Tweet
DHCP-Snooping là tính năng chống giả mạo DHCP Server, chỉ những DHCP Server được mới có quyền cấp DHCP cho máy tính trong mạng.
Chúng ta cần DHCP Snooping để ngăn chặn các cuộc tấn công “man-in-the-middle”. Giả sử tồn tại một kẻ tấn công “man-in-the-middle” giả mạo DHCP server và trả lời cho gói tin DHCPDISCOVER trước khi DHCP Server thực trả lời, từ đó DHCP giả mạo sẽ gửi thông tin cấu hìn IP trong đó có gateway giả mạo. Khi máy tính của người dùng gởi dữ liệu đến gateway để ra mạng bên ngoài, máy tính của kẻ tấn công sẽ trở thành gateway trong trường hợp này. Kẻ tấn công có thể phân tích nội dung của mỗi gói dữ liệu được gởi đến trước khi thực hiện chuyển tiếp thông thường.
DHCP snooping hoạt động như một tường lửa giữa các máy chủ DHCP không đáng tin cậy và các máy chủ DHCP đáng tin cậy. DHCP snooping thực hiện các hoạt động sau:
Trusted and Untrusted Sources
Bạn có thể định cấu hình xem DHCP snooping có nguồn lưu lượng tin cậy hay không. Một nguồn không đáng tin cậy có thể bắt đầu các cuộc tấn công traffic hoặc các hành động thù địch khác. Để ngăn chặn các cuộc tấn công như vậy, DHCP snooping lọc các message từ các nguồn không đáng tin cậy. Trong mạng doanh nghiệp, nguồn đáng tin cậy là một thiết bị nằm dưới sự kiểm soát quản trị của bạn. Các thiết bị này bao gồm các bộ chuyển mạch, bộ định tuyến và máy chủ DHCP trong mạng. Bất kỳ thiết bị nào ngoài tường lửa hoặc bên ngoài mạng là nguồn không đáng tin cậy. Nói chung, tất cả các host được coi là nguồn không đáng tin cậy. Trong môi trường nhà cung cấp dịch vụ, bất kỳ thiết bị nào không nằm trong mạng của nhà cung cấp dịch vụ đều là nguồn không đáng tin cậy (chẳng hạn như chuyển đổi khách hàng).
Khi bật DHCP Snooping trên 1 vlan hoặc nhiều vlan Mặt định tất cả các port kết nối đều Untrust.
.
+và+IP+Source+Guard+cũng+sử+dụng+thông+tin+được+lưu+trữ+trong+cơ+sở+dữ+liệu+liên+kết+snooping+của+DHCP.+DHCP+snooping+được+kích+hoạt+trên+mỗi+Vlan.+Theo+mặc+định,+tính+năng+này+không+hoạt+động+trên+tất+cả+các+Vlan.+Bạn+có+thể+kích+hoạt+tính+năng+này+trên+một+Vlan+hoặc+một+phạm+vi+Vlan.+Trusted+and+Untrusted+Sources+Bạn+có+thể+định+cấu+hình+xem+DHCP+snooping+có+nguồn+lưu+lượng+tin+cậy+hay+không.+Một+nguồn+không+đáng+tin+cậy+có+thể+bắt+đầu+các+cuộc+tấn+công+traffic+hoặc+các+hành+động+thù+địch+khác.+Để+ngăn+chặn+các+cuộc+tấn+công+như+vậy,+DHCP+snooping+lọc+các+message+từ+các+nguồn+không+đáng+tin+cậy.+Trong+mạng+doanh+nghiệp,+nguồn+đáng+tin+cậy+là+một+thiết+bị+nằm+dưới+sự+kiểm+soát+quản+trị+của+bạn.+Các+thiết+bị+này+bao+gồm+các+bộ+chuyển+mạch,+bộ+định+tuyến+và+máy+chủ+DHCP+trong+mạng.+Bất+kỳ+thiết+bị+nào+ngoài+tường+lửa+hoặc+bên+ngoài+mạng+là+nguồn+không+đáng+tin+cậy.+Nói+chung,+tất+cả+các+host+được+coi+là+nguồn+không+đáng+tin+cậy.+Trong+môi+trường+nhà+cung+cấp+dịch+vụ,+bất+kỳ+thiết+bị+nào+không+nằm+trong+mạng+của+nhà+cung+cấp+dịch+vụ+đều+là+nguồn+không+đáng+tin+cậy+(chẳng+hạn+như+chuyển+đổi+khách+hàng).+Khi+bật+DHCP+Snooping+trên+1+vlan+hoặc+nhiều+vlan+Mặt+định+tất+cả+các+port+kết+nối+đều+Untrust)
DHCP snooping ngăn chặn như thế nào?
