- Katılım
- 15 May 2013
- Konular
- 972
- Mesajlar
- 6,656
- Online süresi
- 2ay 11g
- Reaksiyon Skoru
- 5,350
- Altın Konu
- 314
- Başarım Puanı
- 319
- TM Yaşı
- 12 Yıl 11 Ay 13 Gün
- MmoLira
- 22,230
- DevLira
- 15
Metin2 EP, Valorant VP dahil tüm oyun ürünlerini en uygun fiyatlarla bulabilir, Item ve Karakterlerinizi hızlıca satabilirsiniz. HEMEN TIKLA!
Bu konumda siz değerli arkadaşlarıma DHCP snooping'in ne olduğunu ve ağı kötü amaçlı IP ayarlarından nasıl koruduğunu ele almaya çalışacağım. Ancak güvenlik tarafına geçmeden önce, biraz geriye dönelim ve DHCP'nin aslında ne olduğunu anladığımızdan emin olalım.
DHCP nedir?
Dizüstü bilgisayarınızı bir switch'e taktığınızda veya Wi-Fi'ye bağladığınızda, cihazınız aşağıdaki şemada gösterildiği gibi hangi IP adresini kullanacağını bilmez.
İşte burada Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) devreye giriyor ve IP adresi, Ağ Maskesi, Varsayılan Ağ Geçidi ve DNS gibi IP ayarlarını otomatik olarak sağlıyor. Nasıl çalıştığını hatırlayalım.
İşte burada Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) devreye giriyor ve IP adresi, Ağ Maskesi, Varsayılan Ağ Geçidi ve DNS gibi IP ayarlarını otomatik olarak sağlıyor. Nasıl çalıştığını hatırlayalım.
DHCP nasıl çalışır?
DHCP, cihazlara otomatik olarak IP adresleri ve ağ ayarları veren bir hizmettir. Çok basittir ve aşağıdaki şemada gösterildiği gibi hızlı dört adımlı bir işlemle çalışır.
Adım 1: Dizüstü bilgisayarınızı ağa bağladığınızda, herkese basitçe şöyle seslenir: “Hey, orada bir DHCP sunucusu var mı? Birisi bana bir IP adresi verebilir mi?” Unutmayın ki bu, yerel LAN'daki her cihaza ulaşan bir yayın mesajıdır. Dizüstü bilgisayar, LAN'da yerel bir sunucu olup olmadığını bilmez, bu yüzden mesaj göndererek öğrenir.
Adım 2: Sonunda, yerel DHCP sunucusu bu yayını duyar ve şöyle yanıt verir: “Elbette, işte kullanabileceğiniz bir IP adresi, alt ağ maskeniz, varsayılan ağ geçidiniz ve DNS sunucularınız.”
Adım 3: İstemci, sunucuya bir İstek mesajı göndererek sunulan IP ayarlarını kabul eder.
Adım 4: Son olarak, sunucu istemcinin isteğini onaylar ve cihazın çevrimiçi olduğunu ve ağda iletişim kurmaya hazır olduğunu belirtir.
İşlemin ne kadar basit ve güçlü olduğunu görebilirsiniz, ancak büyük bir sorun var. DHCP, güvenliğin öncelikli bir endişe olmadığı zamanlarda icat edildi. Bu nedenle, varsayılan olarak herhangi bir güvenlik uygulamaz. Ağdaki herkesin dost canlısı olduğunu varsayar. Ve hepimiz bunun günümüzde her zaman böyle olmadığını biliyoruz.
Neden DHCP Snooping'e ihtiyacımız var?
Şimdi aynı örneğe başka bir açıdan bakalım. Yüzlerce kişinin çalıştığı bir ofis ağını düşünün. IP adreslerini atayan resmi bir DHCP sunucusu var.
Şimdi hassas kurumsal verileri çalmak isteyen bir saldırganı düşünün. Aşağıdaki şemada gösterildiği gibi, ofis ağına bir dizüstü bilgisayar bağlıyor ve sahte bir DHCP sunucu aracı çalıştırıyor.
