با سلام
اگر در یک شبکه dhcp داشته باشیم ولی یکی از clientها نرم افزاری نصب کند که در همان لحظات اولیه مک تقلبی ایجاد کرده و hp از dhcp بگیرد و scope را تمام کند که به این کار dhcp snooping گویند. برای مقابله با آن چکار می توان انجام داد؟
Printable View
با سلام
اگر در یک شبکه dhcp داشته باشیم ولی یکی از clientها نرم افزاری نصب کند که در همان لحظات اولیه مک تقلبی ایجاد کرده و hp از dhcp بگیرد و scope را تمام کند که به این کار dhcp snooping گویند. برای مقابله با آن چکار می توان انجام داد؟
port security
با Arp static هم میشه اما برای تعداد بالا خیلی کار مسخره میشه
راستی این پست رو باید در قسمت امنیت میزدید
با تشکر
از توانایی port security در سیسکو استفاده کن. با این توانایی وقتی یک کلاینت که مک ادرسش از قبل بر روی یک روتر ست شده عوض بشه پورت ایترفیس شما سریعا به چند حالا block یا shut یا یکی دیگه که یادم نیست در میاد. این port security رو معمولا توی ادرات و ... برای امنیت بیشتر به کار میبرن. علاقه داشتی بگو کانفیگاشو بهت بگم.به همراه نکات ریز کار
ببخشید تو پست قبل باید از کلمه سوییچ به کار میبردم که اشتباهی روتر گفتم. حواسم نبود
دوست عزیز اون چیزی که مد نظر شماست DHCP spoofing است که راه مقابله با اون DHCP snoopingاست .این یه ویژگی است که روی cisco switch وجود داره. د ضمن از port security معمولآ برای کاهش دادن حملات cam table overflow و mac spoofing استفاده میشه
اگه توجه کنید توی تاپیکشون گفته که از طریق عوض کردن مک این کار رو انجام میده. شما در پورت سیکیوریتی میتونید کنترل کاملی بر سوییج هاتون مخصوصا لایه ACCESS که به کاربراتون به صورت مستقیم در ارتباطه داشته باشید.تا مک ادرس های غیر مجاز نتونن به شبکه شما دسترسی پیدا کنن.
اما برای امنیت دقیق در مورد DHCP به موارد زیر توجه کن
وضعین پورتی که به DHCP SERVER متصل است باید در وضعیت TRUSTED باشد و سایر پورت ها در وضعیت UNTRSTED
با دستور زیر توانمندی dhcp snooping را روی سوییچتون فعال کنید
switch(conft): ip dhcp snooping
در صورتی که روی vlan خاصی نیاز داری این توانایی رو فعال کنی دستور زیر رو بزن-مثلا vlan 10
ip dhcp snooping vlan 10
توجه کنید پورت متصل به سرور باید دستور زیر رو توش بزنیدتا به حالا truct تعفیر حالت بده و قابلیت دریافت پیام های dhcp offer -ack-dhcp nacl رو داشته باشه
ip dhcp snooping trust
نکته مهم به دوست عزیزم: نوع دیگر حملات که بر روی دی اچ سی پی سرور صورت میگیره حملات denial-of-servise هست که حمله کننده مرتبا از سرور درخواست ای پی میکنه و سرور رو میخوابونه و در نهایت ادرس های توی dhcp pool کاهش پیدا میکنه که این مشکل فکر کنم برای دوستی که تاپیک رو زده پون هکر یا مهاجم با ارسال dhcp req های زیاد از طریق عوض کردن سریع مک ادرس و مک ادرس های جعلی این کار رو میکنه..حالا من بهتون میگم چجوری بتونید یک جوری تنظیم کنید تا پورت شما و سوییچ شما توانایی دریافت تعداد خاصی ار درخواست های dhcp که به سمت سرور ارسال میشه رو داشته باشه .
توی این حالا تعداد درخواست های که در ثانیه توسط یک پورت دریافت میشه معیین میشه
اول برید توی اینترفیس
حالا بزنید
ip dhcp snooping limit rate 2
مثلا این ایترفیس محدود به دریافت دو پیام dhcp در ثانیه هستش
خلاصه دستور زیاد داره. اینا رو یادم بود. اگه بازم مشکلی داشتی بگو من کمکت کنم. جیگرتو
[QUOTE][INDENT]دوست عزیز اون چیزی که مد نظر شماست DHCP spoofing است که راه مقابله با اون DHCP snoopingاست .این یه ویژگی است که روی cisco switch وجود داره. د ضمن از port security معمولآ برای کاهش دادن حملات cam table overflow و mac spoofing استفاده میشه[/INDENT]
[/QUOTE]
بسیار عالی . من در ابتدا حدود 6 خط توضیج دادم که در توضیحاتم این هم ذکر کردم که DHCP snooping از spoofing جلوگیری میکنه و توضیحات دیگه و بعد از زدن دگمه ارسال پاسخ مرور گر بنده هنگ کرد و دیگه حوصله بنده نکشید که از نوع بنویسم و خیلی خلاصه متد های مقابله رو گفتم .
اما جناب یزدانی در تمامی حملات فوق ( mac flooding , DHCP Spoofing , DNS spoofing , ARP spoofing ) شما mac address خودتون رو fake میکنید . و در کل port security می تونه جلوی کل این حملات رو بگیره
نتیجه گیری : هر سه ما یک چیز رو میگیم
با تشکر