Urządzenia cisco według mnie są strasznie nie doceniane oraz nie wykorzystywane w 100%. Często bywa że sprzęt jest kupowany za xxx tysiące złotych a i tak wykorzystywany jako zwykłe urządzenie z tańszej pułki. A przecież Cisco daje nam wspaniałe możliwości takie jak ochrona nas przed nie pożądanymi niespodziankami. Taka niespodzianką która może nas spotkać jest chociażby pojawienie się w naszej sieci obcego dhcp. Nie ważne jak czy to będzie wirus czy jakiś użytkownik który się bawił w domu komputerem z dhcp a nawet jakis administrator który postawił sobie testowo serwer z dhcp , a my administratorzy sieci jesteśmy zobligowani aby takie rzeczy się nie działy szczególnie jeśli mamy takie wspaniałe urządzenia jak Cisco :).
A wiec po kolej najpierw włączamy filtrowanie
Config)# ip dhcp snooping – to pierwsza komenda włączającą opcje filtracji reqestów dhcp na switchu
Później nową komenda musimy wpisać jakie vlany będą filtrowane
Config)# ip dhcp snooping vlan xx
Następnie bardzo ciekawa komenda !!! która wpisuje się jeśli używamy dhcp relay-agent komenda ta informuje switch żeby nie szukał w reqestach dhcp opcji 82 która służy do zaimplementowania pewnych reguł bezpieczeństwa przy przydzielaniu adresów ip oraz o dodaniu przez dhcp relay –agent informacji.
Config)# no ip dhcp snooping information option
Oczywiście możemy ustawić także opcje aby switch sam doklejał tą opcje
Config)# ip dhcp snooping information option
Gdzieś także wyczytałem że jeśli mamy na switchu ustawiony interfejs bramy dla danego vlana i na niej ip helper-address powinniśmy także dodać na tym interfejsie komendę:
Config-if)# ip helper-address 10.128.0.11
Config-if)# ip dhcp relay information trusted
Nie zapomnij także ustawić na tych portach gdzie są serwery dhcp komendę
Config-if)# ip dhcp snooping trust
Pamiętajmy tylko że w tym przypadku jeśli dajemy ta komendę na interfejsie trunkowym do innych switchy i tam też nie zrobimy ip dhcp snooping to z stamtąd mogą przyjść fałszywe reqesty dhcp. A wiec jak robimy ip dhcp snooping na jednym switchu powinnyśmy także zrobić to na innych podłączonych fizycznie do siebie nawzajem.
A także aby jakiś nie dobry host nagle nie zaspamował nas reqestami dhcp I nie zużył nam całej puli adresów. Ja używam standardowo wartości 5 ustawione na interfejsach do hostów i działa . Opcje te możemy ustawić także na interfejsie z dhcp ale ustawmy większy parametr( parametr określa nam ile reqestów na sekunde może przejść przez ten port).
Config-if)# ip dhcp snooping limit rate
Dzieki wpisaniu tych wszystkich komend powinno nam się pojawic po wpisaniu komendy
Switch# show ip dhcp snooping binding
MacAddress IP Address Lease (seconds) Type VLAN Interface
----------- ----------- ---------------- ----- ----- ------------
0000.0100.0201 10.0.0.1 1600 dynamic 100 FastEthernet2/1
Informacjie o tym jakie adresy mac dostały jaki adres ip mimo tego że dhcp nie jest ani na switchu ani na innym urządzeniu Cisco . Switch sam zbiera te informacje po pakietach które dostają się na portach z włączoną opcja ip dhcp snooping trust
Dzieki temu możemy wdrożyć
Conf)# ip arp inspection vlan xxx
Wtedy mac adressy bedą sprawdzane z adresami bindowanymi przez serwer dhcp
No i proszę właśnie zabezpieczyliśmy się przed następnym problemem który mógłby w najlepszym przypadku tylko zablokować cała naszą sieć w najgorszym umożliwić komuś podszycie się pod fałszywy dhcp i szpiegować nasza sieć. A zajęło nam to tylko 5 minut !!!
Co więcej dzięki temu możemy wdrożyć w naszą sieci ip arp inspection ale to opisze później
Wszystko ładnie jest opisane w linku:
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/13ew/configuration/guide/dhcp.html
http://www.thebryantadvantage.com/BCMSNCiscoCCNPExamTutorialDHCPSnooping.htm
Ekspansja mewy białogłowej na Pojezierzu Wielkopolskim 2020-2023
2 miesiące temu
Fajnie opisane :)
OdpowiedzUsuńJa ze swoje strony dodam, że komenda "ip dhcp relay information trust-all" globalnie lub "ip dhcp relay information trusted" per-interface akceptuje pakiety z ustawioną opcją 82 ale bez ustawionego parametru giaddr. Tak się dzieje, gdy pomiędzy naszym switchem/routerem a klientem już znajduję się jakiś switch skonfigurowany do wstawiania opcji 82 (giaddr jest ustawiony na zero jeśli klient jest w tej samej sieci IP).
Pozdrawiam
Tu jest link:
"http://www.ciscosystems.com/en/US/docs/ios/12_4t/ip_addr/configuration/guide/htdhcpre.html"
thx :) za uzupełnienie :)
OdpowiedzUsuń