Bu durumda, bilgisayar korsanının DHCP aracı, istemcilerin DHCPDISCOVER mesajlarına gerçek sunucudan daha hızlı yanıt verir. Aynı zamanda, istemciler aldıkları ilk DHCPOFFER mesajını kabul ederler. Bu nedenle, yukarıdaki şemada gösterildiği gibi, istemci bilgisayar korsanından kötü amaçlı bir IP adresi, varsayılan ağ geçidi ve DNS sunucuları alır.
Bilgisayar korsanının nihai amacı, istemciye kendilerine işaret eden sahte bir ağ geçidi sağlamaktır. Örneğimizde, bilgisayar korsanı kendi IP adresi olan 10.1.1.5'i istemcinin varsayılan ağ geçidi olarak atar.
Sonuç olarak, istemci internete onlar aracılığıyla bağlanır. Aşağıdaki şemada gösterildiği gibi, tüm trafiğiniz saldırganın makinesinden geçer. Buna "ortadaki adam saldırısı" denir.
İşte bu yüzden DHCP gözetlemesine ihtiyacımız var; bu özellik, kimin IP adresleri dağıtmasına izin verildiğini ve kimin verilmediğini kontrol eder.
DHCP gözetlemesi nedir?
DHCP gözetlemesi, yetkisiz sunucuların ana bilgisayara IP ayarları sağlamasını engelleyen bir özelliktir. DHCP bir Katman 3 hizmeti olmasına rağmen, DHCP gözetlemesi Katman 2'de, yani anahtarlarda çalışır. Bunu bir örnekle anlamak daha kolaydır, bu yüzden sadece bir anahtar içeren en basit topolojiye bakalım.
PC1 ağa yeni bağlandı. Bir DHCPDISCOVER mesajı gönderiyor. Anahtar, bir DISCOVER mesajı aldığında, yayın mesajı olduğu için tüm portlarında iletiyor. Sonuç olarak, kötü amaçlı sunucu DHCPDISCOVER mesajını alıyor ve DHCPOFFER mesajıyla yanıt vererek ağ güvenliğini tehlikeye atıyor.
Şimdi, aynı örneğe bakalım, ancak anahtar DHCP Snooping yapacak şekilde yapılandırılmış olsun. Bu özellik etkinleştirildiğinde, anahtar her portu ya güvenilir ya da güvenilmez olarak ele almaya başlar:
Güvenilir portlar gerçek DHCP sunucularına veya yönlendiricilere bağlanır. Bu portlar, DHCPOFFER ve DHCPACK gibi tüm DHCP mesajlarını gönderip alabilir.
Güvenilmez portlar normal kullanıcılara veya uç cihazlara bağlanır. Sadece DHCPDISCOVER mesajlarını (IP isteyen) alabilirler. DHCPOFFER veya DHCPACK mesajlarını alamazlar.
Varsayılan olarak, ağ yöneticisi onları güvenilir olarak işaretleyene kadar tüm portlar güvenilmezdir.
Şimdi, gözetleme özelliği etkinleştirildiğinde ve meşru sunucuya giden port güvenilir olarak işaretlendiğinde örneğimizin nasıl farklılaştığına bakalım. Artık PC1 DHCPOFFER mesajını gönderdiğinde, anahtar yalnızca gerçek sunucuya bağlanan porttan gönderir. Aşağıdaki şemada gösterildiği gibi, saldırgan mesajı hiç almaz.
Saldırgan DHCPDISCOVER mesajını alsa bile, DHCPOFFER ile yanıt verdiğinde, anahtar güvenilmeyen portlarda DHCPOFFER mesajlarını kabul etmediği için mesajı düşürür.
Kısacası, DHCP snooping, güvenilir (bilinen) sunucuları bilinmeyen sunuculardan ayırır ve yalnızca güvenilir sunucuların ağ ayarlarını dağıtabilmesini sağlar.
