مکانیزم کاری DHCP به چه صورتی است؟
هنگامی که سرور DHCP در شبکه فعال میشود بر مبنای مراحل زیر کار میکند:
- درخواست (Discover): دستگاهی که به شبکه متصل میشود و نیاز به آدرس آیپی دارد، یک درخواست دریافت آدرس برای سرور DHCP ارسال میکند.
- پیشنهاد (Offer): سرور درخواست را دریافت کرده و یک پیشنهاد شامل آدرس آیپی، مسیریابی و سایر تنظیمات شبکه را برای دستگاه ارسال میکند.
- تایید (Request): دستگاه پیامی برای سرور ارسال میکند که آماده دریافت اطلاعات است.
- تایید نهایی (Acknowledge): سرور تایید نهایی را انجام داده و تنظیمات شبکه را برای دستگاه ارسال میکند تا دستگاه بهدرستی پیکربندی شده و قادر به اتصال به شبکه شود.
DHCP Snooping چیست؟
DHCP Snooping یک فناوری امنیتی در شبکههای کامپیوتری است که برای جلوگیری از بروز حملاتی که DHCP را نشانه میروند، مورد استفاده قرار میگیرد. DHCP بهعنوان یکی از پروتکلهای پرکاربرد دنیای شبکه، مسئول تخصیص آدرس آیپی و تنظیمات شبکه به دستگاهها در یک شبکه است. هنگامی که یک کلاینت به شبکه متصل میشود و درخواست دریافت آدرس آیپی را برای سرور DHCP ارسال میکند، اطلاعات مربوطه از طریق پیامهای DHCP بین کلاینت و سرور مبادله میشوند. با این حال، برخی از بردارهای حمله میتوانند مانع از عملکرد صحیح پروتکل DHCP شوند و اطلاعات نادرستی را برای کلاینتها ارسال کنند و به آنها آدرس آیپی اشتباه یا تنظیمات غیرایمن اختصاص دهند. درست در این نقطه است که DHCP Snooping به میدان وارد میشود. DHCP Snooping فعالیتهای DHCP را در شبکه زیر نظر میگیرد و بر مبنای مکانیزمهای تعریفشده مانع از بروز حملات DHCP میشود. در این فرایند، سوئیچهای شبکه در صورتی که درخواست DHCP را دریافت کنند، اطلاعات مربوط به آن را بررسی میکنند و از صحت آنها اطمینان حاصل میکنند (شکل 1).
DHCP Snooping بر اساس اطلاعاتی که از سرور DHCP دریافت میکند، به کلاسبندی پورتهای سوئیچ میپردازد. پورتهایی که بهعنوان پورتهای مورد اعتماد تنظیم شدهاند اجازه ارسال پیامهای DHCP را دارند، در حالی که پورتهایی که بهعنوان پورتهای غیرقابل اعتماد (untrusted) تنظیم شدهاند، توانایی ارسال و دریافت پیامهای DHCP را ندارند. این مکانیزم باعث محدود کردن منابع DHCP به پورتهای قابل اعتماد شبکه میشود و مانع از بروز حملات DHCP میشود. با استفاده از DHCP Snooping، میتوان از حملاتی مانند DHCP Spoofing و DHCP Flooding جلوگیری کرده و امنیت شبکه را بهبود بخشید.
حمله DHCP Spoofing چیست؟
DHCP Spoofing یک نوع حمله سایبری است که در آن یک هکر تلاش میکند با جعل و دستکاری پروتکل DHCP، به دستگاههای کلاینت در شبکه آدرس آیپی نادرستی اختصاص دهد. این حمله بر اساس ضعفهای امنیتی در پروتکل DHCP انجام میشود.
در یک حمله DHCP Spoofing، هکر اقدام به جعل سرور DHCP میکند و پیامهای DHCP را در شبکه ارسال میکند. هکر میتواند پیامهای مربوط به فرآیندهای Discover و Offer را جعل کند یا پیام Acknowledge را تغییر دهد. این کار به او امکان میدهد تا آدرس آیپی نادرستی را به دستگاههای کلاینت ارسال کند. بعد از دریافت پیام جعلی از سوی هکر، دستگاه کلاینت ممکن است آدرس آیپی اشتباه را بپذیرد و با استفاده از آن در شبکه فعالیت کند؛ بهطوری که یک نقض امنیتی در شبکه بهوجود میآید و به هکر اجازه میدهد اطلاعات عمیقتری را جمعآوری کند، ترافیک شبکه را مانیتور کند یا حملات دیگری را انجام دهد. برای جلوگیری از بروز حملات DHCP Spoofing، میتوان از روشهای زیر استفاده کرد:
- استفاده از DHCP Snooping: فعالسازی DHCP Snooping در سوئیچها برای تایید اعتبار پیامهای DHCP و جلوگیری از دریافت پیامهای جعلی.
