Hướng dẫn cấu hình DHCP Snooping trên Cisco Switch
Bài viết này sẽ hướng dẫn bạn đọc cách cấu hình DHCP Snooping trên Cisco Switch, đây là phương pháp cài đặt không thể thiếu trên mỗi thiết bị giúp hệ thống hoạt động ổn định mà không bị trục trặc chồng chéo IP
Để hiểu được cách cấu hình DHCP Snooping cho các thiết bị cisco switch, đầu tiên chúng ta phải hiểu rõ khái niệm cũng như tính năng thực tế của thuật ngữ này trên switch.
DHCP Snooping là chế độ gì?
DHCP Snooping có thể hiểu như một tính năng tường lửa bảo bật giúp ngăn chặn các cuộc tấn công của tin tặc vào hệ thống mạng của doanh nghiệp đánh cắp các thông tin quan trọng. Các tin tặng sẽ sử dụng các cách gửi các thông tin giẩ mạo để đánh lừa switch ha máy tính nhằm chuyển tiếp dữ liệu người dùng tới Getaway giả mạo. Mục đích chính của cá hacker tấn công là trở thành man in the middle, khi mày tính gửi dử liệu đến gateway để ra mạng bên ngoài, hacker sẽ phân tích mọi thông tin dữ liệu chuyển tới vì máy tính của họ chính là cá Gateway giả mạo đó.
Với các tính năng DHCP Snooping, IP Source Guard và Dynamic được tích hợp trên cisco switch sẽ giúp bảo vệ và ngăn chặn các cuộc tấn công nay
Thông thường, một sever DHCP sẽ có nhiệm vụ cung cấp các thông tin cơ bản cho một máy tính bất kỳ hoạt động trên mạng.
Ví dụ: máy tính người sử dụng có thể nhận địa chi IP, Gateway, DNS…Nếu như hacker tạo một cuộc tấn công xây dựng một hệ thống DHCP giả mạo trong cùng mạng với mạnh máy tính đang sử dụng, khi máy tính thực hiện gửi Broadcast DHCP Request, từ đó sever dhcp gia rmaoj có thể gửi thông tin trả lời và máy tính người dùng sẽ nhận nhầm sever giả mạo làm Gateway. Lúc này, tất cả các dữ liệu gử ra mạng bên ngoài sẽ đi qua Gateway giả mạo và hacker sẽ phân tích và lấy được những dữ liệu quan trọng, điểm nguy hại ở đây đó là các dữ liệu ấy vẫn gửi ra ngoài bình thường và không có một phát hiện cảnh báo nào. Đây là một dạng tấn công có thuật ngữ man in the middle, nghĩa là kẻ tấn công sẽ thay đổi đường đi của gói lữu liệu mà người dùng không thể phát hiện.
Với DHCP Snooping, nó sẽ giúp bạn ngăn chặn các cuộc tấn công này, khi chế độ này kích hoạt các cổng trên switch sẽ phân loại thành các cổng tin cậy và không tin cậy. Các cổng tin cậy sẽ cho phép nhận DHCP Reply và được gắn với Sever DHCP còn đối với các cổng không tin cậy nó chỉ cho phép nhận DHCP Request gắn với máy tính người dùng. Khi DHCP giả gắn vào cổng không tin cậy và gửi DHCp Rely thì gói Reply này ngay lập tức sẽ bị loại bỏ. DHCP Snooping sẽ thực hiện phân tích các gói DHCP Request và Reply, xây dựng bảng cơ sở dữ liệu về địa chỉ IP được cấp, địa chỉ MAC và thông tin cổng máy tính đó trực thuộc.
Các bước cấu hình DHCP Snooping
- Kích hoạt tính năng DHCP Snopping
SW_BKAP01(config)#ip dhcp snooping SW_BKAP01(config)#ip dhcp snooping vlan 2
- Tính năng information option cho phép chuyển dữ liệu thông tin về cổng máy tính đó thuộc khi thực hiện DHCP Request, tuy nhiên tùy chọn này buộc Sever DHCP phải hỗ trơ, trường hợp không cần thiết hãy tắt tính nưng này.
SW_BKAP01(config)#no ip dhcp snooping information option
- Cho phép kiểm tra địa chỉ MAC
SW_BKAP01(config)#ip dhcp snooping verify mac-address
- Xác định cổng tin cậy ( trusted ) và không tin cậy ( untrusted )
SW_BKAP01(config)#interface gig1/0/48 SW_BKAP01(config-if)#ip dhcp snooping trust SW_BKAP01(config)#int range gig1/0/1–47,gig1/0/49-52 SW_BKAP01(config-if)#no ip dhcp snooping trust
- Tạo db lưu trữ
SW_BKAP01(config)#ip dhcp snooping database flash:snooping-db
Kiểm tra
- Sử dụng các lệnh sau để kiểm tra cấu hình
SW_BKAP01#show ip dhcp snooping SW_BKAP01#show ip dhcp snooping binding