Message từ các nguồn không tin cậy bị Drop khi gửi đi các type message DHCP server
DHCP Snooping Binding Database
Sử dụng thông tin được trích xuất từ các message DHCP bị chặn, DHCP Snooping tự động xây dựng và duy trì cơ sở dữ liệu. Cơ sở dữ liệu chứa một mục nhập cho mỗi máy chủ không tin cậy có địa chỉ IP được thuê nếu máy chủ được liên kết với Vlan có bật snooping DHCP. Cơ sở dữ liệu không chứa các mục cho máy chủ được kết nối thông qua các giao diện đáng tin cậy.
DHCP snooping cập nhật cơ sở dữ liệu khi thiết bị nhận được thông báo DHCP cụ thể. Ví dụ: tính năng thêm một mục vào cơ sở dữ liệu khi thiết bị nhận được thông báo DHCPACK từ máy chủ. Tính năng này sẽ xóa mục nhập trong cơ sở dữ liệu khi hết hạn thuê địa chỉ IP hoặc thiết bị nhận được thông báo DHCPRELEASE từ máy chủ.
Mỗi mục trong cơ sở dữ liệu liên kết theo dõi DHCP bao gồm địa chỉ MAC của máy chủ, địa chỉ IP được thuê, thời gian thuê, loại liên kết và số Vlan và thông tin giao diện được liên kết với máy chủ.
Bạn có thể xóa các mục khỏi cơ sở dữ liệu liên kết bằng cách sử dụng lệnh ràng buộc ip DHCP Snooping.
.
Nguyên tắc và hạn chế
Chúng ta cần DHCP Snooping để ngăn chặn các cuộc tấn công “man-in-the-middle”. Giả sử tồn tại một kẻ tấn công “man-in-the-middle” giả mạo DHCP server và trả lời cho gói tin DHCPDISCOVER trước khi DHCP Server thực trả lời, từ đó DHCP giả mạo sẽ gửi thông tin cấu hìn IP trong đó có gateway giả mạo. Khi máy tính của người dùng gởi dữ liệu đến gateway để ra mạng bên ngoài, máy tính của kẻ tấn công sẽ trở thành gateway trong trường hợp này. Kẻ tấn công có thể phân tích nội dung của mỗi gói dữ liệu được gởi đến trước khi thực hiện chuyển tiếp thông thường.
DHCP snooping hoạt động như một tường lửa giữa các máy chủ DHCP không đáng tin cậy và các máy chủ DHCP đáng tin cậy. DHCP snooping thực hiện các hoạt động sau:
- Xác thực các message DHCP nhận được từ các nguồn không đáng tin cậy và lọc ra các message không hợp lệ.
- Lưu lượng DHCP giới hạn lưu lượng truy cập từ các nguồn đáng tin cậy và không đáng tin cậy.
- Xây dựng và duy trì cơ sở dữ liệu ràng buộc DHCP snooping, chứa thông tin về các máy chủ không tin cậy có địa chỉ IP được thuê.
- Sử dụng cơ sở dữ liệu ràng buộc DHCP snooping để xác thực các yêu cầu tiếp theo từ các máy chủ không tin cậy.
Trusted and Untrusted Sources
Bạn có thể định cấu hình xem DHCP snooping có nguồn lưu lượng tin cậy hay không. Một nguồn không đáng tin cậy có thể bắt đầu các cuộc tấn công traffic hoặc các hành động thù địch khác. Để ngăn chặn các cuộc tấn công như vậy, DHCP snooping lọc các message từ các nguồn không đáng tin cậy. Trong mạng doanh nghiệp, nguồn đáng tin cậy là một thiết bị nằm dưới sự kiểm soát quản trị của bạn. Các thiết bị này bao gồm các bộ chuyển mạch, bộ định tuyến và máy chủ DHCP trong mạng. Bất kỳ thiết bị nào ngoài tường lửa hoặc bên ngoài mạng là nguồn không đáng tin cậy. Nói chung, tất cả các host được coi là nguồn không đáng tin cậy. Trong môi trường nhà cung cấp dịch vụ, bất kỳ thiết bị nào không nằm trong mạng của nhà cung cấp dịch vụ đều là nguồn không đáng tin cậy (chẳng hạn như chuyển đổi khách hàng).