- استفاده از پورتهای قابل اعتماد: تنظیم پورتهای DHCP سرور بهعنوان پورتهای قابل اعتماد باعث میشود تا فقط به این پورتها اجازه ارسال پیامهای DHCP داده شود.
- استفاده از DHCPv6: استفاده از نسخه 6 پروتکل DHCP (DHCPv6) امنیت را بهشکل قابل توجهی افزایش میدهد و مشکلات امنیتی مربوط به DHCP Spoofing را کاهش میدهد.
- استفاده از شبکه مجازی خصوصی: استفاده از شبکه مجازی خصوصی برای رمزنگاری ترافیک شبکه و جلوگیری از تغییرات ناخواسته در تنظیمات شبکه.
ترکیبی از این روشها میتواند به افزایش امنیت شبکه و جلوگیری از بروز حملات DHCP Spoofing کمک کند.
حمله DHCP Flooding چیست؟
DHCP Flooding نوع دیگری از حملات سایبری است که در آن هکر سعی میکند با ارسال تعداد زیادی درخواست DHCP به سرور DHCP، منابع شبکه را بیشازحد استفاده کند و منجر به اختلال در عملکرد شبکه شود. این حمله در اصل یک حمله انکار سرویس (DoS سرنام Denial of Service) است که بر روی سرور DHCP انجام میشود.
در یک حمله DHCP Flooding، هکر درخواستهای DHCP بسیار زیادی را برای سرور DHCP ارسال میکند که این درخواستها ممکن است از درخواستهای واقعی کلاینتها قابل تشخیص نباشد و سرور DHCP به اشتباه به هر درخواست پاسخ بدهد. در چنین حالتی سرور با افزایش بیشازحد درخواستها و پاسخگویی به آنها روبهرو شده و پس از گذشت مدت زمانی از حرکت باز میایستد. این مسئله میتواند بهدلیل تمام شدن آدرسهای آیپی یا مصرف بیشازحد منابع سیستمی باشد. با ارسال تعداد زیادی درخواست DHCP، هکر میتواند منابع شبکه را بهطور کامل مصرف کند، عملکرد شبکه را بهشدت کاهش دهد، افزایش زمان پاسخگویی DHCP را بههمراه داشته باشد، عدم تخصیص آدرس آیپی به دستگاههای کلاینتی و در نهایت قطع شدن ارتباط دستگاهها با شبکه را بهوجود آورد. برای مقابله با حملات DHCP Flooding میتوان از روشهای زیر استفاده کرد:
- استفاده از تنظیمات امنیتی در سرور DHCP: تعریف تعداد درخواستهای مجاز در بازههای زمانی مشخص، مشخص کردن حداکثر درخواستهایی که کلاینتها قادر به ارسال آنها هستند و محدود کردن حداکثر درخواستها از جمله راهکارهایی است که کارشناسان شبکه در اختیار دارند.
- پیکربندی درست سوئیچها: تنظیم سوئیچها برای تشخیص و پویش درخواستهای DHCP نامعتبر و جلوگیری از ارسال آنها به سرور DHCP.
- استفاده از فایروال: استفاده از فایروال برای شناسایی و مسدود کردن ترافیک DHCP غیرمعتبر از طریق تنظیمات مربوطه.
