دسته‌بندی نشده

پروتکل DHCP Snooping

ارسال توسط author-avatar
در تاریخ مرداد 7, 1404
0 دیدگاه

در شبکه‌های مدرن، امنیت یکی از مهم‌ترین فاکتورها محسوب می‌شود. یکی از نقاط ضعف معمول در شبکه‌های مبتنی بر IP، حملاتی است که از طریق پروتکل DHCP صورت می‌گیرند. مهاجمین می‌توانند با استفاده از یک DHCP Server جعلی (Fake)، کنترل آدرس‌دهی IP در شبکه را در دست بگیرند. به‌منظور جلوگیری از چنین حملاتی، ویژگی‌ای به‌نام DHCP Snooping در سوئیچ‌های مدیریت‌پذیر ارائه شده است که به‌طور خاص برای افزایش امنیت پروتکل DHCP طراحی شده است.

## پروتکل DHCP چیست؟

DHCP یا Dynamic Host Configuration Protocol پروتکلی است که به‌صورت خودکار اطلاعات پیکربندی IP را به کلاینت‌ها اختصاص می‌دهد. این اطلاعات می‌تواند شامل موارد زیر باشد:

آدرس IP Subnet Mask
 Default Gateway DNS Server

DHCP در شبکه باعث کاهش بار مدیریتی می‌شود و استفاده از آن در شبکه‌های بزرگ بسیار رایج است.

## مشکل کجاست؟ حمله Rogue DHCP

در شبکه‌ای که DHCP بدون مراقبت امنیتی اجرا می‌شود، مهاجم می‌تواند با راه‌اندازی یک DHCP Server جعلی، به کاربران شبکه آدرس IP، Default Gateway و DNS اشتباه بدهد. نتیجه این کار می‌تواند موارد زیر باشد:

قطع ارتباط کاربران با اینترنت شنود ترافیک کاربران (Man-in-the-Middle Attack)
 هدایت ترافیک به سرورهای مخرب

## DHCP Snooping چیست؟
*DHCP Snooping یک مکانیزم امنیتی در سطح سوئیچ است که برای مقابله با DHCP Serverهای جعلی طراحی شده است. این ویژگی توسط بسیاری از برندهای سوئیچ (مانند Cisco، HP، Mikrotik، Juniper) پشتیبانی می‌شود.

DHCP Snooping ترافیک DHCP را تحلیل و مدیریت می‌کند و تنها به DHCP Serverهای قابل اعتماد اجازه می‌دهد تا به کلاینت‌ها آدرس IP اختصاص دهند.

## نحوه عملکرد DHCP Snooping

در DHCP Snooping، پورت‌های سوئیچ به دو دسته تقسیم می‌شوند:

1. Trusted Ports (پورت‌های قابل اعتماد):
ترافیک DHCP Server از این پورت‌ها عبور می‌کند. معمولاً پورت‌هایی هستند که به DHCP Server واقعی وصل شده‌اند.

2. Untrusted Ports (پورت‌های غیرقابل اعتماد):
به کلاینت‌ها متصل‌اند. اگر از این پورت‌ها ترافیک سرور DHCP مشاهده شود، به عنوان تهدید در نظر گرفته می‌شود و بسته‌ها حذف می‌شوند.

سوئیچ تمام پیام‌های DHCP را در سطح دوم (Layer 2) بررسی می‌کند. در صورتی که یک پیام DHCP Offer از یک پورت غیرمجاز ارسال شود، آن پیام را بلاک می‌کند.

## جدول DHCP Snooping Binding

یکی از ویژگی‌های مهم DHCP Snooping، ایجاد DHCP Snooping Binding Table است. این جدول شامل اطلاعاتی از هر کلاینت DHCP است:

آدرس MAC آدرس IP اختصاص یافته
 VLAN پورت سوئیچ
 Lease Time
این جدول در بسیاری از ویژگی‌های امنیتی دیگر مثل *IP Source Guard و Dynamic ARP Inspection (DAI) نیز استفاده می‌شود.

