Ip DHCP Snooping
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, artık " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle sitemizde katılıma devam edebilirsiniz.

+ Konuyu Cevapla
Toplam 2 Sayfadan 1. Sayfa 12 SonuncuSonuncu
Toplam 14 sonuçtan 1 ile 10 arasındakiler gösteriliyor.
Like Tree3Likes
Ip DHCP Snooping

DHCP SNOOPING Merhabalar forumda olmadığını gördüğüm konularda vakit buldukça yazmaya çalışıyorum . Bu yazıda kısaca DHCP Snooping'den bahsedeceğiz. Nedir bu DHCP Snooping ? Okuyunca sevimli bir şeye benziyor Kısaca tarif

  1. #1
    Nexus isimli Üye şimdilik offline konumundadır Administrator - Founder
    Üyelik tarihi
    May 2012
    Mesajlar
    1,994

    Post Ip DHCP Snooping

    DHCP SNOOPING


    Merhabalar forumda olmadığını gördüğüm konularda vakit buldukça yazmaya çalışıyorum .

    Bu yazıda kısaca DHCP Snooping'den bahsedeceğiz.


    Nedir bu DHCP Snooping ? Okuyunca sevimli bir şeye benziyor


    Kısaca tarif etmek gerekirse ; bir ağa sahte bir DHCP server servisi çalıştıran makina koyun. DHCP isteklerine yanıt versin. Ve clienlere default-gateway olarak kendi ip adresini versin.

    Üzerinde de proxy, sniffer, paket analyzer veya ufak bir routing çalışşın veya her ne ise . Clientlerin tüm trafikleri artık bu sahte DHCP server üzerinden geçecektir. Burada bir güvenlik ihlali oluşmaktadır.


    DHCP snooping sayesinde gerçek DHCP server'lere ait portlar trusted olarak işaretlenerek bu soruna çözüm getirilebilmektedir.

    Ayrıca DHCP snooping enable edildiğinde switchler hangi porttaki cliente hangi ip atanmış şeklinde bir veritabanı tutmaya başlarlar . Burada ise ip source guard devreye girerek alınan paketlerin source ip adreslerini bu veritabanındaki allowed olarak nitelendirilen ip adresleri ile mukayese edebilir. Allowed olarak bir eşleşme yoksa paket discard edilir.

    Ip source guard DHCP snooping olmadanda çalışabilmektedir. DHCP server olmayan networklerde ip source guard'ı bu şekilde kullanabiliriz. Ip source guard'ı bir başka konuda anlatırız. Çokda lüzümlu bir şey değil zaten . DHCP snooping ile kullanırsanız CPU top yapar.


    Nedir bu portlardaki trusted ve untrusted kavramı ?

    Trusted kavramı ; Untrusted portlardan gelen DHCP istekleri yanlızca trusted portlara yönlendirilir. Bu durumda DHCP serverların bağlı olduğu portlar veya switch ortamında uplink portları trusted olmalıdır.

    Trusted haricindeki portlar ise untrusted portlardır bu portlardan gelen DHCP repl paketleri discard edilir deyip kısaca kesip atalım.


    DHCP Snooping Mekanizması Nasıl Çalışır ?

    DHCP Snooping önce switch'de global olarak sonra bir vlan'da enable edilmelidir. Bu işlem yapılıp trusted portlar belirlenirse :

    Untrusted portlardan birine bağlı bir client DHCP isteği gönderir. Switch bu isteği alır ve güvendiği, emin olduğu bir DHCP server'a isteği yollar . ( Ama güven ortamı nasıl oluştu ? Trusted olarak belirlenen port(lar) sayesinde oluştu.)

    DHCP server'da ip adresini yollar işlem bu kadar sade ve basit.


    Tabiki bu esnada switch hangi porttaki hangi mac adresli hosta ne kadar süre ile (lease) hangi vlandan hangi ip adresi atanmış binding type nedir bilgilerini bir veritabanında tutmaya başlar. Bu veritabanı ip DHCP Snooping Binding dosyasıdır ve aşağıdaki gibi bir formatı vardır. Bu dosyada sadece untrusted interface'lerin olduğundan emin olabilirsiniz.

