DHCP vohljanje je varnostna funkcija za omrežja, ki so povezana z internetom. Po definiciji je vohljanje DHCP varnostni mehanizem, ki zlonamernim uporabnikom preprečuje, da bi napadli vaše omrežje s prestrezanjem ali spreminjanjem sporočil med omrežnimi odjemalci in strežniki DHCP. Zagotavlja dodatno plast zaščite pred zlonamerno dejavnostjo v vašem omrežju in pomaga zaščititi pred morebitnimi varnostnimi tveganji. V tem blogu bomo raziskali, kaj je vohljanje DHCP in zakaj ga je pomembno uporabljati v današnjem digitalnem svetu. Razpravljali bomo o tem, kako lahko vohljanje DHCP zaščiti vaše omrežje pred morebitnimi grožnjami, vključno s tem, kako ga pravilno nastaviti in konfigurirati. Na koncu si bomo ogledali še nekatere prednosti uporabe vohljanja DHCP v vaši organizaciji.

Kaj je DHCP Snooping?

Vohljanje DHCP je varnostna funkcija, ki jo je mogoče uporabiti za preprečevanje zlonamernih naprav, da bi ponaredile sporočila DHCP in prekinile omrežno povezljivost. Deluje tako, da pregleda sporočila DHCP in dovoli samo tista, ki so iz zaupanja vrednih virov. Vohljanje DHCP se lahko uporablja na stikalih in usmerjevalnikih za zaščito pred ponarejanjem strežnika DHCP, ponarejanjem odjemalcev in napadi zavrnitve storitve.

Ko je na stikalu ali usmerjevalniku omogočeno vohljanje DHCP, bo naprava spremljala, katera vrata lahko pošiljajo in prejemajo sporočila DHCP. Dovoljena bodo le sporočila iz zaupanja vrednih virov, vsa druga pa bodo blokirana. To lahko pomaga preprečiti, da bi zlonamerne naprave ponaredile sporočila DHCP in prekinile omrežno povezljivost. Vohljanje DHCP lahko pomaga tudi pri zaščiti pred napadi zavrnitve storitve.

Čeprav je vohljanje DHCP lahko koristen varnostni ukrep, je pomembno vedeti, da ni varno. Obstajajo načini, kako zlonamerne naprave obidejo vohljanje DHCP, zato se nanj ne bi smeli zanašati kot na edini varnostni ukrep za omrežje.

Kako deluje vohljanje DHCP

Ko je na omrežnem stikalu omogočeno vohljanje DHCP, stikalo pregleda DHCP sporočila prejme, da izve, kateri naslovi IP so bili dodeljeni katerim gostiteljem v vsakem od povezanih omrežij. Stikalo nato ustvari povezovalno tabelo za vohljanje DHCP, ki jo uporablja za preverjanje naslednjih sporočil DHCP.

Če stikalo prejme sporočilo DHCP od gostitelja, ki ni v njegovi vezni tabeli, se sporočilo zavrže in gostitelju ni odobren dostop do omrežja. To preprečuje zlonamernim gostiteljem, da bi ponaredili sporočila DHCP in pridobili nepooblaščen dostop do omrežja.

Vohljanje DHCP se lahko uporablja v omrežjih IPv4 in IPv6. Ko je vohljanje DHCP omogočeno, mora biti stikalo konfigurirano tudi z naslovom IP strežnika DHCP, da lahko dodaja vnose v svojo vezno tabelo.

Pred čim ščiti vohljanje DHCP?

Vohljanje DHCP je varnostna funkcija, ki zagotavlja zaščito pred zlonamernimi napadi in drugimi nepooblaščenimi dejavnostmi. Deluje tako, da spremlja promet DHCP in išče sumljivo vedenje. Če zazna nekaj sumljivega, lahko ukrepa, da blokira dejavnost in zaščiti vaše omrežje.

Vohljanje DHCP lahko zaščiti pred različnimi napadi, vključno z:

-IP Spoofing: Ta napad se zgodi, ko nekdo poskuša poslati pakete IP z lažnim izvornim naslovom. To je mogoče uporabiti za zagon napadov zavrnitve storitve ali za pridobitev dostopa do virov, ki jim niso namenjeni. Vohljanje DHCP lahko zazna in prepreči tovrstne napade.

- Napadi "človek v sredini": Pri tej vrsti napada nekdo poskuša prestreči in spremeniti komunikacijo med dvema računalnikoma. To se lahko uporabi za krajo občutljivih informacij ali vbrizgavanje zlonamerne kode v komunikacijo. Vohljanje DHCP lahko zazna in prepreči tovrstne napade.

