21T30 DHCP Snooping w 7 min.[Konfiguracja]

DHCP Trust

Więcej miejsc do posłuchania:

Spotify

Link do artykułu.

0:00 Wprowadzenie

0:15 Topologia

0:43 Konfiguracja

7:10 Podsumowanie

Transkrypcja

Cześć! Chciałbyś się dowiedzieć, jak zabezpieczyć swoją sieć przed niepożądanym serwerem DHCP, czyli DHCP Snooping? Jeżeli tak, to w tym odcinku pokażę, jak skonfigurować taki mechanizm.

Zacznijmy od topologii. Mamy tutaj przykład serwera DHCP, który jest
po lewej stronie. Pośrodku router, przełącznik R2 i dwa PC. Zauważ, że adresację mamy inną w przypadku serwera, jak sieci lokalnej, którą będziemy tutaj adresować, wykorzystując serwer DHCP.

Zaczynamy konfigurację. Zacznijmy od routera i przypisania na routerze, na interfejsie fastEthernet 0/0, czyli interfejs LAN-owy, konfiguracji adresu IP. Mamy sieć 10.0.0.0 z maską 24 bity, końcówka 1 dla routera jako gateway. Uruchamiamy interfejs, kolejnym krokiem będzie adresacja interfejsu
fastEthernet 0/1, czyli od strony serwera DHCP. Tutaj mamy sieć 20.0.0.0 z maską 24 bity. Uruchamiamy interfejs i teraz możemy przejść do konfiguracji fastEthernet 0/0. Dodatkowo potrzebujemy na tym interfejsie dodać helper. Helper, czyli przesyłanie zapytań broadcastowych, które przechodzą na ten interfejs unicastem na adres serwera DHCP, czyli 20.0.0.10. Taki adres ma serwer DHCP.

Kolejną konfigurację, którą potrzebujemy tutaj zrobić, to konfiguracja serwera DHCP. Czyli przypisujemy najpierw statyczny adres IP dla serwera, default gateway musi oczywiście też być i uruchamiamy serwis DHCP. W tym serwisie potrzebujemy stworzyć nową pulę, czyli dla naszej sieci 10.0.0.0. Tworzymy pulę, domyślny gateway 10.0.0.1. Tutaj przypisujemy adres IP z danego zakresu i uruchamiamy naszą pulę. Czyli widać, że będziemy mieli z tego zakresu IP przypisywane adresy. Zapisujemy.

Kolejną częścią konfiguracji jest konfiguracja PC. Czyli teraz będziemy przypisywać adres IP z DHCP i zobaczymy, jaki adres IP otrzymamy. 10.0.0.11 to jest adres właściwy z tej sieci przyznany przez DHCP, widzimy default gateway 10.0.0.1 i DNS 4.4.4.4. Okej. Jeżeli chodzi o drugiego PC-a w zasadzie trzeciego, czyli PC3, a wcześniej był PC2. Sprawdzimy. Dostaje adres IP również z tej samej sieci, tym razem PC3 z końcówką 12. Okej, to teraz skonfigurujmy dodatkowy serwer, czyli serwer DHCP 2. To będzie przykład serwera nieuprawnionego. Ten serwer będzie bezpośrednio podłączony do naszej sieci R2, czyli będzie miał krótszą drogę do realizacji zapytań dla lokalnych hostów. Tutaj stworzymy sobie oczywiście adres IP, dla tego serwera musi być przypisany, końcówka 150. Inny default gateway przypiszemy z końcówką 1 i DNS 4.4.4.4. Okej i to będzie pula teraz attacker. Tutaj w tej nowej puli attacker będziemy przypisywać adres gateway z końcówką 150. Czyli będziemy mogli rozpoznać, z jakiego serwera DHCP jest przyznany adres dla naszego hosta. Mamy tutaj tę pulę attacker powyżej puli serverPool, czyli będziemy tę pulę wykorzystywać. Przypomnę tutaj default gateway z końcówką 150 i podłączony bezpośrednio ten serwer drugi do sieci lokalnej. I teraz ponownie odpytamy na PC3 o serwer DHCP. Widzimy, że default gateway się zmienił na 150, czyli jest tak, że bliżej stojący serwer DHCP szybciej odpowie na zapytanie, w związku z tym host otrzymał odpowiedź o adresie IP z serwera nieautoryzowanego.

Jak się zabezpieczyć teraz przed takim scenariuszem? No więc skonfigurujmy DHCP Snooping na przełączniku pierwszym. Najpierw w globalnej konfiguracji uruchamiamy funkcjonalność IP DHCP Snooping. Następnie na interfejsie fastEthernet 0/1, to jest interfejs od strony prawidłowego serwera DHCP, na tym interfejsie skonfigurujemy IP DHCP Snooping trust, czyli, że ufamy, że zapytania, czy odpowiedzi na zapytania DHCP, które będą wracać, są zaufane, jeżeli przychodzą tym interfejsem. Dobrze i teraz sprawdźmy sobie, jaki będzie przypisany adres IP i widzimy default gateway z końcówką 1, czyli tym razem została zablokowana odpowiedź serwera nieautoryzowanego i zapytanie zdążyło wrócić z właściwą odpowiedzią, czyli default gateway 0.1. Spójrzmy, w tablicy DHCP Snoopingu co widzimy. Widzimy, że na interfejsie fastEthernet 0/1 mamy interfejs zaufany, czyli odpowiedzi z serwera DHCP będą zaufane i mamy nielimitowaną ilość zapytań. Żeby zabezpieczyć się przed takim scenariuszem, możemy sobie dokonfigurować na interfejsie 3-4: DHCP Snooping limit rate 10, czyli do 10 pakietów na sekundę będziemy zezwalać
na interfejsach 0/3 i 0/4. Teraz sprawdźmy ustawienia DHCP Snoopingu, czyli do 10 zapytań DHCP będziemy akceptować na sekundę per dany interfejs. Natomiast na interfejsie zaufanym ilość pakietów DHCP jest nielimitowana, czyli będziemy odpowiedzi mogli dawać tyle, ile serwer jest w stanie przetworzyć. I to jest wszystko, jeżeli chodzi o konfigurację DHCP. Nie jest specjalnie skomplikowana ta konfiguracja. Jeżeli masz do tego jakieś pytania, to oczywiście zapraszam do pisania w komentarzu.

Na dzisiaj to tyle, a jeżeli byś chciał zobaczyć, czy usłyszeć bardziej, więcej teoretycznej strony zachowania się DHCP Snoopingu, zagrożeń, zalet i to, w jaki sposób wykorzystać w rzeczywistym naszym świecie sieciowym tego typu funkcjonalność, to zapraszam Cię do mojego podcastu. Na dzisiaj Ci dziękuję za uwagę i do usłyszenia już za tydzień.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.