Пример настройки DHCP Snooping для предотвращения атаки поддельного DHCP-сервера

50 0 0 0

Обзор DHCP Snooping

Во время процесса, в котором DHCP-клиент динамически получает IP-адрес, DHCP snooping анализирует и фильтрует DHCP-пакеты между клиентом и сервером. Правильная настройка DHCP snooping реализует фильтрацию несанкционированных серверов, предотвращая получение клиентами адресов, предоставленных несанкционированным сервером DHCP, и невозможность доступа к сети. DHCP snooping может использоваться, если атаки несанкционированного DHCP- сервера происходят в сети. Примеры сценариев в нижеследующем:

·       Используется Windows-сервер 2003 или 2008 для некоторых терминалов в сети и распределяются IP-адреса с помощью DHCP по умолчанию.

·       Некоторые интерфейсы на уровне доступа подключены к беспроводному маршрутизатору, который имеет возможность выделять IP-адреса с помощью DHCP.

Рекомендуется развернуть DHCP snooping на коммутаторе доступа. Управление интерфейсом является точным при развертывании DHCP snooping на коммутаторе ближе к ПК. Каждый интерфейс коммутатора должен быть подключен только к одному ПК. Если определенный интерфейс подключен к нескольким ПК через концентратор, атаки DHCP snooping, происходящие на концентраторе, не могут быть предотвращены, поскольку snooping-пакеты напрямую пересылаются между интерфейсами концентратора и не могут контролироваться посредством DHCP snooping, развернутого на коммутаторе доступа.

Требования к сети

Как показано на рисунке ниже, SwitchA - это коммутатор доступа, и компьютер, подключенный к нему, получает IP-адрес с помощью DHCP. SwitchB в качестве базового коммутатора развертывается с функцией DHCP-сервера. Необходимо настроить DHCP snooping, чтобы предотвратить доступ к сети несанкционированных DHCP-серверов, таких как встроенные беспроводные маршрутизаторы. Если к сети подключен несанкционированный DHCP-сервер, обычные пользователи получают неправильные адреса и не могут получить доступ к сети или получить конфликтующие адреса.

              1                                 

Схема настройки

Схема настройки показывается в следующем:

1. Разверните функцию DHCP-сервера на SwitchB.

2. Включите глобальный DHCP snooping на SwitchA, включите DHCP snooping на интерфейсе, подключенном к ПК, и настройте интерфейс, подключенный к SwitchB в качестве надежного интерфейса. (Доверенный интерфейс получает DHCP-пакеты от DHCP-сервера. SwitchA отправляет DHCP-пакеты запросов от ПК в SwitchB только через доверенный интерфейс.)

Настройка

Шаг 1 Настройте функцию DHCP-сервера.

# Настройте функцию DHCP-сервера на SwitchB.

<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] vlan batch 10
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] dhcp enable
[SwitchB] interface vlanif 10
[SwitchB-Vlanif10] ip address 10.1.1.1 255.255.255.0
[SwitchB-Vlanif10] dhcp select interface //Включите устройство для распределения IP-адресов на основе пула адресов интерфейса.
[SwitchB-Vlanif10] quit


Шаг 2 Настройте DHCP snooping.

# Настройте DHCP snooping на SwitchA.

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 10
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type access
[SwitchA-GigabitEthernet0/0/2] port default vlan 10
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/3] port link-type access
[SwitchA-GigabitEthernet0/0/3] port default vlan 10
[SwitchA-GigabitEthernet0/0/3] quit
[SwitchA] dhcp enable
[SwitchA] dhcp snooping enable ipv4 //Включите глобальный DHCP Snooping и настройте устройство для обработки только пакетов DHCPv4, чтобы экономить использование ЦП.
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] dhcp snooping enable //Включить DHCP Snooping на пользовательском интерфейсе.
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/3] dhcp snooping enable
[SwitchA-GigabitEthernet0/0/3] quit
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] dhcp snooping trusted //Настройте интерфейс как надежный интерфейс, чтобы коммутатор доступа мог обрабатывать только пакеты ответа DHCP-сервера, полученные от интерфейса.
[SwitchA-GigabitEthernet0/0/1] quit


Шаг 3 Проверьте конфигурацию.

# Запустите команду display dhcp snooping configuration на SwitchA, чтобы проверить конфигурацию DHCP snooping.

[SwitchA] display dhcp snooping configuration
#
dhcp snooping enable ipv4
#
interface GigabitEthernet0/0/1
dhcp snooping trusted
#
interface GigabitEthernet0/0/2
dhcp snooping enable
#
interface GigabitEthernet0/0/3
dhcp snooping enable
#


# Запустите команду display ip pool interface vlanif10 used на SwitchB, чтобы проверить используемые IP-адреса в пуле адресов.

[SwitchB] display ip pool interface vlanif10 used
Pool-name : Vlanif10
Pool-No : 1
Lease : 1 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Position : Interface Status : Unlocked
Gateway-0 : 10.1.1.1
Network : 10.1.1.0
Mask : 255.255.255.0
VPN instance : --
-----------------------------------------------------------------------------
Start End Total Used Idle(Expired) Conflict Disable
-----------------------------------------------------------------------------
10.1.1.1 10.1.1.254 253 1 252(0) 0 0
-----------------------------------------------------------------------------
Network section :
-----------------------------------------------------------------------------
Index IP MAC Lease Status
-----------------------------------------------------------------------------
253 10.1.1.254 0021-cccf-b67f 46 Used
# Запустите команду display dhcp snooping user-bind all на SwitchA, чтобы проверить таблицу привязки DHCP snooping.
[SwitchA] display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease
--------------------------------------------------------------------------------
10.1.1.254 0021-cccf-b67f 10 /-- /-- GE0/0/2 2014.09.21-09:33
--------------------------------------------------------------------------------
Print count: 1 Total count: 1


IP-адреса, полученные всеми последующими ПК с помощью DHCP, могут быть назначены только через SwitchB.



  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход