DHCP müdahalesi, DHCP isteklerine hangi anahtar portlarının yanıt verebileceğini belirleyen bir Cisco Catalyst özelliğidir. Portlar güvenilir ve güvenilir olmayan şeklinde tanımlanır. Güvenilir portlar tüm DHCP mesajlarını gönderebilirken, güvenilir olmayan portlar sadece istek gönderebilir.
Güvenilir portlar bir DHCP sunucusu barındırırlar veya DHCP sunucusuna doğru bir çıkış bağlantısı olabilirler. Güvenilir olmayan porttaki sahte bir cihaz ağa DHCP yanıt paketi göndermeye çalışırsa port kapatılır. Bu özellik, DHCP isteğinin port kimliği gibi anahtar bilgilerinin DHCP istek paketine yerleştirilebildiği DHCP seçenekleriyle bir araya getirilebilir.
Şekilde gösterildiği gibi, güvenilir olmayan portlar, açıkça güvenilir olarak yapılandırılmamış olanlardır. Güvenilir olmayan portlar için DHCP bağlama tablosu oluşturulur. Her giriş, istemciler DHCP isteğinde bulundukça kaydedilen istemci MAC adresi, IP adresi, kiralama süresi, bağlama türü, VLAN numarası ve port kimliğini içerir. Ardından tablo sonraki DHCP trafiğini filtrelemek için kullanılır. Güvenilir olmayan erişim portları, DHCP müdahalesi açısından hiçbir DHCP sunucusu yanıtı göndermemelidir.
Adım 1. ip dhcp snooping genel yapılandırma modu komutunu kullanarak DHCP müdahalesini etkinleştirin.
Adım 2. ip dhcp snooping vlannumber komutunu kullanarak belirli VLAN’ler için DHCP müdahalesini etkinleştirin.
Adım 3. ip dhcp snooping trustkomutunu kullanıp güvenilir portları belirleyerek portları arayüz seviyesinde güvenilir olarak tanımlayın.
Adım 4. (İsteğe bağlı) ip dhcp snooping limit rate rate komutunu kullanarak saldırganın güvenilir olmayan portlar aracılığıyla DHCP sunucusuna devamlı sahte DHCP isteği gönderebildiği hızı sınırlayın.
Kaynak:Cisco Networking Academy CCNA Routing&Switching 2 Eğitimi dökümanı.
Bir yanıt bırakın