Khi bật DHCP Snooping trên 1 vlan hoặc nhiều vlan Mặt định tất cả các port kết nối đều Untrust.
.
Cấu hình cổng kết nối DHCP Server là đáng tin cậy
.
.
Các loại message DHCP
DHCP snooping ngăn chặn như thế nào?
- Khi có một hacker giả làm DHCP server giả hoặc có 1 DHCP lạ (ADSL) kết nối được kết nối với hệ thống, mặc định các cổng kết nối với các thiết bị này là Untrust. Khi ta bật DHCP Snooping trên cổng kết nối trực tiếp với DHCP server nghĩa là cổng kết nối với DHCP server là hoàn toàn tin cậy. Trên thiết bị Switch hoặc Router sau khi bật DHCP Snooping, nó sẽ tiến hành filter các message DHCP từ các nguồn không tin cậy, chỉ cho phép message DHCP từ chính server mà người quản trị mới được đi qua và gửi các message đến client xin DHCP trong mạng.
Message từ các nguồn không tin cậy
.
.
Message từ các nguồn không tin cậy bị Drop khi gửi đi các type message DHCP server
- Các message đi từ DHCP Server được cho cho tin cậy khi cấu hình DHCP Snooping sẽ được chuyển đến các client xin DHCP. Quá trình xin và cấp DHCP được thể hiện qua 2 hình dưới đây:
Message xin DHCP được gửi đi từ các cổng Untrust
.
.
Message trả về khi nhận được yêu cầu xin DHCP từ các cổng Trust
DHCP Snooping Binding Database
Sử dụng thông tin được trích xuất từ các message DHCP bị chặn, DHCP Snooping tự động xây dựng và duy trì cơ sở dữ liệu. Cơ sở dữ liệu chứa một mục nhập cho mỗi máy chủ không tin cậy có địa chỉ IP được thuê nếu máy chủ được liên kết với Vlan có bật snooping DHCP. Cơ sở dữ liệu không chứa các mục cho máy chủ được kết nối thông qua các giao diện đáng tin cậy.
DHCP snooping cập nhật cơ sở dữ liệu khi thiết bị nhận được thông báo DHCP cụ thể. Ví dụ: tính năng thêm một mục vào cơ sở dữ liệu khi thiết bị nhận được thông báo DHCPACK từ máy chủ. Tính năng này sẽ xóa mục nhập trong cơ sở dữ liệu khi hết hạn thuê địa chỉ IP hoặc thiết bị nhận được thông báo DHCPRELEASE từ máy chủ.
Mỗi mục trong cơ sở dữ liệu liên kết theo dõi DHCP bao gồm địa chỉ MAC của máy chủ, địa chỉ IP được thuê, thời gian thuê, loại liên kết và số Vlan và thông tin giao diện được liên kết với máy chủ.
Bạn có thể xóa các mục khỏi cơ sở dữ liệu liên kết bằng cách sử dụng lệnh ràng buộc ip DHCP Snooping.
.
Nguyên tắc và hạn chế
- DHCP snooping có các nguyên tắc và giới hạn cấu hình sau:
- Khi bạn sử dụng lệnh DHCP Snooping để bật tính năng Snooping DHCP, sẽ có độ trễ khoảng 30 giây trước khi các mô-đun I/O nhận được cấu hình DHCP snooping hoặc DAI. Sự chậm trễ này xảy ra bất kể phương thức mà bạn sử dụng để thay đổi từ cấu hình với DHCP snooping bị vô hiệu hóa sang cấu hình có bật snooping DHCP. Ví dụ: nếu bạn sử dụng tính năng Rollback để trở lại cấu hình cho phép DHCP snooping, các mô-đun I/O sẽ nhận được snooping DHCP và cấu hình DAI khoảng 30 giây sau khi bạn hoàn thành việc khôi phục.
- Cơ sở dữ liệu snooping của DHCP có thể lưu trữ 2000 liên kết.
- DHCP snooping không hoạt động cho đến khi bạn bật tính năng này, bật DHCP snooping trên toàn hệ thống và bật DHCP snooping trên ít nhất một Vlan.
- Trước khi kích hoạt DHCP Snooping trên thiết bị, đảm bảo rằng các thiết bị hoạt động như máy chủ DHCP và tác nhân chuyển tiếp DHCP được cấu hình và bật.
- Thống kê danh sách kiểm soát truy cập (ACL) không được hỗ trợ nếu tính năng theo dõi DHCP được bật.