Tweet
Làm sao chúng ta có thể dùng Switch để chống lại các DHCP giả mạo đang cấp IP cho các đầu cuối trong mạng?
Đó chính là nhờ tính năng DHCP Snooping – một cơ chế bảo mật được tích hợp trong switch để kiểm soát và lọc các thông điệp DHCP đến từ các nguồn không đáng tin cậy.
🛡️ Tại sao cần bật DHCP Snooping?
Vì hacker có thể tạo hàng loạt yêu cầu DHCP giả để “chiếm chỗ” tất cả địa chỉ IP, khiến các thiết bị hợp lệ không thể truy cập mạng. Đây là một dạng tấn công rất phổ biến trong môi trường doanh nghiệp.
Lý do khác là bạn gắn vào mạng các thiết bị mới mà trong thiết bị này có chức năng DHCP được bật sẵn. Lúc này thiết bị mới sẽ cấp IP cho mạng, dãy IP được cấp là không chuẩn. Dẫn đến các máy trong mạng không đi ra mạng khác được.
💡 DHCP Snooping làm được gì?
✅ Switch sẽ xác minh DHCP server nào là xịn và DHCP server nào là giả. Sau đó Switch loại bỏ các thông điệp DHCP từ các server giả mạo. Mình sẽ cấu hình các cổng nào là trust (DHCP server xịn).
✅ Giới hạn tốc độ gửi DHCP từ các thiết bị lạ. (Rate-limit - Bóp băng thông)
✅ Ghi nhận và duy trì danh sách IP đã cấp phát – gọi là “cơ sở dữ liệu snooping”. Database này chứa địa chỉ MAC và IP mà server DHCP server xịn đã cấp phát. Nếu có host nào đó có địa chỉ MAC giống như trong database này nhưng IP là khác, host đó đã giả mạo địa chỉ IP.
✅ Hỗ trợ các tính năng bảo mật khác như kiểm tra ARP động (DAI)
📌 Tính năng này được kích hoạt theo từng VLAN, và mặc định thì không bật sẵn – nên bạn cần chủ động cấu hình nếu muốn sử dụng nhé!
📘 5 bước đơn giản để triển khai DHCP Snooping trên switch của bạn:
1️⃣ Xác định và cấu hình máy chủ DHCP (bên ngoài switch). Bạn đã biết cách dựng lên DHCP server rồi phải không?
2️⃣ Bật snooping DHCP ở chế độ toàn cục
3️⃣ Bật snooping DHCP cho từng VLAN bạn muốn bảo vệ
4️⃣ Đánh dấu cổng kết nối đến máy chủ DHCP là "đáng tin cậy". Mình phải cấu hình cổng nào của switch là trust (đấu vào DHCP server xịn)
5️⃣ Cấu hình lưu trữ cơ sở dữ liệu snooping để giữ lại thông tin sau khi thiết bị khởi động lại. Lúc này switch sẽ nghe hết tất cả các thông điệp được trao đổi từ thiết bị đầu cuối về DHCP server.
💡 Lưu ý: Nếu chưa hoàn tất bước 5, snooping DHCP sẽ không hoạt động như mong đợi! Các tính năng bảo mật khác, chẳng hạn như kiểm tra ARP động (DAI), cũng sử dụng thông tin được lưu trữ trong cơ sở dữ liệu liên kết snooping DHCP. Database này là nguồn thông tin quan trọng để các tính năng bảo mật khác cũng tra cứu và sử dụng.
Đó chính là nhờ tính năng DHCP Snooping – một cơ chế bảo mật được tích hợp trong switch để kiểm soát và lọc các thông điệp DHCP đến từ các nguồn không đáng tin cậy.
🛡️ Tại sao cần bật DHCP Snooping?
Vì hacker có thể tạo hàng loạt yêu cầu DHCP giả để “chiếm chỗ” tất cả địa chỉ IP, khiến các thiết bị hợp lệ không thể truy cập mạng. Đây là một dạng tấn công rất phổ biến trong môi trường doanh nghiệp.
Lý do khác là bạn gắn vào mạng các thiết bị mới mà trong thiết bị này có chức năng DHCP được bật sẵn. Lúc này thiết bị mới sẽ cấp IP cho mạng, dãy IP được cấp là không chuẩn. Dẫn đến các máy trong mạng không đi ra mạng khác được.
💡 DHCP Snooping làm được gì?
✅ Switch sẽ xác minh DHCP server nào là xịn và DHCP server nào là giả. Sau đó Switch loại bỏ các thông điệp DHCP từ các server giả mạo. Mình sẽ cấu hình các cổng nào là trust (DHCP server xịn).
✅ Giới hạn tốc độ gửi DHCP từ các thiết bị lạ. (Rate-limit - Bóp băng thông)
✅ Ghi nhận và duy trì danh sách IP đã cấp phát – gọi là “cơ sở dữ liệu snooping”. Database này chứa địa chỉ MAC và IP mà server DHCP server xịn đã cấp phát. Nếu có host nào đó có địa chỉ MAC giống như trong database này nhưng IP là khác, host đó đã giả mạo địa chỉ IP.
✅ Hỗ trợ các tính năng bảo mật khác như kiểm tra ARP động (DAI)
📌 Tính năng này được kích hoạt theo từng VLAN, và mặc định thì không bật sẵn – nên bạn cần chủ động cấu hình nếu muốn sử dụng nhé!
📘 5 bước đơn giản để triển khai DHCP Snooping trên switch của bạn:
1️⃣ Xác định và cấu hình máy chủ DHCP (bên ngoài switch). Bạn đã biết cách dựng lên DHCP server rồi phải không?
2️⃣ Bật snooping DHCP ở chế độ toàn cục
3️⃣ Bật snooping DHCP cho từng VLAN bạn muốn bảo vệ
4️⃣ Đánh dấu cổng kết nối đến máy chủ DHCP là "đáng tin cậy". Mình phải cấu hình cổng nào của switch là trust (đấu vào DHCP server xịn)
5️⃣ Cấu hình lưu trữ cơ sở dữ liệu snooping để giữ lại thông tin sau khi thiết bị khởi động lại. Lúc này switch sẽ nghe hết tất cả các thông điệp được trao đổi từ thiết bị đầu cuối về DHCP server.
💡 Lưu ý: Nếu chưa hoàn tất bước 5, snooping DHCP sẽ không hoạt động như mong đợi! Các tính năng bảo mật khác, chẳng hạn như kiểm tra ARP động (DAI), cũng sử dụng thông tin được lưu trữ trong cơ sở dữ liệu liên kết snooping DHCP. Database này là nguồn thông tin quan trọng để các tính năng bảo mật khác cũng tra cứu và sử dụng.
Attached Files