21T30 DHCP Snooping w 7 min.[Konfiguracja]

DHCP Trust

Wi臋cej miejsc do pos艂uchania:

Spotify

Link do artyku艂u.

0:00 Wprowadzenie

0:15 Topologia

0:43 Konfiguracja

7:10 Podsumowanie

Transkrypcja

Cze艣膰! Chcia艂by艣 si臋 dowiedzie膰, jak zabezpieczy膰 swoj膮 sie膰 przed niepo偶膮danym serwerem DHCP, czyli DHCP Snooping? Je偶eli tak, to w tym odcinku poka偶臋, jak skonfigurowa膰 taki mechanizm.

Zacznijmy od topologii. Mamy tutaj przyk艂ad serwera DHCP, kt贸ry jest
po lewej stronie. Po艣rodku router, prze艂膮cznik R2 i dwa PC. Zauwa偶, 偶e adresacj臋 mamy inn膮 w przypadku serwera, jak sieci lokalnej, kt贸r膮 b臋dziemy tutaj adresowa膰, wykorzystuj膮c serwer DHCP.

Zaczynamy konfiguracj臋. Zacznijmy od routera i przypisania na routerze, na interfejsie fastEthernet 0/0, czyli interfejs LAN-owy, konfiguracji adresu IP. Mamy sie膰 10.0.0.0 z mask膮 24 bity, ko艅c贸wka 1 dla routera jako gateway. Uruchamiamy interfejs, kolejnym krokiem b臋dzie adresacja interfejsu
fastEthernet 0/1, czyli od strony serwera DHCP. Tutaj mamy sie膰 20.0.0.0 z mask膮 24 bity. Uruchamiamy interfejs i teraz mo偶emy przej艣膰 do konfiguracji fastEthernet 0/0. Dodatkowo potrzebujemy na tym interfejsie doda膰 helper. Helper, czyli przesy艂anie zapyta艅 broadcastowych, kt贸re przechodz膮 na ten interfejs unicastem na adres serwera DHCP, czyli 20.0.0.10. Taki adres ma serwer DHCP.

Kolejn膮 konfiguracj臋, kt贸r膮 potrzebujemy tutaj zrobi膰, to konfiguracja serwera DHCP. Czyli przypisujemy najpierw statyczny adres IP dla serwera, default gateway musi oczywi艣cie te偶 by膰 i uruchamiamy serwis DHCP. W tym serwisie potrzebujemy stworzy膰 now膮 pul臋, czyli dla naszej sieci 10.0.0.0. Tworzymy pul臋, domy艣lny gateway 10.0.0.1. Tutaj przypisujemy adres IP z danego zakresu i uruchamiamy nasz膮 pul臋. Czyli wida膰, 偶e b臋dziemy mieli z tego zakresu IP przypisywane adresy. Zapisujemy.

Kolejn膮 cz臋艣ci膮 konfiguracji jest konfiguracja PC. Czyli teraz b臋dziemy przypisywa膰 adres IP z DHCP i zobaczymy, jaki adres IP otrzymamy. 10.0.0.11 to jest adres w艂a艣ciwy z tej sieci przyznany przez DHCP, widzimy default gateway 10.0.0.1 i DNS 4.4.4.4. Okej. Je偶eli chodzi o drugiego PC-a w zasadzie trzeciego, czyli PC3, a wcze艣niej by艂 PC2. Sprawdzimy. Dostaje adres IP r贸wnie偶 z tej samej sieci, tym razem PC3 z ko艅c贸wk膮 12. Okej, to teraz skonfigurujmy dodatkowy serwer, czyli serwer DHCP 2. To b臋dzie przyk艂ad serwera nieuprawnionego. Ten serwer b臋dzie bezpo艣rednio pod艂膮czony do naszej sieci R2, czyli b臋dzie mia艂 kr贸tsz膮 drog臋 do realizacji zapyta艅 dla lokalnych host贸w. Tutaj stworzymy sobie oczywi艣cie adres IP, dla tego serwera musi by膰 przypisany, ko艅c贸wka 150. Inny default gateway przypiszemy z ko艅c贸wk膮 1 i DNS 4.4.4.4. Okej i to b臋dzie pula teraz attacker. Tutaj w tej nowej puli attacker b臋dziemy przypisywa膰 adres gateway z ko艅c贸wk膮 150. Czyli b臋dziemy mogli rozpozna膰, z jakiego serwera DHCP jest przyznany adres dla naszego hosta. Mamy tutaj t臋 pul臋 attacker powy偶ej puli serverPool, czyli b臋dziemy t臋 pul臋 wykorzystywa膰. Przypomn臋 tutaj default gateway z ko艅c贸wk膮 150 i pod艂膮czony bezpo艣rednio ten serwer drugi do sieci lokalnej. I teraz ponownie odpytamy na PC3 o serwer DHCP. Widzimy, 偶e default gateway si臋 zmieni艂 na 150, czyli jest tak, 偶e bli偶ej stoj膮cy serwer DHCP szybciej odpowie na zapytanie, w zwi膮zku z tym host otrzyma艂 odpowied藕 o adresie IP z serwera nieautoryzowanego.

