DHCP snooping

dhcpsnooping

راه اندازی DHCP Snooping در میکروتیک، DHCP Snooping یک فناوری امنیتی لایه 2 می باشد که در سیستم عامل سوئیچ هایی که این قابلیت را دارند، گنجانده شده تا ترافیک DHCP های غیر مجاز را Drop نماید.  DHCP Snooping از فعالیت سرور های DHCP غیر مجاز که قصد دارند به کاربرای آدرس IP بدهند جلوگیری می نماید. 

 قابلیت DHCP Snooping

از DHCP Snooping همواره به عنوان یک مکانیزم امنیتی یاد می گردد که از فعالیت DHCP Server های غیر مجاز در شبکه جلوگیری می نماید. ویژگی DHCP Snooping شامل فعالیت های زیر می گردد:

پیام های DHCP از منابع غیر مجاز را شناسایی و پیام های نا معتبر را فیلتر می کند.

پایگاه داده DHCP Snooping را ایجاد و نگهداری می نماید، که این پایگاه داده حاوی اطلاعاتی در مورد میزبان های غیرقابل اعتماد ( Untrusted ) با آدرس های IP تخصیص داده شده است.

از پایگاه داده برای اعتبارسنجی درخواست های بعدی از میزبان های غیرقابل اعتماد استفاده می نماید.

DHCP Snooping به طور کلی پورت های ( Interface ) روی سوئیچ ها را به دو دسته تقسیم می کند. پورت های قابل اعتماد ( Trusted ) و غیر قابل اعتماد ( Untrusted ). پورت قابل اعتماد پورتی است که به DHCP Server مجاز ما در شبکه متصل گردیده و پیام های DHCP آن قابل اعتماد است. پورت غیر قابل اعتماد پورتی است که ممکن است یک DHCP غیر مجاز در آینده روی آن قرار گیرد و امنیت شبکه ما را به خطر اندازد. اگر روی سوئیچ قابلیت DHCP Snooping پیاده سازی شده باشد، تنها DHCP Offer از پورت های Trust و قابل اعتماد به سمتClient  ها عبور خواهد نمود، در غیر این صورت Drop خواهد شد.

همانطور که ذکر شد DHCP Snooping یک قابلیت در سوئیچ می باشد و جهت تنظیم روتربورد های میکروتیک به عنوان سوئیچ می بایست ابتدا یک bridge ایجاد و تمامی پورت ها را درون این Bridge قرار دهیم. به همین منظور در منوی نرم افزار Winbox بر روی Bridge کلیک نموده و با انتخاب + یک Bridge ایجاد می کنیم. سپس تمامی پورت ها را درون این bridge قرار خواهیم داد. این کار را در تب Ports و با استفاده از گزینه + و اضافه نمودن کلیه پورت های میکروتیک انجام می دهیم.

با انجام مراحل فوق اکنون روتربورد میکروتیک به عنوان یک سوئیچ در شبکه فعال خواهد بود و تمامی پورت های آن در یک Broadcast Domain قرار دارند. اکنون می بایست قابلیت DHCP Snooping را بر روی Bridge ایجاد شده فعال نماییم. برای این کار می بایست بر روی Bridge کلیک کرده و در صفحه باز شده گزینه DHCP Snooping را فعال نمود.

با انجام این کار تمامی پورت ها به صورت Untrusted خواهند شد و بسته های DHCP Server از آن ها عبور نخواهد کرد. در مرحله بعدی پورتی که به DHCP Server قابل اعتماد متصل می باشد می بایست Trust گردد تا بتواند به ارائه سرویس به کاربران در شبکه ادامه دهد. برای انجام این کار مجدد در تب Ports، بر روی پورت مورد نظر دوبار کلیک می کنیم و گزینه Trusted را فعال می کنیم. در این سناریو DHCP Server به Ether2 متصل می باشد.

با توجه به تنظیمات انجام شده از این پس فقط DHCP Server مورد اعتماد قابلیت ارائه سرویس DHCP در شبکه را خواهد داشت و چنانچه DHCP Server دیگری به هر یک از پورت های دیگر متصل شود بسته های مربوط به آن Drop خواهد شد.