با بررسی های تخصصی محصولات، هوشمندانه خرید کنید.
شبکه های اجتماعی
جستجو

چگونه با DHCP Snooping، جلوی نفوذ مهاجمان به شبکه را بگیریم؟

چگونه با DHCP Snooping، جلوی نفوذ مهاجمان به شبکه را بگیریم؟
pegah_ra pegah_ra
Articlesوبلاگ
خرداد ۱۹, ۱۴۰۴

با رشد روزافزون دستگاه‌های متصل به شبکه، امنیت زیرساخت‌های ارتباطی بیش از پیش اهمیت یافته است. یکی از تهدیدهای رایج در شبکه‌های سازمانی و عمومی، حملات DHCP Spoofing است که می‌تواند منجر به شنود اطلاعات، تغییر مسیر ترافیک یا حتی قطع کامل ارتباط شود. خوشبختانه، قابلیتی به‌ نام DHCP Snooping توسط شرکت‌هایی نظیر Cisco ارائه شده که راهکاری مؤثر برای مقابله با این نوع حملات محسوب می‌شود. در این مقاله، به‌صورت کامل و ساختارمند، با مفهوم DHCP Snooping، کاربرد آن، نحوه پیکربندی، بهترین رویه‌ها و همچنین نکات مربوط به رفع اشکال آشنا خواهیم شد.

DHCP Snooping چیست؟

پایش DHCP یک ویژگی امنیتی در سطح لایه دوم (Layer 2) مدل OSI است که به مدیران شبکه این امکان را می‌دهد تا از ارسال پیام‌های DHCP جعلی در شبکه جلوگیری کنند. این قابلیت با شناسایی پورت‌های مطمئن (Trusted Ports) و غیرمطمئن (Untrusted Ports)، تنها به منابع معتبر اجازه می‌دهد تا پیام‌هایی مانند DHCP Offer و DHCP ACK ارسال کنند.

چرا DHCP Snooping اهمیت دارد؟

زمانی که دستگاهی به شبکه متصل می‌شود، برای دریافت آدرس IP، وارد یک فرآیند گفت‌وگوی چندمرحله‌ای با DHCP Server می‌شود. در این میان، اگر مهاجمی دستگاه خود را به‌عنوان DHCP Server جعلی معرفی کند، می‌تواند ترافیک شبکه را شنود کرده یا مسیر داده‌ها را تغییر دهد.

پایش DHCP با ایجاد محدودیت روی پورت‌هایی که ترافیک DHCP می‌فرستند، جلوی چنین حملاتی را می‌گیرد. این امر به‌ویژه در محیط‌های عمومی مانند کتابخانه‌ها، دانشگاه‌ها یا کافی‌شاپ‌ها که احتمال حضور مهاجمان بالاست، اهمیت زیادی دارد.

DHCP Spoofing

انواع حملاتی که پایش DHCP از آن‌ها جلوگیری می‌کند

1. حمله DHCP Spoofing

در این نوع حمله، مهاجم تلاش می‌کند تا خود را به‌جای DHCP Server واقعی معرفی کند و به کلاینت‌ها آدرس IP دهد. هدف، شنود داده‌ها یا حمله‌های مرد میانی (MITM) است.

2. حمله DHCP Starvation

در این سناریو، مهاجم با ارسال حجم زیادی از درخواست‌های DHCP، تمامی آدرس‌های IP موجود را مصرف می‌کند. نتیجه این است که کلاینت‌های واقعی دیگر قادر به دریافت IP نخواهند بود.

نحوه عملکرد DHCP Snooping

زمانی که پایش DHCP فعال می‌شود:

  • پورت‌هایی که به DHCP Server اصلی متصل‌اند به‌عنوان trusted تعریف می‌شوند.
  • تمامی پورت‌های دیگر به‌صورت پیش‌فرض untrusted هستند.
  • هرگونه پیام DHCP Offer یا DHCP ACK از پورت غیرمطمئن، به‌صورت خودکار توسط سوئیچ مسدود می‌شود.
  • همچنین، امکان تعریف نرخ ارسال پیام‌های DHCP برای هر پورت وجود دارد (Rate Limiting).