DHCP Snooping'i Yapılandırma
Şimdi odak noktamızı yapılandırma tarafına kaydıralım. DHCP Snooping'i yapılandırmak oldukça basittir. Aşağıdaki diyagram, örnek olarak kullandığımız basit topolojide özelliği nasıl etkinleştirdiğimizi özetlemektedir.
Her bir yapılandırma adımını ayrı ayrı incelemeden önce, özelliğin varsayılan olarak global olarak devre dışı bırakılmış olduğundan emin olalım.
Unutmayın ki, varsayılan olarak her Cisco anahtarı tüm portlarda tüm DHCP mesajlarına izin verir (hiçbir güvenlik ayarı yoktur).
Adım 1. Anahtarda DHCP snooping'i etkinleştirme
Öncelikle, anahtarda DHCP snooping'i global olarak etkinleştirmemiz gerekiyor. Global yapılandırma moduna gidip şunu giriyoruz:
Her bir yapılandırma adımını ayrı ayrı incelemeden önce, özelliğin varsayılan olarak global olarak devre dışı bırakılmış olduğundan emin olalım.
Kod:
Switch# show ip dhcp snooping
Switch DHCP snooping is disabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
none
DHCP snooping is operational on following VLANs:
none
Proxy bridge is configured on following VLANs:
none
Proxy bridge is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id default format: vlan-mod-port
remote-id: aabb.cc00.9000 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------Unutmayın ki, varsayılan olarak her Cisco anahtarı tüm portlarda tüm DHCP mesajlarına izin verir (hiçbir güvenlik ayarı yoktur).
Adım 1. Anahtarda DHCP snooping'i etkinleştirme
Öncelikle, anahtarda DHCP snooping'i global olarak etkinleştirmemiz gerekiyor. Global yapılandırma moduna gidip şunu giriyoruz:
Dikkat edin, bunu yaptığınızda anahtar henüz mesajları filtrelemeye başlamaz. Hangi VLAN'ları koruyacağımızı ona söylememiz gerekiyor.
2. Adım: Belirli VLAN'lar için DHCP snooping'i etkinleştirin
Bir sonraki adım, istediğimiz belirli VLAN'lar için özelliği etkinleştirmektir. DHCP snooping, VLAN başına çalışır. Bir VLAN için etkinleştirmezseniz, o VLAN korunmaz. Örneğin, istemcilerin VLAN10'a bağlı olduğunu varsayalım, o zaman aşağıdaki yapılandırmayı yaparız:
2. Adım: Belirli VLAN'lar için DHCP snooping'i etkinleştirin
Bir sonraki adım, istediğimiz belirli VLAN'lar için özelliği etkinleştirmektir. DHCP snooping, VLAN başına çalışır. Bir VLAN için etkinleştirmezseniz, o VLAN korunmaz. Örneğin, istemcilerin VLAN10'a bağlı olduğunu varsayalım, o zaman aşağıdaki yapılandırmayı yaparız:
Şimdi switch, VLAN 10'a DHCP snooping mantığını uygulayacak. Bu noktada:
Switch, VLAN 10 içindeki güvenilmeyen portlardaki DHCP trafiğini incelemeye başlar.
Switch, DHCP snooping bağlama tablosunu (IP - MAC - port) oluşturmaya başlar.
Ancak, henüz güvenilir portları tanımlamadık. Unutmayın ki, varsayılan olarak tüm switch portları güvenilmezdir.
3. Adım. Güvenilir ve güvenilmeyen portları işaretleme
Varsayılan olarak, her port GÜVENİLMEZ'dir, yani: güvenilmeyen bir porta bağlı bir cihazın IP adresi istemesine (DHCPDISCOVER göndermesine) izin verilir, ancak sunucu olarak yanıt vermesine (DHCPOFFER veya DHCPACK göndermesine) izin verilmez. Bunlar düşürülür.
Switch'e hangi portlara güvendiğimizi söylememiz gerekiyor. Normalde bunlar, gerçek DHCP sunucusuna giden uplink'lerdir.