قابلیت DHCP-Snooping در سوئیچهای سیسکو
قابلیت DHCP Snooping یک ویژگی امنیتی است که در سوئیچهای شرکت سیسکو وجود دارد. این ویژگی به سوئیچها اجازه میدهد تا درخواستها و پاسخهای DHCP را بررسی کرده و از دریافت و ارسال درخواستها و پاسخهای جعلی جلوگیری کنند. این قابلیت با هدف مقابله با حملات DHCP Spoofing و بهبود امنیت شبکه تعریف شده است. وقتی قابلیت DHCP Snooping در سوئیچ فعال میشود، سوئیچ بهعنوان یک مشاهدهگر (Watcher) عمل میکند و پیامهای DHCP را در شبکه بررسی میکند. سوئیچی که DHCP Snooping روی آن فعال است، اطلاعات مربوط به آدرس آیپی دریافتشده از سرور DHCP را در یک دیتابیس محلی نگهداری میکند. در ادامه، سوئیچ هر درخواست DHCP را با اطلاعات موجود در دیتابیس مقایسه میکند تا اطمینان حاصل کند که آدرس آیپی دریافتی صحیح است. DHCP Snooping در سوئیچهای سیسکو تنظیمات مختلفی در اختیار کارشناسان شبکه قرار میدهد تا قابلیت کنترل و نظارت بر ترافیک DHCP را داشته باشند. برخی از قابلیتها و تنظیمات مرتبط با DHCP Snooping بهشرح زیر هستند:
- Trust Interface: میتوانید پورتهای موردتایید (trusted) را تعیین کنید که از آنها درخواستهای DHCP ارسال شود. در این حالت، سوئیچ به این پورتها اعتماد کامل دارد.
- DHCP Snooping Database: سوئیچ یک دیتابیس محلی ایجاد میکند که شامل اطلاعات آدرس آیپی دریافتی است. این دیتابیس برای مقایسه درخواستهای DHCP جدید با اطلاعات ذخیرهشده استفاده میشود.
- DHCP Snooping Binding Table: جدول Binding در سوئیچ شامل اطلاعاتی است که DHCP Snooping جمعآوری میکند، از جمله آدرس آیپی دستگاههای کلاینت و پورتهایی که آدرس آیپی به آنها اختصاص داده شده است.
- DHCP Snooping ACLs: سوئیچ اجازه میدهد تا فهرست کنترل دسترسی (ACL سرنام Access Control List) را برای تعیین قوانین دسترسی به درخواستها و پاسخهای DHCP تعریف کنید. این قوانین میتوانند بر اساس منابع مختلفی مانند آدرس آیپی سرور DHCP یا مک آدرس دستگاههای کلاینت تنظیم شوند.
چگونه میتوانیم DHCP Snooping را در شبکه فعال کنیم؟
برای فعالسازی DHCP Snooping در شبکهتان، نیازمند سوئیچی هستید که ویژگی فوق را داشته باشد. در این بخش فرض ما بر این است که یک سوئیچ سیسکو در شبکه خود دارید که این قابلیت را پشتیبانی کنند. مراحل اصلی فعالسازی DHCP Snooping در شبکه سیسکو بهشرح زیر است:
1. اعمال DHCP Snooping بر روی VLANها: ابتدا، DHCP Snooping را بر روی VLANهای مورد نظر خود فعال کنید. برای این کار، از حالت تنظیمات VLAN خارج شده و وارد حالت تنظیمات سوئیچ شوید. سپس با استفاده از دستور زیر، DHCP Snooping را بر روی هر VLAN فعال کنید:
Switch(config)# ip dhcp snooping vlan <vlan-id>
2. تعیین پورتهای قابل اعتماد: برای پورتهایی که بهعنوان پورتهای قابل اعتماد قصد پیکربندی آنها را دارید از دستور زیر استفاده کنید:
Switch(config)# interface <interface-id>
Switch(config-if)# ip dhcp snooping trust
3. ذخیرهسازی دادهها در دیتابیس DHCP Snooping: برای ذخیرهسازی اطلاعات DHCP Snooping در دیتابیس محلی سوئیچ از دستور زیر استفاده کنید:
Switch(config)# ip dhcp snooping database <filename>
در این دستور، <filename> نام فایلی است که میخواهید دیتابیس را در آن ذخیره کنید.
4. فعالسازی DHCP Snooping: برای فعالسازی تمامی قوانین و تنظیمات DHCP Snooping در سوئیچ از دستور زیر استفاده کنید:
Switch(config)# ip dhcp snooping
5. بررسی و تایید تنظیمات DHCP Snooping: اکنون میتوانید تنظیمات DHCP Snooping را بررسی کنید. از دستور زیر برای نمایش تنظیمات فعلی استفاده کنید:
Switch# show ip dhcp snooping
این دستور اطلاعاتی مانند VLANهای فعال، پورتهای قابل اعتماد و نام فایل دیتابیس را نشان میدهد.
با اعمال مراحل فوق، DHCP Snooping در سوئیچهای سیسکو شما فعال خواهد شد و امنیت شبکه را در برابر حملات DHCP Spoofing و DHCP Flooding افزایش خواهد داد. لازم به ذکر است که برای هر تغییر در تنظیمات DHCP Snooping، تغییرات را در سوئیچ ذخیره کنید تا پس از راهاندازی مجدد سوئیچ تنظیمات جدید اعمال شوند.
چگونه میتوانیم تنظیمات DHCP Snooping را در سوئیچهای سیسکو بررسی کنیم؟
برای بررسی تنظیمات DHCP Snooping در سوئیچهای سیسکو، میتوانید از دستوراتی مثل show، binding و غیره استفاده کنید. برخی از دستورات مهم تنظیمات DHCP Snooping بهشرح زیر هستند:
1. بررسی وضعیت کلی DHCP Snooping:
Switch# show ip dhcp snooping
این دستور اطلاعاتی مانند وضعیت کلی DHCP Snooping، تعداد VLANهای فعال، تعداد پورتهای قابل اعتماد و نام فایل دیتابیس را نشان میدهد.
2. بررسی جدول Binding:
Switch# show ip dhcp snooping binding
این دستور، جدول Binding را نمایش میدهد که اطلاعاتی مانند آدرس آیپی دستگاههای کلاینت و پورتهایی را که آدرس آیپی به آنها اختصاص داده شده است شامل میشود.
3. بررسی جزئیات DHCP Snooping بر روی هر VLAN:
Switch# show ip dhcp snooping vlan <vlan-id>
در این دستور، <vlan-id> باید شماره VLAN مورد نظر شما باشد. این دستور جزئیات مربوط به تنظیمات DHCP Snooping روی VLAN خاص را نمایش میدهد، از جمله وضعیت فعال بودن، تعداد پورتهایی که قابل اعتماد مشخص شدهاند و تعداد پیامهای دریافتی و ارسالی.
4. بررسی لاگ DHCP Snooping:
Switch# show ip dhcp snooping log
این دستور لاگهای مربوط به DHCP Snooping را نمایش میدهد که شامل اطلاعاتی مانند اعلانها، اخطارها و رویدادهای مرتبط با DHCP Snooping است.
از این دستورات میتوانید برای بررسی و ارزیابی تنظیمات و وضعیت DHCP Snooping در سوئیچهای سیسکو استفاده کنید. با اجرای این دستورات، میتوانید اطلاعات مربوط به جداول، لاگها و تنظیمات را بررسی کرده و مطمئن شوید که DHCP Snooping بهدرستی پیکربندی شده است.
چگونه میتوانیم تنظیمات DHCP Snooping را در یک VLAN خاص تغییر دهیم؟
برای تغییر تنظیمات DHCP Snooping در یک VLAN خاص در سوئیچ سیسکو، دستورات خوبی در اختیارمان قرار دارد. برخی از دستورات مهم در این زمینه بهشرح زیر هستند:
1. ورود به حالت تنظیمات VLAN:
Switch#configure terminal
Switch(config)# vlan <vlan-id>
در این دستور، <vlan-id> باید شماره VLAN مورد نظر شما باشد.
2. فعال یا غیرفعال کردن DHCP Snooping:
Switch(config-vlan)# ip dhcp snooping
این دستور، DHCP Snooping را در VLAN مشخصشده فعال میکند. برای غیرفعال کردن DHCP Snooping، از دستور no ip dhcp snooping استفاده کنید.
3. تنظیم پورتهای قابل اعتماد:
Switch(config-vlan)# interface <interface-id>
Switch(config-if)# ip dhcp snooping trust
در این دستور، <interface-id> باید شماره پورت مورد نظر شما باشد. با استفاده از این دستور، میتوانید پورتهایی را که بهعنوان پورتهای قابل اعتماد در نظر دارید پیکربندی کنید تا درخواستها از سوی آنها برای سرور ارسال شود.