- Napadi zavrnitve storitve: do teh napadov pride, ko nekdo poskuša onemogočiti storitev tako, da jo zasipa z zahtevami ali tako, da jo zruši z napačno oblikovanimi zahtevami. Vohljanje DHCP lahko zazna in prepreči tovrstne napade.

Prednosti vohljanja DHCP

Uporaba vohljanja DHCP ima številne prednosti, vključno z izboljšano varnostjo, zmanjšanim časom izpada omrežja in zmanjšano porabo pasovne širine. S preprečevanjem lažnih strežnikov DHCP, da bi posredovali napačne informacije o naslovu IP, lahko vohljanje DHCP pomaga izboljšati splošno varnost vašega omrežja. Poleg tega lahko vohljanje DHCP z zagotavljanjem, da lahko samo pooblaščeni strežniki DHCP dodeljujejo naslove IP, pomaga skrajšati čas, ko vaše omrežje ne deluje v primeru težave z lažnim strežnikom DHCP. Nazadnje, z omejevanjem števila naprav, ki lahko prejmejo naslove IP od lažnega strežnika DHCP, lahko vohljanje DHCP pomaga zmanjšati količino pasovne širine, ki jo porabijo te naprave.

Kako konfigurirati vohljanje DHCP

Če želite konfigurirati vohljanje DHCP Industrijsko Ethernet stikalo, ga boste morali omogočiti na vsakem vmesniku VLAN, ki ga želite zaščititi. To lahko storite z naslednjim ukazom:

(config)#ip dhcp vohljanje

Ko je vohljanje DHCP omogočeno, boste morali konfigurirati zaupanja vreden vmesnik. To je vmesnik, ki bo uporabljen za pošiljanje in prejemanje paketov DHCP. To lahko storite z naslednjim ukazom:

(config-if)#ip dhcp vohljanje zaupanja

Prav tako boste morali konfigurirati naslov IP strežnika DHCP. To lahko storite z naslednjim ukazom:

(config-if)#ip dhcp vohljajoči strežnik

Konfiguracija upravljalnega vmesnika WebGUI

Kaj je možnost DHCP?

Možnost DHCP je funkcija protokola DHCP, ki odjemalcem DHCP omogoča, da od strežnika DHCP zahtevajo dodatne informacije. Po želji lahko odjemalec zahteva, da strežnik zagotovi te informacije v določeni obliki ali vrstnem redu.

Odjemalec lahko na primer zahteva, da strežnik zagotovi naslov strežnika DNS v možnosti DHCP. Druga možnost je, da odjemalec zahteva, da strežnik zagotovi vse možnosti po abecednem vrstnem redu.

Protokol DHCP določa na desetine možnosti, ki so lahko koristne za odjemalce, nove možnosti pa se pogosto dodajajo, ko se pojavijo nove potrebe. Nekatere pogosteje uporabljene možnosti vključujejo:

-Možnost 1: Maska podomrežja

- 2. možnost: oddajni naslov

- 3. možnost: usmerjevalnik (privzeti prehod)

-Možnost 6: Strežnik domenskih imen (DNS) -Možnost 12: Ime gostitelja

-Možnost 15: Ime domene

-Možnost 28: Oddajni naslov za IPv6

-Možnost 43: strežniki in odjemalci DHCP uporabljajo možnost 43 za izmenjavo informacij o konfiguraciji, specifičnih za prodajalca.

-Možnost 82: Možnost 82 je možnost posredovanja. Beleži informacije o lokaciji odjemalca DHCP. Ko agent za posredovanje DHCP ali naprava za vohljanje DHCP prejme zahtevo odjemalca, zahtevi doda možnost 82 in jo pošlje strežniku.

Vse te možnosti ne bodo ustrezne ali potrebne za vsako stranko. Možnost 6 je na primer ustrezna le za odjemalce, ki uporabljajo DNS, medtem ko je možnost 28 ustrezna samo za odjemalce, ki uporabljajo IPv6.

zaključek

Skratka, vohljanje DHCP je močna varnostna funkcija, ki lahko pomaga zaščititi vaše omrežje pred zlonamernimi napadi. Omogoča vam nadzor nad tem, katere naprave so dovoljene v omrežju in do katere vrste prometa lahko dostopajo. To pomaga ohranjati varno in zanesljivo vaše omrežje s preprečevanjem nepooblaščenega dostopa in zmanjšanjem možnosti uhajanja podatkov ali drugih ranljivosti. Ob upoštevanju teh prednosti je jasno, da bi morala biti konfiguracija vohljanja DHCP pomemben del varnostne strategije vsakega skrbnika omrežja.