Jak si臋 zabezpieczy膰 teraz przed takim scenariuszem? No wi臋c skonfigurujmy DHCP Snooping na prze艂膮czniku pierwszym. Najpierw w globalnej konfiguracji uruchamiamy funkcjonalno艣膰 IP DHCP Snooping. Nast臋pnie na interfejsie fastEthernet 0/1, to jest interfejs od strony prawid艂owego serwera DHCP, na tym interfejsie skonfigurujemy IP DHCP Snooping trust, czyli, 偶e ufamy, 偶e zapytania, czy odpowiedzi na zapytania DHCP, kt贸re b臋d膮 wraca膰, s膮 zaufane, je偶eli przychodz膮 tym interfejsem. Dobrze i teraz sprawd藕my sobie, jaki b臋dzie przypisany adres IP i widzimy default gateway z ko艅c贸wk膮 1, czyli tym razem zosta艂a zablokowana odpowied藕 serwera nieautoryzowanego i zapytanie zd膮偶y艂o wr贸ci膰 z w艂a艣ciw膮 odpowiedzi膮, czyli default gateway 0.1. Sp贸jrzmy, w tablicy DHCP Snoopingu co widzimy. Widzimy, 偶e na interfejsie fastEthernet 0/1 mamy interfejs zaufany, czyli odpowiedzi z serwera DHCP b臋d膮 zaufane i mamy nielimitowan膮 ilo艣膰 zapyta艅. 呕eby zabezpieczy膰 si臋 przed takim scenariuszem, mo偶emy sobie dokonfigurowa膰 na interfejsie 3-4: DHCP Snooping limit rate 10, czyli do 10 pakiet贸w na sekund臋 b臋dziemy zezwala膰
na interfejsach 0/3 i 0/4. Teraz sprawd藕my ustawienia DHCP Snoopingu, czyli do 10 zapyta艅 DHCP b臋dziemy akceptowa膰 na sekund臋 per dany interfejs. Natomiast na interfejsie zaufanym ilo艣膰 pakiet贸w DHCP jest nielimitowana, czyli b臋dziemy odpowiedzi mogli dawa膰 tyle, ile serwer jest w stanie przetworzy膰. I to jest wszystko, je偶eli chodzi o konfiguracj臋 DHCP. Nie jest specjalnie skomplikowana ta konfiguracja. Je偶eli masz do tego jakie艣 pytania, to oczywi艣cie zapraszam do pisania w komentarzu.

Na dzisiaj to tyle, a je偶eli by艣 chcia艂 zobaczy膰, czy us艂ysze膰 bardziej, wi臋cej teoretycznej strony zachowania si臋 DHCP Snoopingu, zagro偶e艅, zalet i to, w jaki spos贸b wykorzysta膰 w rzeczywistym naszym 艣wiecie sieciowym tego typu funkcjonalno艣膰, to zapraszam Ci臋 do mojego podcastu. Na dzisiaj Ci dzi臋kuj臋 za uwag臋 i do us艂yszenia ju偶 za tydzie艅.


Autor: Darek Koralewski

Od pocz膮tku swojej kariery, czyli od 2004 roku, zajmuj臋 si臋 sieciami komputerowymi ze szczeg贸lnym uwzgl臋dnieniem ich bezpiecze艅stwa oraz sieciami programowalnymi. Mam na swoim koncie ca艂膮 list臋 certyfikat贸w r贸偶nych producent贸w, dwa najwa偶niejsze to te po艣wiadczaj膮ce najwy偶szy poziom wiedzy eksperckiej z zakresu rozwi膮za艅 Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwi膮zania Aruba ACDX#1255. Wi臋cej informacji mo偶esz znale藕膰 na moich portalach spo艂eczno艣ciowych.