Mơ tả DHCP snooping

II. Bảo vệ chống Spoof các cuộc tấn cơng

1.5 Mơ tả DHCP snooping

 Chủ đề này mơ tả làm thế nào các tính năng DHCP snooping cung cấp bảo mật bằng cách lọc các thơng điệp tin cậy DHCP và sau đó sử dụng lá thư này để xây đựng và duy trì mợt bảng DHCP snooping ràng buợc.

 DHCP snooping là mợt Catalyst Cisco tính năng xác định các tởng chuyển đởi có thể đáp ứng yêu cầu DHCP. Cởng được xác định là đáng tin cậy, khơng tin cậy. Cởng tin cậy có thể nguờn tất cả các thơng điệp DHCP, trong khi các cởng khơng tin cậy có thể chỉ có yêu cầu nguồn. Cởng tin cậy lưu trữ mợt máy chủ DHCP hoặc có thể làm mợt đường lên về phía máy chủ DHCP. Nếu mợt thiết bị lừa đảo trên mợt cởng khơng tin cậy cớ gắng để gửi mợt gói tin trả lời DHCP

Đề tài: tìm hiểu cách phòng chống các cuốc tấn cơng layer2 trên switch/ cisco 38

 Vào mạng , cởng được đóng cửa. Tính năng này có thể được kết hợp với DHCP option 82, trong đó chuyển đởi thơng tin, chẳn hạn như ID cởng của yêu cầu DHCP, có thể đưa các gói tin yêu cầu DHCP.

 Cởng khơng tin cậy là những người mà khơng phải cấu hình mợt cách rõ ràng là đáng tin cậy. Mợt bảng DHCP ràng buợc được xây dựng cho các cởng khơng tin cậy. Mỡi mục chứa các khách hàng địa chỉ MAC, địa chỉ IP, thời gian thuê, loại ràng buợc, sớ VLAN, và ID cổng ghi nhận là khách hàng làm cho DHCP yêu cầu. Bảng này sau đó được sử dụng để lọc lưu lượng truy cập tiếp theo DHCP. Từ mợt quan điển DHCP snooping, cởng truy cập khơng đáng tin cậy khơng nên gửi bất kỳ phản ứng máy chủ DHCP, chẳng hạn như DHCPOFFER, DHCPACK, các DHCPNAK.

Trình tự cấu hình Mơ tả

1. Cấu hình DHCP snooping toàn cầu.

2. Cấu hình cởng đáng tin cậy.

3. Cấu hình off tùy chọn chèn 82(mặc

định kích hoạt bởi bước 2).

4. Cấu hình giới hạn tớc đợ trên cởng

khơng tin cậy.

5. Cấu hình DHCP snooping cho VLAN

Đề tài: tìm hiểu cách phòng chống các cuốc tấn cơng layer2 trên switch/ cisco 39

1.6 Các bƣớc bật DHCP snooping, và bình luận

bước Bình luận

1.kích hoạt tính năng DHCP snooping

toàn cầu.

Switch(config)# ip dhcp snooping

Theo mặc định tính năng khơng được

kích hoạt

2.kích hoạt tính năng DHCP option 82. Switch(config)#

Ip dhcp snooping information option

Điều này là tùy chọn cho việc chuyển tiếp DHCP yêu cầu gói tin chứa thơng tin trên cởng chuyển đởi nguờn gốc.

3.cấu hình giao diện máy chủ DHCP

hoặc các cởng uplink là đáng tin cậy.

Switch(config-if)# ip dhcp snooping trust

Ít nhất là mợt cổng tin cậy được cấu hình. Sử dụng các từ khóa khơng đến hoàn nguyên để đáng tin cậy. Theo mặc định các cởng khơng tin cậy.

4.cấu hình DHCP gói tin mỡi giây mà

được chấp nhận trên cởng.

Switch(config-if)#

ip dhcp snooping limit rate rate

Cấu hình sớ pps DHCP mợt giao diện có thể nhận được. Thơng thường, giới hạn tỷ lệ áp dụng cho giao diện khơng đáng tin cậy. Điều này được sử dụng đêr ngăn chặn các cuợc tấn cơng đói DHCP bằng cách hạn chế tỉ lệ của các yêu cầu DHCP trên các cởng khơng tin cậy.

5.kích hoạt tính năng DHCP snooping

trên VLAN cụ thể

Switch(config)#

ip dhcp snooping vlan number [number]

Điều này là cần thiết xác định những VLAN sẽ là đới tượng để DHCP snooping.

Đề tài: tìm hiểu cách phòng chống các cuốc tấn cơng layer2 trên switch/ cisco 40