DHCP Snooping Atakları

hacker-kraker

DHCP(Dynamic Host Configuration Protocol), istemci cihazların; IP adresi, alt ağ maskesi, varsayılan ağ geçidi ve DNS adresi gibi bilgileri otomatik olarak edinmesini sağlayan bir protokoldür. Getirdiği bu faydanın yanında, birtakım güvenlik tehditlerine açık kapı bırakması ağlarda gerekli önlemlerin alınmasını zorunlu kılmaktadır.
Ağda sahte DHCP sunucusu kuran ve çalıştıran bir kişi, aynı ağda DHCP isteğinde bulunan istemci cihazlara varsayılan ağ geçidi adresi kendisine buy cialis online ait olan bir DHCP cevabı dönebilir. İstemci bu cevabı aldığı andan itibaren ağ geçidi adresi olarak bu sahte adresi kullanmaya başlar ve yerel ağın dışında bir adresi hedefleyen paketleri ilk olarak atak yapan kişinin makinesine yönlenir. Atakçı bu paketleri gitmeleri gereken doğru adreslere kendi üzerinden gönderirken tüm who makes cialis paketleri izleme olanağına sahip olur. Bu, istemci güvenliğini ve gizliliğini açıkça tehdit eden bir durumdur. Man-in the-middle ataklarının bir türü olan DHCP Snooping atakları tam olarak bu şekilde gerçekleşir.Ciddi bir tehdit unsuru olan bu atağı engellemek için Cisco anahtarlayıcı cihazlarda DHCP Snooping özelliği kullanılmaktadır. DHCP Snooping özelliği bir cihazda etkinleştirilerek portlar trusted ve untrusted olarak kategorize edilebilir ve böylece gerçek DHCP sunucularının hangi portlar üzerinden yayın yapacağı cihaza öğretilmiş olur. Untrusted portlardan gelen DHCP istekleri anahtarlayıcı tarafından incelenir. Untrusted portlardan gelen cevaplar ise cihaz tarafından çöpe atılır ve atağa maruz kalan port shut edilir.
DHCP Snooping özelliği ek olarak istemcilerin aldıkları otomatik ayarların kaydını tutar. Kayıtta, hangi IP adresinin hangi MAC adresine ne kadarlık bir süre için atandığının bilgisi tutulur.

DHCP Snooping özelliğini etkinleştirmek için global konfigürasyon modunda şu komut işletilmelidir:

Switch(config)#ip dhcp snooping

DHCP snooping özelliğinin hangi VLAN’lerde etkinleştirileceğini belirtmek için şu komut işletilir:

Switch(config)#ip dhcp snooping vlan vlan-id

Varsayılan olarak bütün anahtarlayıcı portları untrusted modundadır ve DHCP cevaplarını engeller. Bu yüzden gerçek DHCP sunucuların bulunduğu portlar cihaza öğretilmelidir. Bunun için aşağıdaki komut dizisi işletilmelidir:

Switch(config)#interface type mod/num
Switch(config-if)#ip dhcp snooping trust

Cihazlarda ayrıca DHCP option-82 adında bir özellik varsayılan olarak aktiftir. Bu özellik sayesinde untrusted portlardan gelen DHCP isteklerinin anahtarlayıcı tarafından değerlendirilmesini sağlayabiliriz. Anahtarlayıcı cihaz böyle bir cvs viagra durumda option-82 alanına kendi MAC adres ve switchport bilgisini ekleyerek paketi gönderir. Böylece istek güvenilen bir DHCP sunucusuna ulaştırılır. Sunucu DHCP option-82 özelliğini desteklemelidir. Sunucu geri cevap dönerken pakette kendisine gelen option-82 bilgisini de bulundurur. Böylece cevabı alan anahtarlayıcı cihaz kendi option-82 bilgisi ile bu bilgiyi karşılaştırarak doğru son kullanıcının DHCP isteğine cevap döndürebilmiş olur. Özelliği etkinleştirmek veya kapatmak için aşağıdaki komut işletilir:

Switch(config)#[no] ip dhcp snooping information option

DHCP Snooping konfigüre edildikten sonra bununla ilgili durumu aşağıdaki komutu işleterek görüntüleyebiliriz:

Switch#sh dhcp snooping [binding]

Komuta [binding] seçeneğinin eklenmesiyle, anahtarlayıcının veri tabanında tuttuğu hangi IP adreslerinin hangi MAC adreslerine atandığı bilgisine ulaşılabilir.

Dökümana pdf olarak ulaşmak için DHCP Snooping Atakları linkine tıklayınız.

TANER KOÇ

“DHCP Snooping Atakları” için 3 cevap

    1. Yazıda da belirtildiği üzere DHCP snooping varsayılan konfigürasyonunda siz herhangi bir portu trusted port olarak tanımlamadıkça tüm portlar untrusted olarak kalmaktadır. Yapılması gereken sadece DHCP sunucusunun bağlı olduğu portu ya da DHCP sunucusu başka bir switch üzerinde ise konfigüre ettiğiniz switch’in uplink portunu trusted port olarak tanımlamak olacaktır. Sahte DHCP sunucusunun bağlı olduğu diğer switch’te de DHCP snooping devrede ise hiçbir sorun olmayacaktır. Eğer DHCP sunucunuz ile sahte DHCP sunucusu aynı switch portuna bağlı (ortak bir hub ya da yönetilebilir olmayan switch üzerinde) ise DHCP Snooping’e gelmeden önce temel güvenlik konseptlerine bir göz atmak gerekir 🙂

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir