Citiți acest articol vă va învăța de la conceptul de securitate DHCP și va vedea punerea în aplicare a unei demonstrații bazate pe Cisco Catalyst 2960, realizând caracteristica sa Spionajul DHCP cu funcții complementare: IP Source Guard și Dynamic inspecție ARP.
Link-uri pentru referință:
În ciuda faptului că DHCP poate parea protocol destul de simplu, există oportunități enorme ascunse, pe care sper că trebuie încă să citească. În cazul utilizării acestui protocol în rețea, în plus față de o listă impresionantă de profesioniști, veți obține doar un mare dezavantaj - dependența critică a stabilității server DHCP. Și, împreună cu aceasta, precum și necesitatea în sine obezopastit dintr-o listă mică de amenințări care ar putea întrerupe disponibilitatea serviciilor:
Pentru a preveni atacurile de mai sus Cisco Systems propune să le utilizeze sunt disponibile în funcția Cisco IOS DHCP Snooping a sistemului de operare.
Deci, avem prezența la nivel de distribuție L3-comutator (DSW0), Ascendente privind spre miezul care este unul dintre legitim noastre DHCP-server, și care daunlinki duce la switch-uri strat L2-acces (ASW0. ASW1. ASW2 ... ASWn) . În acest articol vom configura doar comutator ASW0 la care portul FastEthernet-conectat telefonul IP Cisco,-PC la portul este conectat calculatorul utilizatorului.
este evident din diagrama că pachetele sunt trimise legitime DHCP-server de clienții lor vin la comuta ASW0 pe portul GigabitEthernet 0/1 și ideea de bază este de a configura portul ca de încredere (încredere), în timp ce toate celelalte, porturile non-configurate devin automat untrusted (untrusted). Odată ce încrederea este expus și rulează Serviciul de IP DHCP Snooping în porturi nu sunt de încredere în vigoare următoarele reguli:
Jos pachet „în jos“ pentru client este vă rugăm, și să nu funcționeze incluse. Astfel, chiar dacă un atacator și poate seta un server DHCP-server de pe computer, orice pachete de la ea va fi în continuare blocate de tabloul de distribuție nostru, ca și computerul său este conectat la un port nu este de încredere.
Efectuați setarea de bază.
2.1 Definirea problemei
2.1.1 Comutator Caracteristică ASW0
- Numele produsului: Cisco Catalyst 2960
- Sistem de operare: Cisco IOS LAN Base 15.0 (1) SE
- Ascendentă la portul DHCP server: GigibitEthernet 0/1
- Porturile neacreditate: FastEthernet 0 / 1-24
Port de configurare:
Port de configurare GigibitEthernet 0/1
Indicăm încredere în porturi și a stabilit o limită de 48 de DHCP-pachete / sec