DHCP Snooping là gì? Hướng dẫn cấu hình DHCP Snooping trên thiết bị Cisco

Ngày nay, các doanh nghiệp nên triển khai bất kỳ hệ thống phòng thủ sẵn có nào mà họ có sẵn để loại bỏ, hoặc ít nhất là giảm thiểu các cuộc tấn công có thể xảy ra trong mạng của họ.

Các biện pháp kiểm soát bảo mật nên bắt đầu từ chính phần mạng và trải dài toàn bộ cơ sở hạ tầng CNTT cho đến cấp ứng dụng.

Trong bài viết này, sẽ mô tả một biện pháp bảo vệ an ninh đơn giản và hiệu quả đã có sẵn trên tất cả các thiết bị chuyển mạch của Cisco. Đó là DHCP snooping.

Tính năng này có thể được bật và cấu hình trên các thiết bị chuyển mạch của Cisco bằng một số lệnh và bảo vệ mạng của bạn khỏi những kẻ tấn công có thể cố gắng kết nối máy chủ DHCP giả mạo với mạng của bạn để gán địa chỉ IP và máy chủ DNS giả cho người dùng của bạn.

Chúng ta sẽ xem cách thức hoạt động của cuộc tấn công này và cách cấu hình DHCP Snooping trên các thiết bị chuyển mạch của Cisco để chặn các cuộc tấn công như vậy.

DHCP Snooping là gì?

Hãy xem mạng ví dụ sau đây. Chúng tôi có hai Switch truy cập lớp 2 (SW1, SW2), Switch core (SW3) và Máy chủ DHCP là máy chủ chính thức do quản trị viên cài đặt để cung cấp địa chỉ IP và các cài đặt mạng khác cho người dùng (DNS, cổng mặc định, v.v. ).

​

Trước tiên hãy bắt đầu bằng cách mô tả cuộc tấn công.

Kẻ tấn công (phía dưới bên trái trong sơ đồ) kết nối Máy chủ DHCP Rogue trong cùng một VLAN 10 với những người dùng còn lại. Máy tính của người dùng (“Nạn nhân” như được hiển thị ở trên cùng bên trái) được định cấu hình để nhận cài đặt mạng từ DHCP, do đó máy tính sẽ gửi gói “DHCP Discover” trong mạng như hình dưới đây:

​

Thông thường, “Máy chủ DHCP hợp pháp” ở bên phải sẽ phản hồi yêu cầu (với gói “Phiếu yêu cầu DHCP”) và chỉ định cài đặt mạng chính xác (IP, DNS, Gateway, v.v.) cho máy khách.

Tuy nhiên, Máy chủ DHCP Rogue của kẻ tấn công cũng sẽ phản hồi bằng một “Ưu đãi DHCP”. Điều này sẽ tạo ra một “điều kiện chạy đua” và nếu Máy chủ Rogue DHCP nhanh hơn một chút, nó sẽ chỉ định các cài đặt giả cho người dùng trước máy chủ hợp pháp.

Điều này có nghĩa là kẻ tấn công có thể chỉ định một cổng mặc định giả mạo và máy chủ DNS cho người dùng sẽ bị kẻ tấn công kiểm soát. Từ đó, kẻ tấn công có thể hoạt động như "người ở giữa" hoặc đưa người dùng đến các trang web giả mạo, v.v.

Với DHCP snooping được bật, Switch sẽ lắng nghe lưu lượng DHCP trong mạng và sẽ chỉ cho phép “Ưu đãi DHCP” đến từ các nguồn đáng tin cậy. Do đó, Cung cấp DHCP từ máy chủ Rogue giả mạo sẽ bị chặn bởi Switch như hình dưới đây:

​

Khi DHCP Snooping được bật trên tất cả các thiết bị chuyển mạch, theo mặc định, tất cả các gói “DHCP Offer” sẽ bị chặn trừ khi chuyển mạch được định cấu hình rõ ràng để “tin cậy” các cổng nhất định với máy chủ DHCP hợp pháp.

Do đó, chỉ các giao diện được cấu hình là “đáng tin cậy” mới được phép chuyển tiếp các gói “DHCP Offer” do đó các gói giả mạo sẽ bị chặn.

Trong ví dụ của chúng tôi ở trên, các giao diện Ge0 / 1 của cả SW1 và SW2 và cả giao diện Fe0 / 1 của SW3 sẽ được định cấu hình để tin cậy các gói “DHCP Offer” vì chúng đến từ máy chủ DHCP Hợp pháp.