4. تنظیمات دیگر DHCP Snooping:
میتوانید سایر تنظیمات DHCP Snooping را نیز در VLAN خاص تغییر دهید، مانند تنظیمات Rate Limiting برای پیامهای DHCP. برای این کار، از دستور زیر استفاده کنید.
Switch(config-vlan)# ip dhcp snooping limit rate <rate>
در این دستور، <rate> نشاندهنده محدودیت نرخ برای پیامهای DHCP است.
5. کپی کردن پیکربندی در حال اجرا به startup configuration:
Switch(config-vlan)# end
Switch# copy running-config startup-config
این دستورات تغییرات انجامشده را در تنظیمات پیکربندی دائمی سوئیچ ذخیره میکنند.
چگونه میتوانیم تنظیمات پورتهای مورد اعتماد را در DHCP Snooping تغییر دهیم؟
برای تغییر تنظیمات پورتهای قابل اعتماد در DHCP Snooping باید به حالت پیکربندی تنظیمات رابط (Interface Configuration) بروید و دستورات مربوطه را اعمال کنید. فرآیند انجام اینکار بهشرح زیر است:
1. ورود به حالت تنظیمات رابط:
Switch# configure terminal
Switch(config)# interface <interface-id>
در این دستور، <interface-id> باید شماره پورت مورد نظر شما باشد.
2. تنظیم پورت بهعنوان پورت قابل اعتماد:
Switch(config-if)# ip dhcp snooping trust
این دستور پورت مورد نظر را بهعنوان پورت قابل اعتماد تنظیم میکند. در این حالت، DHCP Snooping بر روی این پورت عملیات خود را انجام میدهد و به همه پیامهای DHCP آن اعتماد میکند.
3. غیرفعال کردن پورت مورد تایید:
Switch(config-if)# no ip dhcp snooping trust
اگر بخواهید پورت را از لیست پورتهای قابل اعتماد حذف کنید باید از دستور بالا استفاده کنید.
4. کپی کردن پیکربندی در حال اجرا به startup configuration:
Switch(config-if)# end
Switch# copy running-config startup-config
این دستورات تغییرات انجامشده را در تنظیمات پیکربندی دائمی سوئیچ ذخیره میکنند.
آیا DHCP Snooping تنها برای جلوگیری از حملات DHCP استفاده میشود؟
DHCP Snooping علاوه بر جلوگیری از بروز حملات DHCP، یک مکانیزم امنیتی است که برای بهبود امنیت شبکه استفاده میشود و به وسیله آن میتوانید از برخی تهدیدات دیگر نیز محافظت کنید. برخی از کاربردهای دیگر DHCP Snooping بهشرح زیر هستند:
1. جلوگیری از ARP Spoofing: با استفاده از DHCP Snooping میتوانید مانع بروز حملات ARP Spoofing شوید. ARP Spoofing یک حمله شبکه است که در آن حملهکننده با جعل پیامهای ARP برای دستگاههای دیگر، اطلاعات شبکه را تغییر میدهد و ارسال ترافیک شبکه را تحت کنترل خود قرار میدهد. با فعال کردن DHCP Snooping، پیامهای ARP مرتبط با DHCP بهعنوان پیامهای معتبر تشخیص داده میشوند و کاربر متوجه جعلی بودن پیامها نخواهد بود.
2. کنترل دسترسی به شبکه: با استفاده از DHCP Snooping میتوانید کنترل دقیقتری بر روی دسترسی به شبکه داشته باشید. میتوانید سیاستهای دسترسی به شبکه را بر اساس اطلاعات DHCP در پورتها تنظیم کنید. بهعنوان مثال، میتوانید تنظیم کنید که فقط دستگاههایی که از طریق DHCP آدرس آیپی دریافت کردهاند، به شبکه دسترسی داشته باشند و دستگاههایی که بهطور دستی تنظیم شدهاند و از DHCP استفاده نکردهاند قادر به دسترسی به شبکه نباشند.
3. افزایش امنیت شبکه: با فعال کردن DHCP Snooping مانع از بروز حملاتی مثل DHCP Spoofing و DHCP Starvation میشوید که اختلال در شبکه و سرقت اطلاعات را بههمراه دارند. علاوه بر این، DHCP Snooping بهعنوان یک ابزار مانیتورینگ و شناسایی ترافیک شبکه نیز مورد استفاده قرار میگیرد.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