## مراحل عملکرد DHCP Snooping

1. DHCP Snooping روی سوئیچ فعال می‌شود.
2. پورت‌ها به trusted یا untrusted تقسیم می‌شوند.
3. زمانی که کلاینت از پورت untrusted درخواست DHCP می‌دهد، سوئیچ درخواست را به trusted port منتقل می‌کند.
4. پاسخ سرور DHCP از trusted port عبور کرده و به کلاینت برمی‌گردد.
5. سوئیچ اطلاعات مربوط به IP، MAC، پورت و VLAN را در جدول binding ثبت می‌کند.
6. اگر کلاینت یا مهاجم سعی کند از پورت غیرقابل اعتماد نقش DHCP Server را ایفا کند، بسته‌ها بلاک می‌شوند.

## چرا DHCP Snooping مهم است؟

مزایای این ویژگی عبارت‌اند از:

جلوگیری از حملات Man-in-the-Middle جلوگیری از تخصیص آدرس اشتباه به کاربران
 جلوگیری از تداخل در آدرس‌دهی خودکار ایجاد پایه‌ای برای سایر ویژگی‌های امنیتی در سوئیچ‌ها

## تنظیمات نمونه در Cisco Switch

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# interface FastEthernet0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config)# interface range FastEthernet0/2 - 24
Switch(config-if-range)# ip dhcp snooping limit rate 15


در این مثال:

DHCP Snooping برای VLAN 10 فعال شده است. پورت FA0/1 به عنوان trusted تعریف شده است.
 سایر پورت‌ها با نرخ محدود 15 درخواست در ثانیه تعریف شده‌اند تا از حملات DoS جلوگیری شود.

## ارتباط DHCP Snooping با سایر ویژگی‌های امنیتی
DHCP Snooping یک پایه برای فعال‌سازی سایر مکانیسم‌های امنیتی است:
### 1. *IP Source Guard*
با استفاده از جدول DHCP Snooping،

فقط آدرس‌های IP تایید شده می‌توانند از یک پورت ارسال شوند.
### 2. *Dynamic ARP Inspection (DAI)

از آدرس‌های MAC و IP ثبت شده در جدول Snooping استفاده می‌شود تا از حملات ARP Spoofing جلوگیری شود.

## محدودیت‌ها و نکات امنیتی

DHCP Snooping فقط در شبکه‌های Ethernet لایه دوم (L2) کارایی دارد. اگر جدول Binding بعد از ریبوت پاک شود، توصیه می‌شود از دستور `write memory` یا ذخیره در فایل استفاده شود.
 در برخی موارد باید DHCP Option 82 را نیز فعال کرد که سوئیچ به پیام DHCP اطلاعات بیشتری اضافه می‌کند.

## سناریوی حمله بدون DHCP Snooping
فرض کنید مهاجمی به یکی از پورت‌های سوئیچ متصل شده و نرم‌افزار DHCP Server نصب کرده است. به‌دلیل نبود کنترل، این مهاجم می‌تواند به کاربران آدرس IP بدهد و Gateway را به IP خود تنظیم کند. در این حالت تمامی ترافیک کاربران از طریق سیستم مهاجم عبور خواهد کرد، که زمینه را برای سرقت اطلاعات، شنود، یا تزریق داده مخرب فراهم می‌کند.

## نتیجه‌گیری
ویژگی DHCP Snooping ابزاری حیاتی در امنیت شبکه‌های مبتنی بر DHCP است. این ویژگی با فیلتر کردن پیام‌های DHCP در سطح لایه ۲، از حضور DHCP Serverهای غیرمجاز جلوگیری کرده و با ایجاد جدول Binding، بستری برای ویژگی‌های امنیتی پیشرفته‌تر فراهم می‌سازد.
فعال‌سازی این قابلیت در شبکه‌های سازمانی و حساس به‌شدت توصیه می‌شود تا خطر حملاتی مانند DHCP Spoofing، ARP Poisoning و IP Spoofing به حداقل برسد.

جدیدتر پهنای باند در سوییچ شبکه چیست ؟
بازگشت به لیست
قدیمی تر Port Mirroring چیست؟