Get best of the week

Apa itu DHCP Snooping dan bagaimana cara kerjanya?

"Mengapa saya tidak bisa terhubung ke jaringan, bahkan jika laptop saya menerima alamat IP secara dinamis?" Pernahkah Anda mengalami masalah ini dalam kehidupan sehari-hari? Apakah Anda meragukan keaslian alamat IP? Apakah mereka diterima dari server DHCP resmi? Jika tidak, bagaimana cara mencegahnya? Istilah DHCP Snooping akan diperkenalkan dalam artikel ini untuk membantu pengguna menghindari penggunaan alamat IP ilegal.

Apa itu DHCP Snooping?


DHCP Snooping adalah teknologi keamanan Layer 2 yang dibangun ke dalam sistem operasi switch jaringan sehat yang membuang lalu lintas DHCP yang dianggap tidak pantas. Pengintaian DHCP mencegah server DHCP tidak sah (curang) yang menawarkan alamat IP ke klien DHCP. Fungsi DHCP Snooping melakukan tindakan berikut:

  • Memeriksa pesan DHCP dari sumber yang tidak terpercaya dan memfilter pesan yang tidak valid.
  • Membuat dan memelihara basis data pengikat DHCP yang mengintai yang berisi informasi tentang host yang tidak dipercaya dengan alamat IP sewaan.
  • Menggunakan basis data pengikat DHCP untuk memverifikasi permintaan selanjutnya dari host yang tidak dipercaya.

Bagaimana cara mengintai DHCP?


Untuk mengetahui bagaimana DHCP Snooping bekerja, kita perlu menangkap mekanisme DHCP yang berfungsi, yang merupakan singkatan dari Dynamic Host Configuration Protocol. Ketika DHCP diaktifkan, perangkat jaringan tanpa alamat IP akan "berinteraksi" dengan server DHCP melalui 4 tahap sebagai berikut.

DHCP Principle.jpg

Pengintaian DHCP biasanya mengklasifikasikan antarmuka pada sakelar ke dalam dua kategori: dipercayai port yang tidak dipercaya, seperti yang ditunjukkan pada Gambar 2. Port tepercaya adalah port atau sumber yang pesan server DHCP-nya dipercaya. Port yang tidak dipercaya adalah port yang tidak dipercayai pesan server DHCP. Jika pengintaian DHCP dipicu, pesan penawaran DHCP hanya dapat dikirim melalui port tepercaya. Kalau tidak, itu akan dibuang.

Mengintai DHCP app.jpg

Pada tahap konfirmasi, tabel pengikatan DHCP akan dibuat sesuai dengan pesan DHCP ACK. Ini mencatat alamat MAC host, leased IP address, waktu leasing, tipe binding, serta nomor VLAN dan informasi antarmuka yang terkait dengan host, seperti yang ditunjukkan pada Gambar 3. Jika paket DHCP berikutnya yang diterima dari host yang tidak terpercaya tidak cocok informasi, itu akan dihapus.
Alamat MACAlamat IPSewa (dtk)Sebuah tipeVLANAntarmuka
Entri 1e4-54-e8-9d-ab-4210.32.96.192673dhcp-mengintip10Et 1/23
Entri 2
Entri 3
...

Jenis-Jenis Serangan Dasar yang Dicegah oleh DHCP Snooping


Serangan Spoofing DHCP


Spoofing DHCP terjadi ketika penyerang mencoba menanggapi permintaan DHCP dan mencoba menentukan dirinya (spoof) sebagai gateway default atau server DNS, oleh karena itu, memulai serangan melalui perantara. Pada saat yang sama, ada kemungkinan bahwa mereka dapat mencegat lalu lintas dari pengguna sebelum meneruskan ke gateway nyata atau melakukan DoS, mengisi server DHCP nyata dengan permintaan untuk menyumbat sumber daya alamat IP.

DHCP Starvation (kelelahan DHCP)


Penipisan sumber daya DHCP biasanya menargetkan server DHCP jaringan untuk mengisi server DHCP resmi dengan pesan DHCP REQUEST menggunakan alamat MAC sumber palsu. Server DHCP akan menanggapi semua permintaan, tidak mengetahui bahwa itu adalah serangan penipisan DHCP dengan menetapkan alamat IP yang tersedia, yang akan mengarah pada penipisan kumpulan DHCP.

Bagaimana cara mengaktifkan snooping DHCP?


Pengintaian DHCP hanya berlaku untuk pengguna kabel. Sebagai fitur keamanan tingkat akses, sebagian besar diaktifkan pada sakelar apa pun yang berisi port akses VLAN yang dilayani oleh DHCP. Saat menggunakan Pengintaian DHCP, Anda harus mengonfigurasikan port tepercaya (port yang melaluinya pesan server DHCP yang valid akan berlalu) sebelum Anda mengaktifkan DHCP Snooping di VLAN yang ingin Anda lindungi. Ini dapat diimplementasikan baik di antarmuka CLI dan di antarmuka web.

Kesimpulan


Meskipun DHCP menyederhanakan pengalamatan IP, ini juga menyebabkan masalah keamanan. Untuk memperbaiki masalah, DHCP Snooping, salah satu mekanisme perlindungan, dapat mencegah penggunaan alamat DHCP yang tidak terpercaya dari server DHCP yang curang dan dapat mencegah serangan kelelahan sumber daya yang mencoba menggunakan semua alamat DHCP yang ada.

More articles:


All Articles