نحوه پیکربندی DHCP Snooping در سوئیچ‌های Cisco

پیکربندی پایه پایش DHCP در تجهیزات Cisco ساده است و در چند مرحله زیر قابل انجام است:

switch# conf t

switch(config)# ip dhcp snooping

switch(config)# ip dhcp snooping vlan 1

switch(config)# interface g0/24

switch(config-if)# ip dhcp snooping trust

switch(config-if)# exit

switch(config)# exit

switch# show ip dhcp snooping

توضیح دستورات:

  • ip dhcp snooping: فعال‌سازی کلی پایش DHCP
  • ip dhcp snooping vlan 1: فعال‌سازی روی VLAN خاص (شماره VLAN قابل تغییر است)
  • ip dhcp snooping trust: تعریف پورت مطمئن (مثلاً پورت متصل به DHCP Server)

بهترین روش‌ها برای استفاده از DHCP Snooping

1. فعال‌سازی دستی DHCP Snooping

این قابلیت به‌صورت پیش‌فرض غیرفعال است و باید به‌طور دستی روی هر VLAN فعال شود.

2. تعیین پورت‌های مطمئن

اطمینان حاصل کنید که فقط پورت‌های متصل به DHCP Server به‌عنوان trusted تعریف شده باشند.

3. استفاده از Rate Limiting

با استفاده از دستور زیر می‌توان تعداد مجاز بسته‌های DHCP در ثانیه را محدود کرد:

ip dhcp snooping limit rate <تعداد>

این کار به کاهش احتمال حملات DHCP Starvation کمک می‌کند.

4. نظارت مستمر بر لاگ‌ها

پایش مداوم لاگ‌های مربوط به پایش DHCP و یکپارچه‌سازی آن‌ها با سامانه SIEM می‌تواند هشدارهای فوری در صورت بروز حمله صادر کند.

سامانه SIEM

5. تهیه نسخه پشتیبان از پیکربندی

همواره فایل تنظیمات سوئیچ خود را ذخیره کنید تا در صورت نیاز بتوانید آن را سریعاً بازیابی نمایید.

عیب‌یابی رایج در DHCP Snooping

یکی از مشکلات رایج این است که کلاینت‌ها نمی‌توانند آدرس IP دریافت کنند. علت معمول این مشکل، مشخص نکردن پورت‌های مطمئن است. برای بررسی وضعیت فعلی پایش DHCP می‌توان از دستور زیر استفاده کرد:

show ip dhcp snooping

با استفاده از این دستور، جزئیات مربوط به VLANها، پورت‌های trusted و پیام‌های مسدود شده قابل مشاهده خواهد بود.

جمع‌بندی

DHCP Snooping یک ابزار قدرتمند امنیتی در لایه دوم شبکه است که به شما کمک می‌کند از حملات مخربی مانند DHCP Spoofing و DHCP Starvation جلوگیری کنید. با پیکربندی درست، تعیین پورت‌های مطمئن، محدودسازی نرخ پیام‌ها و نظارت مداوم بر وضعیت شبکه، می‌توانید اطمینان حاصل کنید که هیچ دستگاه غیرمجاز نتواند خود را به‌عنوان DHCP Server معرفی کند. این قابلیت، به‌ویژه در محیط‌هایی با دسترسی عمومی یا باز، یکی از اجزای حیاتی در راهکارهای امنیت شبکه محسوب می‌شود.

 آداک فناوری مانیا با عرضه سرور و استوریج با قیمت و کیفیت مناسب در کنار شماست تا بهترین انتخاب را داشته باشید. با مشاورین فنی ما در تماس باشید تا بهترین پیشنهاد را به شما داشته باشند.

منبع: https://www.cbtnuggets.com/blog/technology/networking/what-is-dhcp-snooping

DHCP network امنیت شبکه
-
0
نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *

بستن
جستجو

اینتر را برای جستجو و یا ESC برای بستن بفشارید

سبد خرید شما

سبد خرید