    Burada bir soru daha ? Burada bir trusted interface varsa ??? Sizce olabilir mi ? Soru-1




    TYPE DHCP-SNOOPING
    VERSION 1
    BEGIN
    10.10.10 5 0001.0001.0005 3EBE2881 Gi1/3 e5e1e733
    1.1.10.1 6 0001.0001.0002 3EBE2881 Gi1/2 4b3486ec
    1.11.1.2 3 0001.0001.0004 3EBE2881 Gi1/4 f0e02872
    1.11.1.1 3 0001.0001.0003 3EBE2881 Gi1/5 ac41adf9
    1.1.1.1 1 0001.0001.0001 3EBE2881 Gi1/7 34b3273e

    Sırası ile :
    ip vlan mac lease interface checksum..

    Görüldüğü üzere lease time hexe formatta (3ebe2881) , mac/ip adresleri,interface bilgileri açıkça okunabilir .

    Checksum vasıtası ile update işlemleri yapılır.. Kim ignore edilsin kim güncel vs ...

    Sizce lease time out olursa ne olur ? Dikkatli okuyana Soru-2 ...



    Artık sürekli güncel tutulan bir DHCP-SNOOPING binding veritabanımız da olduğuna göre switch hangi durumda DHCP paketlerine karşı nasıl bir tutum sergiler onlara bakalım .


    - Untrusted bir porttan DHCP – OFFER/ACK/NAK/LEASEQUERY gibi paket alınırsa drop eder.

    - Untrusted bir porttan alınan bir paketin source mac adresi binding table'daki kaydedilen ile aynı değilse DHCP isteğini drop eder.

    - Bir DHCP – RELEASE veya DECLINE mesajı ( Broadcast) alınırsa , binding database'de mac adresi aranır. Alınan interface binding table'dekinden farklı ise msj drop edilir.

    - 0.0.0.0 haricinde bir ip ile relay agent'a giden veya option 82 içerdiği halde untrusted porta yönlendirilen paketler drop edilir.


    Şimdi yapılandırmaya biraz bakalım :

    Önce global olarak DHCP Snooping'i enable edelim. Bu gerekli...

    Kod:
    S (config) # ip dhcp snooping


    Sonra kullanılması istenen vlan'da enable edelim. Vlan range olarak buraya tanımlayabiliriz... Bu örnekte atıyorum vlan 5 olsun.


    Kod:
    S (config) # ip dhcp snooping vlan 5



    Şimdi trusted portları belirleyelim. (Uplink portlar veya DHCP server'in irtibatlı olduğu port olabilir)

    Kod:
    S (config) # define interface-range Uplinks gig 0/1 - 2
    
    S (config) # int range macro Uplinks
    
    S (config-if) # ip dhcp snooping trust




    Tüm portlar default olarak untrusted olduğu için uplinkler haricindekiler untrusted olarak çalışmaya devam etmektedir.

    Bu kısa yapılandırma ile DHCP istekleri sadece trusted portlara yönlendirilir.




    Ancak bir nokta kaldı untrusted portlardan sürekli DHCP istekleri yağarsa ?


    Bu tarz DHCP ataklarının önüne geçebilmek için saniye başına düşen DHCP paketlerini sınırlandırabilir. Bu limit aşılırsa port DHCP-rate-limit'ten dolayı err-disable state'e düşecektir. Untrusted portlarda bu limitin düşük ancak trusted portlarda yüksek tutulması gerektiğini unutmayalım. Bu limit 1 – 2048 arası bir değer olabilir.

    Trusted port üzerinde 500'e limitledim :
    Kod:
    S (config-if) # ip dhcp snooping limit rate 500 ( saniyede 500 paket )


    Untrusted üzerinde ise 5 yaptım :

    Kod:
    S (config-if) # ip dhcp snooping limit rate 5



    Pekala şimdi trusted portta bu limit aşılırsa (mesela sabah herkes iş başı yapınca pc'leri açtı veya elektrik gitti geldi) ve bu sebeple port err-disable olursa ve benim networkteki hostlar DHCP ile ip alıyorsa ben burada kendi sonumu hazırlamış olurum. Ancak bununda çaresi var.