Cách định cấu hình DHCP Snooping trên các thiết bị chuyển mạch của Cisco

Bây giờ chúng ta hãy xem cấu hình từng bước của tính năng này trong cấu trúc liên kết ví dụ được hiển thị ở trên.

Các bước chung bao gồm:

- Bật tính năng DHCP Snooping trên toàn cục trên mọi chuyển mạch.

- Bật tính năng theo dõi trên VLAN cụ thể mà bạn muốn bảo vệ (ví dụ: VLAN 10 trong ví dụ ở trên).

- Để có khả năng tương thích tốt hơn, hãy tắt việc chèn tùy chọn DHCP 82 từ Switch.

- Đi tới tất cả các thiết bị chuyển mạch và tìm các giao diện kết nối với máy chủ DHCP hợp pháp. Các giao diện này sẽ nhận được các gói DHCP Offer hợp pháp và phải được định cấu hình là “đáng tin cậy”. Tất cả các giao diện khác theo mặc định sẽ chặn bất kỳ gói DHCP Offer nào.

- Tùy chọn: Bạn có thể đặt giới hạn cho các yêu cầu máy khách DHCP (gói mỗi giây) để tránh kẻ tấn công gửi quá nhiều yêu cầu DHCP và do đó làm cạn kiệt tài nguyên của máy chủ.

Hãy bắt đầu với cấu hình:

Bước 1: Bật tính năng DHCP Snooping toàn cục

SW1(config)#ip dhcp snooping

SW2(config)#ip dhcp snooping

SW3(config)#ip dhcp snooping

Bước 2: Bật tính năng DHCP Snooping trên VLAN 10

SW1(config)#ip dhcp snooping vlan 10

SW2(config)#ip dhcp snooping vlan 10

SW3(config)#ip dhcp snooping vlan 10

Bước 3: Vô hiệu hóa việc chèn tùy chọn 82 trong các gói DHCP

SW1(config)#no ip dhcp snooping information option

SW2(config)#no ip dhcp snooping information option

SW3(config)#no ip dhcp snooping information option

Lưu ý: Cấu hình trên sẽ vô hiệu hóa Switch chèn tùy chọn 82 trong các gói DHCP.

Bước 4: Định cấu hình các giao diện đáng tin cậy trên các chuyển mạch (các giao diện kết nối với DHCP máy chủ hợp pháp)

SW1(config)# interface GigabitEthernet0/1
SW1(config-if)# ip dhcp snooping trust

SW2(config)# interface GigabitEthernet0/1
SW2(config-if)# ip dhcp snooping trust

SW3(config)# interface FastEthernet0/1
SW3(config-if)# ip dhcp snooping trust

Bước 5 (Tùy chọn): Định cấu hình giới hạn tốc độ đối với các yêu cầu DHCP từ máy khách

SW1(config)# interface FastEthernet0/1
SW1(config-if)# ip dhcp snooping limit rate 20

SW2(config)# interface FastEthernet0/1
SW2(config-if)# ip dhcp snooping limit rate 20

Bước 6: Xác minh

SW1#show ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

———————– ——- —————-

GigabitEthernet0/1 yes unlimited

FastEthernet0/1 no 20

SW2#show ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

———————– ——- —————-

GigabitEthernet0/1 yes unlimited

FastEthernet0/1 no 20

SW3#show ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is disabled
circuit-id default format: vlan-mod-port
remote-id: 0001.9641.6CBE (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:

nterface Trusted Allow option Rate limit (pps)

———————– ——- ———— —————-

FastEthernet0/1 yes yes unlimited

Cấu hình các Switch được thể hiện như bên dưới

Switch 1

SW1#show run

hostname SW1
!
ip dhcp snooping vlan 10
no ip dhcp snooping information option
ip dhcp snooping
!
interface FastEthernet0/1
switchport access vlan 10
ip dhcp snooping limit rate 20
switchport mode access
!
[output omitted] !
interface GigabitEthernet0/1
ip dhcp snooping trust
switchport mode trunk
!

Switch 2

SW2#show run
hostname SW2
!
ip dhcp snooping vlan 10
no ip dhcp snooping information option
ip dhcp snooping
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
switchport access vlan 10
ip dhcp snooping limit rate 20
switchport mode access
!
[output omitted] !
interface GigabitEthernet0/1
ip dhcp snooping trust
switchport mode trunk
!

Switch 3

SW3# show run
!
ip dhcp snooping vlan 10
no ip dhcp snooping information option
ip dhcp snooping
!
interface FastEthernet0/1
ip dhcp snooping trust
switchport access vlan 10
switchport mode access

interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk

Chúc các bạn thành công!

 

Bài viết rất hữu ích, cám ơn đã chia sẽ.