Basit örneğimizde, sunucu Ethernet0/0 portuna bağlıdır. Bu nedenle, aşağıdaki mavi renkteki CLI komutunu kullanarak onu güvenilir bir port olarak yapılandırıyoruz.
Artık Ethernet0/0 güvenilir olarak kabul edildi. Bu arayüzden gelen DHCPOFFER ve DHCPACK isteklerine izin veriliyor.
Switch'e hangi portlara güvendiğimizi söylememiz gerekiyor. Normalde bunlar, gerçek DHCP sunucusuna giden uplink'lerdir.
Basit örneğimizde, sunucu Ethernet0/0 portuna bağlıdır. Bu nedenle, aşağıdaki mavi renkteki CLI komutunu kullanarak onu güvenilir bir port olarak yapılandırıyoruz.
Kod:
Switch(config)# interface Ethernet0/0
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# exitArtık Ethernet0/0 güvenilir olarak kabul edildi. Bu arayüzden gelen DHCPOFFER ve DHCPACK isteklerine izin veriliyor.
DHCP snooping'i doğrulayın
Yapılandırmadan sonra her zaman doğrulama yapmalıyız. Aşağıdaki "show" komutu CCNA sınavı ve gerçek ortamlar için çok önemlidir.
Mavi renkle vurgulanan satırlara dikkat edin. Bunlar bize şunları söyleyecek:
DHCP snooping etkin mi? Evet.
Hangi VLAN'lar korunuyor? VLAN 10.
Hangi arayüzler güvenilir? Ethernet 0/0.
Kod:
Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
10
DHCP snooping is operational on following VLANs:
10
Proxy bridge is configured on following VLANs:
none
Proxy bridge is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id default format: vlan-mod-port
remote-id: aabb.cc00.1000 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
Ethernet0/0 yes yes unlimited
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
Custom circuit-ids:Mavi renkle vurgulanan satırlara dikkat edin. Bunlar bize şunları söyleyecek:
DHCP snooping etkin mi? Evet.
Hangi VLAN'lar korunuyor? VLAN 10.
Hangi arayüzler güvenilir? Ethernet 0/0.
Yaygın hatalar ve sorun giderme ipuçları
DHCP snooping önemli bir güvenlik özelliği olsa da, dikkatsizce yapılandırırsanız sizi sistemden kilitleyebilir. En yaygın hata, uplink portlarını güvenilir olarak yapılandırmayı unutmaktır. Bir VLAN'da snooping'i etkinleştirirseniz ancak gerçek DHCP sunucusuna bağlanan porta güvenmezseniz, o VLAN'daki hiç kimse IP adresi alamaz. Herkes orada sonsuza dek "yenileme" işlemi yaparak şanssız bir şekilde bekleyecektir.
Bu nedenle, etkinleştirdiğinizde üç şeyi iki kez kontrol edin:
DHCP snooping global olarak etkinleştirildi - ip dhcp snooping.
Doğru VLAN'lar dahil edildi - ip dhcp snooping vlan [vlans].
DHCP sunucusuna (veya DHCP rölesi olarak çalışan yönlendiriciye) giden uplink'ler güvenilir olarak ayarlandı.
Bu nedenle, etkinleştirdiğinizde üç şeyi iki kez kontrol edin:
DHCP snooping global olarak etkinleştirildi - ip dhcp snooping.
Doğru VLAN'lar dahil edildi - ip dhcp snooping vlan [vlans].
DHCP sunucusuna (veya DHCP rölesi olarak çalışan yönlendiriciye) giden uplink'ler güvenilir olarak ayarlandı.
Daha karmaşık bir örnek
Son olarak, temelleri anladığınızdan emin olmak için bir örnek daha görelim. Aşağıdaki ağda DHCP Snooping ile yapılandırılmış iki LAN anahtarı bulunmaktadır. Ancak, DHCP sunucusunun yerel ağda olmadığını, başka bir yerde bulunduğunu fark edin.
