Extreme EXOS DHCP Snooping Ayarları
Merhabalar,
Bu yazımızda Extreme EXOS switchlerde DHCP snooping ayarlarının nasıl yapılacağı anlatılacaktır.
Öncelikle DHCP Snooping ayarları, ağda sahte DHCP sunucusu(Rogue DHCP) kuran ve çalıştıran kötü niyetli kişilerin, aynı ağda DHCP isteğinde bulunan istemci cihazlara DHCP cevabı verip MITM (Man-in-the-Middle) saldırıları yapmasını engellemek için yapılır. DHCP Snooping özelliği sayesinde sadece güvenilir DHCP sunucularından IP adresleri kiralamasına izin vererek ağ güvenliğini artırır. Ayrıca, ağda yetkisiz bir DHCP sunucusunun varlığı ile ilgili log kaydı da oluşturulur.
Extreme EXOS switchlerde DHCP snooping ayarları aşağıdaki gibidir:
- DHCP sunucusu için güvenilir Port veya sunucu ayarlayın.
configure trusted-port <PORT#> trust-for dhcp-server
configure trusted-servers vlan <VLAN NAME> add server <DHCP SERVER IP> trust-for dhcp-server
İstenilen VLAN’da bulunan portlarda DHCP snooping özelliği aktif edilir.
enable ip-security dhcp-snooping vlan <VLAN NAME> ports [ALL | <PORT-LIST>] violation-action drop-packet [block-mac | block-port | snmp-trap] [duration <duration_in_seconds> | permantently]
Burada “violation-action drop-packet” ve “duration <> | permanently” komutları ile;
block-macile o mac adresinden gelen tüm paketler drop edilir.block-portile o port bloklanır.- duration komutu ile bloklama süresi verilir, eğer permanently parametresi verilirse süresiz olarak işlem yapılır.
Konfigürasyonlar aşağıdaki komut kullanılarak doğrulanabilir:
# show ip-security dhcp-snooping vlan <vlan-name>
DHCP Snooping enabled on ports: 39, 40, 41, 42
Trusted Ports: 30
Trusted DHCP Servers: 70.0.0.2
Bindings Restoration : Enabled
Bindings Filename : bindings-db.xsf
Bindings File Location : 10
Primary Server : 192.168.0.12, VR-Mgmt, TFTP
Secondary Server: None
Bindings Write Interval : 5 minutes
------------------------------------
Port Violation-action
------------------------------------
39 drop-packet, snmp-trap
40 drop-packet, block-mac permanently
41 drop-packet, snmp-trap
42 drop-packetEğer bir ihlal olursa bu işlem loglanır ve aşağıdaki gibi bir kayıt oluşturulur.
[date time] <Warn:ipSecur.dhcpViol> A Rogue DHCP server on VLAN <vlan-name> with IP <ip-address> was detected on port <client-port> [date time] <Warn:ipSecur.drpPkt> DHCP violation occurred on port <client-port> Packet was dropped.
Eğer daha detaylı inceleme inceleme yapmak istenirse aşağıdaki komut kullanılır:
# show ip-security dhcp-snooping violations vlan <vlan-name> ------------------------------------ Port Violating MAC ------------------------------------ 39 00:50:56:2b:98:e0
DHCP Bindings veritabanındaki aktif kayıtlar, aşağıdaki komut kullanılarak görüntülenebilir:
# show ip-security dhcp-snooping entries vlan <vlan-name> ------------------------------------------------------------------ Vlan: U70 ------------------------------------------------------------------ Lease Time Server Client IP Addr MAC Addr (hh:mm:ss) Port Port ------- -------- ---------- ------ ------ 70.0.0.199 00:04:96:99:90:0a 01:00:00 30 39
Eğer bir port DHCP snooping tarafından bloklanırsa aşağıdaki komut ile aktif edilir:
# enable port <port>
Kaynaklar:
