DHCP Snooping Atakları
DHCP(Dynamic Host Configuration Protocol), istemci cihazların; IP adresi, alt ağ maskesi, varsayılan ağ geçidi ve DNS adresi gibi bilgileri otomatik olarak edinmesini sağlayan bir protokoldür. Getirdiği bu faydanın yanında, birtakım güvenlik tehditlerine açık kapı bırakması ağlarda gerekli önlemlerin alınmasını zorunlu kılmaktadır.
Ağda sahte DHCP sunucusu kuran ve çalıştıran bir kişi, aynı ağda DHCP isteğinde bulunan istemci cihazlara varsayılan ağ geçidi adresi kendisine ait olan bir DHCP cevabı dönebilir. İstemci bu cevabı aldığı andan itibaren ağ geçidi adresi olarak bu sahte adresi kullanmaya başlar ve yerel ağın dışında bir adresi hedefleyen paketleri ilk olarak atak yapan kişinin makinesine yönlenir. Atakçı bu paketleri gitmeleri gereken doğru adreslere kendi üzerinden gönderirken tüm paketleri izleme olanağına sahip olur. Bu, istemci güvenliğini ve gizliliğini açıkça tehdit eden bir durumdur. Man-in the-middle ataklarının bir türü olan DHCP Snooping atakları tam olarak bu şekilde gerçekleşir.Ciddi bir tehdit unsuru olan bu atağı engellemek için Cisco anahtarlayıcı cihazlarda DHCP Snooping özelliği kullanılmaktadır. DHCP Snooping özelliği bir cihazda etkinleştirilerek portlar trusted ve untrusted olarak kategorize edilebilir ve böylece gerçek DHCP sunucularının hangi portlar üzerinden yayın yapacağı cihaza öğretilmiş olur. Untrusted portlardan gelen DHCP istekleri anahtarlayıcı tarafından incelenir. Untrusted portlardan gelen cevaplar ise cihaz tarafından çöpe atılır ve atağa maruz kalan port shut edilir.
DHCP Snooping özelliği ek olarak istemcilerin aldıkları otomatik ayarların kaydını tutar. Kayıtta, hangi IP adresinin hangi MAC adresine ne kadarlık bir süre için atandığının bilgisi tutulur.
DHCP Snooping özelliğini etkinleştirmek için global konfigürasyon modunda şu komut işletilmelidir:
Switch(config)#ip dhcp snooping
DHCP snooping özelliğinin hangi VLAN'lerde etkinleştirileceğini belirtmek için şu komut işletilir:
Switch(config)#ip dhcp snooping vlan vlan-id
Varsayılan olarak bütün anahtarlayıcı portları untrusted modundadır ve DHCP cevaplarını engeller. Bu yüzden gerçek DHCP sunucuların bulunduğu portlar cihaza öğretilmelidir. Bunun için aşağıdaki komut dizisi işletilmelidir:
Switch(config)#interface type mod/num
Switch(config-if)#ip dhcp snooping trust
Cihazlarda ayrıca DHCP option-82 adında bir özellik varsayılan olarak aktiftir. Bu özellik sayesinde untrusted portlardan gelen DHCP isteklerinin anahtarlayıcı tarafından değerlendirilmesini sağlayabiliriz. Anahtarlayıcı cihaz böyle bir durumda option-82 alanına kendi MAC adres ve switchport bilgisini ekleyerek paketi gönderir. Böylece istek güvenilen bir DHCP sunucusuna ulaştırılır. Sunucu DHCP option-82 özelliğini desteklemelidir. Sunucu geri cevap dönerken pakette kendisine gelen option-82 bilgisini de bulundurur. Böylece cevabı alan anahtarlayıcı cihaz kendi option-82 bilgisi ile bu bilgiyi karşılaştırarak doğru son kullanıcının DHCP isteğine cevap döndürebilmiş olur. Özelliği etkinleştirmek veya kapatmak için aşağıdaki komut işletilir:
Switch(config)#[no] ip dhcp snooping information option
DHCP Snooping konfigüre edildikten sonra bununla ilgili durumu aşağıdaki komutu işleterek görüntüleyebiliriz:
Switch#sh dhcp snooping [binding]
Komuta [binding] seçeneğinin eklenmesiyle, anahtarlayıcının veri tabanında tuttuğu hangi IP adreslerinin hangi MAC adreslerine atandığı bilgisine ulaşılabilir.
Dökümana pdf olarak ulaşmak için DHCP Snooping Atakları linkine tıklayınız.
TANER KOÇ
Bu yazıyı beğendiniz mi?