Bu örnek çok daha gerçekçi. Tipik olarak, DHCP sunucusu kuruluşun sunucu çiftliğinde veya bulutunda bulunur. Bu durumda, yerel yönlendirici, DHCP mesajını yerel ağdan DHCP sunucusuna ileten bir DHCP rölesi görevi görür.
DHCP Snooping açısından iki önemli noktaya dikkat edin:
Güvenilir portlar, yerel yönlendiriciye giden yukarı bağlantılardır. Diğer tüm portlar güvenilmezdir.
DHCP snooping, yalnızca LAN anahtarlarında çalışan bir katman 2 özelliğidir. Yönlendiriciler için geçerli değildir.
Bu örnek çok daha gerçekçi. Tipik olarak, DHCP sunucusu kuruluşun sunucu çiftliğinde veya bulutunda bulunur. Bu durumda, yerel yönlendirici, DHCP mesajını yerel ağdan DHCP sunucusuna ileten bir DHCP rölesi görevi görür.
DHCP Snooping açısından iki önemli noktaya dikkat edin:
Güvenilir portlar, yerel yönlendiriciye giden yukarı bağlantılardır. Diğer tüm portlar güvenilmezdir.
DHCP snooping, yalnızca LAN anahtarlarında çalışan bir katman 2 özelliğidir. Yönlendiriciler için geçerli değildir.
DHCP Snooping neden önemlidir?
DHCP snooping basit bir özelliktir, ancak önemli bir etkisi vardır. Gerçekten ihtiyaç duyana kadar neredeyse fark etmediğiniz sessiz arka plan korumalarından biridir.
Onun olmadan, tek bir yanlış yapılandırılmış cihaz veya kötü niyetli bir kişi, saniyeler içinde bir katın tüm kullanıcılarını devre dışı bırakabilir. Onunla birlikte, erişim katmanınız kontrollü ve güvenilir bir ortam haline gelir.
Ayrıca diğer güvenlik mekanizmalarının da temelini oluşturur. Dinamik ARP Denetimi (DAI) ve IP Kaynak Koruması, trafiğin meşruiyetini doğrulamak için DHCP gözetleme bağlama tablosuna dayanır. Bunu, Katman 2 güvenlik duvarınızın ilk tuğlası olarak düşünün.
Önemli Noktalar
DHCP, ağ IP ayarlarını otomatikleştirir, ancak siber saldırılara da kapı açar. Sahte bir DHCP sunucusu bağlantıyı bozabilir, trafiği ele geçirebilir veya kullanıcıları sahte hedeflere yönlendirebilir. DHCP gözetleme, ağı sahte DHCP sunucularına karşı korur.
Yalnızca güvenilir portlar (gerçek sunucularınıza giden portlar) IP adresleri dağıtabilir.
Güvenilmeyen portlar (kullanıcıların cihazlarını taktığı portlar), herhangi bir DHCP teklifi veya ACK göndermesini engeller.
Anahtar, IP-MAC eşlemelerinin bir bağlama tablosunu oluşturur ve bunu ARP denetimi gibi özellikleri desteklemek için kullanır.
Yalnızca güvenilir portlar (gerçek sunucularınıza giden portlar) IP adresleri dağıtabilir.
Güvenilmeyen portlar (kullanıcıların cihazlarını taktığı portlar), herhangi bir DHCP teklifi veya ACK göndermesini engeller.
Anahtar, IP-MAC eşlemelerinin bir bağlama tablosunu oluşturur ve bunu ARP denetimi gibi özellikleri desteklemek için kullanır.
Genel DHCP gözetleme kuralları:
Güvenilmeyen portlardan gelen ve sunucu yanıtı (DHCP TEKLİFİ, DHCP ACK) gibi görünen DHCP mesajları her zaman düşürülür.
Güvenilir portlardan gelen tüm DHCP mesajlarına izin verilir.
Bu basit kural seti, sahte DHCP sunucuları veya DHCP yetersizliği gibi saldırıları önlemeye yardımcı olur ve ağın IP atamalarını kontrol altında tutar.
Basit, etkili ve CCNA mühendisleri için mutlaka bilinmesi gereken bir özelliktir.