    Hemen auto recover'i yapılandırıyorum :

    Kod:
    S (config) # errdisable recovery cause dhcp-rate-limit
    S (config) # errdisable recovery interval 35


    Veya dhcp rate limit'i errdisable sebebi olmaktan çıkarıyorum (bunu evde yanlız denemeyin) :

    Kod:
    S (config) # no errdisable detect cause dhcp-rate-limit




    Neredeyse bitti bir şey unuttuk oda option 82. Zaten default olarak enable durumda anlatmasak da olur ama biz yinede değinelim. Option 82 sayesinde switch untrusted portlardan gelen DHCp isteklerine işlem yapar . Gelen paketin option 82 hanesine kendi mac ve interface bilgisini ekleyip DHCP servera gitmek üzere paketi truested porttan yollar.

    Burada DHCP server'da option 82 desteklemelidir. Destekliyorsa oda switche DHCP yanıtı ile dönüş yaparken option 82'yi doldurur. Bunu alan sw'de gerekli karşılaştırmayı yapar.


    Yukarıdada söylediğimiz üzere default enable durumdadır. Sunucumuz 82 desteklemıyorsa ve bizde kapatmak istiyorsak :

    Kod:
    S (config)# no ip dhcp snooping information option
    dememiz yeterli.


    İyi çalışmalar....



    Not : Cevaplar arkası yarın


    Murat KAYAPINAR
    Comm. Eng. & Elect. Eng.
    Eklenmiş Resim Eklenmiş Resim
    AcLMasteR and huawei like this.
    “Bir kez kaçar uçurtman, sonra gökyüzüne küser insan…”

  2. #2
    AcLMasteR isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jan 2008
    Bulunduğu yer
    Ankara
    Mesajlar
    1,191

    Standart

    ilk denemenin trafiğe kapalı alanda yapılması şiddetle tavsiye olunur :P
    The day that never comes

  3. #3
    Nexus isimli Üye şimdilik offline konumundadır Administrator - Founder
    Üyelik tarihi
    May 2012
    Mesajlar
    1,994

    Standart

    Dont try this at home kids
    “Bir kez kaçar uçurtman, sonra gökyüzüne küser insan…”

  4. #4
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    Adam port çoklamak için adsl modemi switch e bağlar , dhcp özelliği açık olan modem o vlan daki herkese kendi ip grubunu dağıtır ve o vlan daki tüm kullanıcıların diğer vlanlar ile yada internet ile erişimi kesilir

    Güzel ve mutlaka kullanılması gereken bir protokol , eline sağlık ...
    Nexus likes this.
    Mr.google knows everything , ask to him...

  5. #5
    atıl isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    May 2010
    Mesajlar
    56

    Standart

    Alıntı GhoSt Nickli Üyeden Alıntı Mesajı göster
    Adam port çoklamak için adsl modemi switch e bağlar , dhcp özelliği açık olan modem o vlan daki herkese kendi ip grubunu dağıtır ve o vlan daki tüm kullanıcıların diğer vlanlar ile yada internet ile erişimi kesilir

    Güzel ve mutlaka kullanılması gereken bir protokol , eline sağlık ...
    Hocam neden böyle bir şey olur?

  6. #6
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    Neden derken ?
    Mr.google knows everything , ask to him...

  7. #7
    atıl isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    May 2010
    Mesajlar
    56

    Standart

    diğer vlan'larla iletişimi kesilir onu anlıyorum ama internete neden çıkamaz onu anlamadım hocam.

  8. #8
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    ikisinin cevabı da aynı , modem ip dağıtıp gateway olursa sizi nasıl internete ve başka vlan a götürecek ?
    Mr.google knows everything , ask to him...

  9. #9
    atıl isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    May 2010
    Mesajlar
    56

    Standart

    Hocam şu an kullandığımız modemlerimiz hem IP dağıtıp hem gateway olup hem de bizi nete çıkarmıyor mu??

  10. #10
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    iyi güzel internete çıkartıyor da , dsl hattı bağlamazsan nereye çıkartacak ?
    Mr.google knows everything , ask to him...

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok