Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Yêu cầu:
R1:
IP: 192.168.1.0/24
Gateway: 192.168.1.253
R2:
192.168.1.0/24
Gateway: 192.168.1.254
5: Cấu hình DHCP Snooping trên SW1, đảm bảo các Client sẽ chỉ xin địa chỉ IP từ R2 qua
DHCP (kiểm tra default-gateway trên mỗi client phải là IP của R2 192.168.1.254)
Hướng dẫn:
5: Cấu hình DHCP Snooping trên SW1. R1 và R2 là 2 DHCP Server, để đảm bảo client chỉ
xin địa chỉ IP từ R2, cấu hình f0/24 (SW1) trust dhcp:
!R1:
!
configure terminal
!
interface fastEthernet0/0
ip address 192.168.1.253 255.255.255.0
no shutdown
!
ip dhcp pool VLAN10
network 192.168.1.0 /24
default-router 192.168.1.253
!
end
!R2:
!
configure terminal
!
interface fastEthernet0/0
ip address 192.168.1.254 255.255.255.0
no shutdown
!
ip dhcp pool VLAN10
network 192.168.1.0 /24
default-router 192.168.1.254
!
end
!SW1:
!
configure terminal
!
interface range fastEthernet0/1 - 2 , fastEthernet0/23 - 24
switchport mode access
switchport access vlan 10
!
ip dhcp snooping
!
ip dhcp snooping vlan 10
!
no ip dhcp information option
!
interface fastEthernet0/24
ip dhcp snooping trust
!
interface fastEthernet0/23
no ip dhcp snooping trust
!
end
!Kiem tra:
#show ip dhcp snooping
DHCP Snooping
DHCP snooping ngăn ngừa những tổn thất do vài kiểu tấn công dùng DHCP snooping gây ra.
DHCP snooping làm cho một switch kiểm tra các thông điệp DHCP và lọc các thông điệp bị
xem là không phù hợp. DHCP snooping cũng xây dựng một bảng của các địa chỉ và các cổng
dựa trên những thông điệp DHCP hợp lệ gọi là DHCP snooping binding tables. Tính năng
DHCP snooping sau đó sẽ dùng bởi tính năng DAI và bởi tính năng IP Source Guard.
Hình dưới đây mô tả một kiểu tấn công man-in-the-middle trong đó dùng DHCP.
DHCP hợp lệ nằm ở vùng khác, trong khi đó DHCP của máy tấn công nằm ở LAN cục bộ,
hoạt động như DHCP server.
Các bước dưới đây giải thích làm thế nào một máy tấn công có thể trở thành “man-in-the-
middle”.
PC-B yêu cầu một địa chỉ IP dùng DHCP.
PC của kẻ tấn công trả lời, cấp cho một địa chỉ IP/mask nhưng dùng địa chỉ của chính nó là
default gateway.
Pc-B gửi các data frame nghĩ rằng máy tấn công là gateway mặc định.
Máy tấn công trung chuyển các frame trên, trở thành man-in-the-middle.
Chú ý PC-B sẽ dùng gói tin DHCP reply đầu tiên mà nó nhận được, vì vậy những gói tin
DHCP hợp lệ phảI đi qua đường WAN sẽ chậm hơn những gói DHCP reply của máy tấn công.
Tính năng DHCP snooping hạn chế kiểu tấn công đó cho những port mà nó xem là không tin
cậy. DHCP snooping cho phép tất cả các thông điệp DHCP trên những port tin cậy, nhưng nó
sẽ lọc bỏ những thông điệp DHCP trên những port không tin cậy. Cơ chế này hoạt động dựa
trên giả thiết rằng các máy DHCP clients trên tồn tạI trên những cổng không tin cậy, và kết
quả là switch sẽ lọc những thông điệp DHCP đi vào mà các thông điệp này được gửi bởI các
server. Vì vậy từ quan điểm thiết kế, các cổng không dùng của switch và các cổng không
được bảo vệ phải được cấu hình như là không tin cậy đốI vớI dịch vụ DHCP snooping.
DHCP snooping cũng cần phải kiểm tra các thông điệp DHCP client trên những cổng không
tin cậy, bởi vì những kiểu tấn công khác có thể dùng các thông điệp của DHCP client. DHCP
server nhận dạng các máy client dựa trên địa chỉ phần cứng của do client khai báo trong thông
điệp DHCP request. Một thiết bị đơn lẻ có thể hoạt động như nhiều thiết bị bằng cách gửi ra
các thông điệp DHCP lặp lại, mỗI lần vớI một địa chỉ phần cứng khác nhau. Máy chủ DHCP
server nghĩ rằng các yêu cầu là đến từ các máy khác nhau sẽ gán các địa chỉ cho từng yêu cầu.
Máy chủ DHCP sẽ nhanh chóng gán hết những địa chỉ sẵn có trong dãy địa chỉ, làm cho
những yêu cầu hợp lệ từ những ngườI dùng khác sẽ bị từ chối.
Đối với những cổng không tin cậy, DHCP snooping dùng các nguyên tắc sau đây để lọc gói
tin:
1. Nó lọc tất cả các thông điệp được gửi bởi DHCP server.
2. Switch sẽ kiểm tra các thông địep release và declient trong bảng DHCP snooping. Nếu một
địa chỉ IP trong những thông điệp này không được liệt kê cùng với những cổng trong bảng
snooping, thông điệp sẽ bị loại bỏ.
3. Ngoài ra, switch có thể so sánh địa chỉ phần cứng của các DHCP request vớI địa chỉ nguồn
trong Ethernet frame.
Trong ba hạng mục trên, hạng mục đầu tiên sẽ quản lý kiểu tấn công man-in-the-middle. Hạng
mục thứ hai sẽ ngăn ngừa các máy tấn công gửi ra các gói DHCP và sau đó cố gắng yêu cầu
một địa chỉ được gán bởi cùng một địa chỉ, thông qua đó chiếm luôn kết nối của máy ban đầu.
Hạng mục cuối cùng ngăn ngừa kiểu tấn công DOS attack trong đó một máy cố gắng xin cấp
hết tất cả những địa chỉ IP mà server có thể cấp trong mạng.
Quay trở lại câu hòi của bạn, bạn có thể cấu hình cổng của switch gắn vào DHCP như là trust
port (cổng tin cậy). Các cổng nối vào các switch non-cisco như là un-trust.
Để cấu hình dhcp snooping, bạn phải cấu hình theo per-vlan.
Còn việc chỉ ra các cổng nào là trust thì cấu hình ở các port của switch 2950.
To configure DHCP trust state on a Layer 2 LAN interface, perform this task:
Step 1
Router(config)# interface {type1 slot/port | port-channel number}
Step 2
Router(config-if)# ip dhcp snooping trust
Configures the interface as trusted.
Còn về vấn đề bạn đề cập đến, dùng ip helper-address thì quả thật hoạt động của đặc điểm
dhcp snooping phức tạp hơn một chút.