Dhcp snooping and so on - ntwrk notes

Уважно прочитавши цю статтю ви ознайомитеся з поняттям безпеки DHCP і побачите демонстрацію впровадження, на базі комутаторів Cisco Catalyst 2960, що реалізує її функції DHCP Snooping з доповнюючими функціями: IP Source Guard і Dynamic ARP Inspection.

Посилання для ознайомлення:

Незважаючи на те, що DHCP може здатися досить простим протоколом, в ньому ховаються величезні можливості, з якими сподіваюся вам ще тільки належить ознайомитися. У разі використання цього протоколу в вашої комп'ютерної мережі, крім отримання значного списку плюсів, ви так само отримуєте один великий мінус - критичну залежність від стабільності сервера DHCP. А разом з цим і необхідність обезопастіть себе від невеликого списку загроз, здатних перервати доступність сервісів:

Для запобігання вищевказаних атак Cisco Systems пропонує використовувати доступну в операційній системі Cisco IOS функцію DHCP Snooping.

Dhcp snooping and so on - ntwrk notes

Отже, у нас наявності L3-комутатор рівня розподілу (DSW0), аплінком дивиться в бік ядра, за якому знаходиться один з наших легальних DHCP-серверів, а даунлінков якого ведуть до L2-комутаторів рівня доступу (ASW0. ASW1. ASW2 ... ASWn) . У даній статті ми буде налаштовувати тільки комутатор ASW0, до FastEthernet-порту якого підключений Cisco IP Phone, в PC-порт якого підключений комп'ютер користувача.
Зі схеми очевидно, що пакети які відправляє легальний DHCP-сервер свої клієнтам приходять на комутатор ASW0 на порт GigabitEthernet 0/1 і основна ідея полягає в налаштуванні даного порту як довіреної (trust), в той час як всі інші, не настроєних порти, автоматично стають недовірених (untrusted). Як тільки довіру виставлено і запущений сервіс IP DHCP Snooping для недовірених портів починають діяти такі правила:

Спускати пакет "вниз", до клієнта це будь ласка, а прийняти його входять вийде. Таким чином, навіть якщо зловмисник і зможе встановити якийсь DHCP-сервер на свій комп'ютер, то будь-які пакети від нього все одно будуть блокуватися нашим комутатором, так як його комп'ютер підключений до недовірених порту.
Виконаємо базову настройку.

2.1 Визначення завдання
2.1.1 Характеристика комутатора ASW0

  • Найменування пристрою: Cisco Catalyst 2960
  • Операційна система: Cisco IOS LAN Base 15.0 (1) SE
  • Висхідний до DHCP-сервера порт: GigibitEthernet 0/1
  • Недовірених порти: FastEthernet 0 / 1-24
    Конфігурація порту:

Конфігурація порту GigibitEthernet 0/1

Зазначимо довірені порти і встановимо ліміт в 48 DHCP-пакетів / сек