و Untrusted:

    • پورت‌های Trusted (مورد اعتماد): این پورت‌ها معمولاً به سرور DHCP یا پورت‌های کلیدی شبکه متصل هستند که مجاز به ارسال و دریافت پیام‌های DHCP هستند. ترافیک DHCP از طریق این پورت‌ها بدون محدودیت عبور می‌کند.
    • پورت‌های Untrusted (غیرمطمئن): این پورت‌ها به دستگاه‌های کلاینت یا نودهای عادی شبکه متصل هستند. ترافیک DHCP از این پورت‌ها به دقت بررسی می‌شود و تنها پیام‌های مجاز اجازه عبور دارند. در صورتی که پیام‌های مشکوکی از این پورت‌ها دریافت شود (مانند تلاش برای اجرای DHCP Spoofing)، این پیام‌ها مسدود می‌شوند.
  2. ایجاد پایگاه داده IP-to-MAC: قابلیت DHCP Snooping به طور خودکار یک پایگاه داده از آدرس‌های IP اختصاص داده‌شده به دستگاه‌های کلاینت را نگهداری می‌کند. هرگاه یک کلاینت از سرور DHCP آدرس IP دریافت می‌کند، اطلاعات آن شامل:
    • آدرس IP
    • آدرس MAC
    • پورت سوئیچ متصل به کلاینت در پایگاه داده ثبت می‌شود. این اطلاعات در مراحل بعدی برای نظارت و فیلتر کردن ترافیک مورد استفاده قرار می‌گیرند.
  3. فیلتر کردن ترافیک DHCP: ترافیک DHCP بین کلاینت‌ها و سرور DHCP به دقت مورد نظارت قرار می‌گیرد. پیام‌های درخواست (DHCP Discover و DHCP Request) و پیام‌های پاسخ (DHCP Offer و DHCP Acknowledgment) بررسی می‌شوند تا اطمینان حاصل شود که ترافیک از منابع مورد اعتماد می‌آید. هرگونه ترافیک غیرمجاز یا مشکوک از پورت‌های Untrusted مسدود می‌شود.

محافظت در برابر حملات رایج DHCP

جلوگیری از DHCP Spoofing:

با فعال کردن DHCP Snooping، سوئیچ به طور خودکار ترافیک DHCP را از پورت‌های Untrusted بررسی می‌کند. اگر مهاجمی سعی کند یک سرور DHCP جعلی راه‌اندازی کند و پیام‌های DHCP Offer از طریق یک پورت Untrusted ارسال کند، سوئیچ این پیام‌ها را مسدود می‌کند. این عملکرد تضمین می‌کند که فقط پیام‌های DHCP از منابع معتبر (پورت‌های Trusted) به کلاینت‌ها تحویل داده می‌شود.

جلوگیری از DHCP Starvation:

DHCP Snooping همچنین می‌تواند تعداد درخواست‌های DHCP را از یک پورت Untrusted محدود کند. این قابلیت باعث می‌شود که مهاجم نتواند با ارسال تعداد زیادی درخواست جعلی، تمامی آدرس‌های IP موجود در سرور DHCP را اشغال کند. در نتیجه، سرور DHCP می‌تواند به درخواست‌های واقعی کلاینت‌ها پاسخ دهد.

مراحل پیکربندی DHCP Snooping

  1. فعال کردن DHCP Snooping در سطح سوئیچ: ابتدا DHCP Snooping باید در کل سوئیچ فعال شود. این تنظیمات به سوئیچ امکان می‌دهد که ترافیک DHCP را مانیتور کند.

Switch(config)# ip dhcp snooping

  1. فعال کردن DHCP Snooping در VLANهای مشخص: DHCP Snooping به طور پیش‌فرض برای هیچ VLANی فعال نیست. بنابراین باید آن را برای VLANهایی که ترافیک DHCP در آن‌ها جریان دارد، فعال کنید.

Switch(config)# ip dhcp snooping vlan 10

  1. پیکربندی پورت‌های Trusted و Untrusted: پورت‌هایی که به سرورهای DHCP و سوئیچ‌های دیگر متصل هستند به عنوان Trusted و پورت‌هایی که به کلاینت‌ها متصل‌اند به عنوان Untrusted تنظیم می‌شوند.

Switch(config-if)# ip dhcp snooping trust

  1. تنظیمات اضافی: شما می‌توانید محدودیت‌هایی برای تعداد پیام‌های DHCP در هر ثانیه از پورت‌های Untrusted اعمال کنید تا از حملات DoS مرتبط با DHCP جلوگیری شود.

Switch(config-if)# ip dhcp snooping limit rate 10

مزایای DHCP Snooping

  1. افزایش امنیت شبکه: با فیلتر کردن ترافیک DHCP و جلوگیری از حملات Spoofing و Starvation، DHCP Snooping امنیت شبکه را به طرز چشمگیری افزایش می‌دهد.
  2. مانیتورینگ و کنترل دقیق: با استفاده از پایگاه داده‌ای که اطلاعات IP و MAC دستگاه‌های کلاینت را نگه می‌دارد، می‌توان دقیقاً مشخص کرد که چه دستگاهی از کدام آدرس IP استفاده می‌کند.
  3. مقابله با حملات داخلی: این ویژگی می‌تواند حملات داخلی از دستگاه‌های متصل به شبکه را شناسایی کرده و از آسیب‌های جدی جلوگیری کند.

نکات کلیدی در استفاده از DHCP Snooping

  • DHCP Snooping تنها در شبکه‌هایی که از سوئیچ‌های مدیریتی استفاده می‌کنند در دسترس است و به درستی پیکربندی آن نیاز به دانش شبکه دارد.
  • باید مطمئن شد که سرورهای DHCP در پورت‌های Trusted قرار دارند؛ در غیر این صورت ممکن است کلاینت‌ها نتوانند آدرس IP دریافت کنند.
  • به همراه DHCP Snooping، استفاده از سایر مکانیزم‌های امنیتی مانند Dynamic ARP Inspection (DAI) و IP Source Guard نیز توصیه می‌شود تا سطح امنیتی شبکه به حداکثر برسد.

نتیجه‌گیری

DHCP Snooping یکی از مکانیزم‌های امنیتی مهم برای جلوگیری از حملات مبتنی بر DHCP در شبکه‌های سوئیچ است. با استفاده از این ویژگی، ترافیک DHCP به دقت نظارت می‌شود و فقط منابع معتبر مجاز به ارائه خدمات DHCP هستند. این اقدام به طور مؤثر از حملاتی مانند DHCP Spoofing و DHCP Starvation جلوگیری می‌کند و به مدیران شبکه کمک می‌کند تا شبکه‌ای امن‌تر و قابل اطمینان‌تر ایجاد کنند.

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید