DHCPni kuzatib borish Internetga ulangan tarmoqlar uchun xavfsizlik xususiyatidir. Ta'rifga ko'ra, DHCP Snooping - bu zararli foydalanuvchilarning tarmoq mijozlari va DHCP serverlari o'rtasidagi xabarlarni ushlab turish yoki o'zgartirish orqali sizning tarmog'ingizga hujum qilishdan saqlaydigan xavfsizlik mexanizmi. Bu sizning tarmog'ingizdagi zararli harakatlardan qo'shimcha himoya qatlamini ta'minlaydi va potentsial xavfsizlik xavflaridan himoya qilishga yordam beradi. Ushbu blog postida biz DHCP snooping nima ekanligini va nima uchun uni bugungi raqamli dunyoda ishlatish muhimligini o'rganamiz. Biz DHCP snooping tarmog'ingizni potentsial tahdidlardan qanday himoya qilishini, jumladan uni qanday sozlash va uni to'g'ri sozlashni muhokama qilamiz. Va nihoyat, tashkilotingizda DHCP snoopingdan foydalanishning ba'zi afzalliklarini ko'rib chiqamiz.

DHCP Snooping nima?

DHCP snooping - bu zararli qurilmalarning DHCP xabarlarini aldashini va tarmoq ulanishini buzishining oldini olish uchun ishlatilishi mumkin bo'lgan xavfsizlik xususiyati. U DHCP xabarlarini tekshirish va faqat ishonchli manbalardan kelgan xabarlarga ruxsat berish orqali ishlaydi. DHCP snooping kalitlari va marshrutizatorlarda DHCP serverini aldash, mijozlarni buzish va xizmat ko'rsatishni rad etish hujumlaridan himoya qilish uchun ishlatilishi mumkin.

Kalit yoki marshrutizatorda DHCP snooping yoqilgan bo'lsa, qurilma qaysi portlarga DHCP xabarlarini yuborish va qabul qilishga ruxsat berilganligini kuzatib boradi. Faqat ishonchli manbalardan kelgan xabarlarga ruxsat beriladi, qolganlari esa bloklanadi. Bu zararli qurilmalarning DHCP xabarlarini soxtalashtirish va tarmoq ulanishini buzishining oldini olishga yordam beradi. DHCP snooping, shuningdek, xizmat ko'rsatishni rad etish hujumlaridan himoya qilishga yordam beradi.

DHCP tekshiruvi foydali xavfsizlik chorasi bo'lishi mumkin bo'lsa-da, bu ishonchli emasligini ta'kidlash muhimdir. Zararli qurilmalar uchun DHCP snoopingni chetlab o'tish usullari mavjud, shuning uchun unga tarmoq uchun yagona xavfsizlik chorasi sifatida tayanmaslik kerak.

DHCP Snooping qanday ishlaydi

Tarmoq kalitida DHCP snooping yoqilgan bo'lsa, kalit tekshiradi DHCP xabarlari u o'zining har bir ulangan tarmog'ida qaysi xostlarga qaysi IP manzillar tayinlanganligini bilish uchun qabul qiladi. Keyin kalit keyingi DHCP xabarlarini tekshirish uchun foydalanadigan DHCP-ni kuzatish jadvalini yaratadi.

Agar kalit ulanish jadvalida bo'lmagan xostdan DHCP xabarini qabul qilsa, xabar o'chiriladi va xostga tarmoqqa kirish huquqi berilmaydi. Bu zararli xostlarning DHCP xabarlarini soxtalashtirishdan va tarmoqqa ruxsatsiz kirishdan saqlaydi.

DHCP snooping ham IPv4, ham IPv6 tarmoqlarida ishlatilishi mumkin. DHCP snooping yoqilganda, kalit DHCP serverining IP manzili bilan ham sozlanishi kerak, shunda u ulanish jadvaliga yozuvlarni qo'shishi mumkin.

DHCP snooping nimadan himoya qiladi?

DHCP snooping - bu zararli hujumlar va boshqa ruxsatsiz harakatlardan himoya qiluvchi xavfsizlik xususiyati. U DHCP trafigini kuzatish va shubhali xatti-harakatlarni qidirish orqali ishlaydi. Agar u shubhali narsani aniqlasa, u faollikni bloklash va tarmoqingizni himoya qilish uchun chora ko'rishi mumkin.

DHCP snooping turli xil hujumlardan himoya qilishi mumkin, jumladan:

-IP-spoofing: Bu hujum kimdir soxta manba manzili bilan IP-paketlarni yuborishga harakat qilganda sodir bo'ladi. Bu xizmatdan bosh tortish hujumlarini boshlash yoki ular uchun mo'ljallanmagan resurslarga kirish uchun ishlatilishi mumkin. DHCP snooping bu turdagi hujumlarni aniqlashi va oldini olishi mumkin.

-O'rtadagi odam hujumlari: Ushbu turdagi hujumda kimdir ikkita kompyuter o'rtasidagi aloqani to'xtatishga va o'zgartirishga harakat qiladi. Bu maxfiy ma'lumotlarni o'g'irlash yoki aloqaga zararli kodni kiritish uchun ishlatilishi mumkin. DHCP snooping bu turdagi hujumlarni aniqlashi va oldini olishi mumkin.

-Xizmatni rad etish hujumlari: Bu hujumlar kimdir xizmatni so'rovlar bilan to'ldirish yoki noto'g'ri so'rovlar bilan buzish orqali uni mavjud bo'lmagan holga keltirishga harakat qilganda sodir bo'ladi. DHCP snooping bu turdagi hujumlarni aniqlashi va oldini olishi mumkin.

DHCP Snoopingning afzalliklari

DHCP snoopingdan foydalanishning ko'plab afzalliklari bor, jumladan xavfsizlikni yaxshilash, tarmoqning uzilish vaqtini kamaytirish va tarmoqli kengligi iste'molini kamaytirish. Noto'g'ri DHCP serverlarining noto'g'ri IP manzil ma'lumotlarini tarqatishini oldini olish orqali DHCP snooping tarmog'ingizning umumiy xavfsizligini yaxshilashga yordam beradi. Bundan tashqari, faqat vakolatli DHCP serverlari IP-manzillarni tarqata olishini ta'minlash orqali DHCP-ni tekshirish DHCP serverida noto'g'ri muammo yuzaga kelganda tarmog'ingiz ishlamay qolish vaqtini kamaytirishga yordam beradi. Nihoyat, noto'g'ri DHCP serveridan IP-manzillarni qabul qila oladigan qurilmalar sonini cheklash orqali DHCP snooping ushbu qurilmalar tomonidan iste'mol qilinadigan tarmoqli kengligi miqdorini kamaytirishga yordam beradi.

DHCP Snoopingni qanday sozlash kerak

DHCP snoopingni sozlash uchun Sanoat chekilgan tugmasi, siz himoya qilmoqchi bo'lgan har bir VLAN interfeysida uni yoqishingiz kerak bo'ladi. Buni quyidagi buyruq yordamida amalga oshirishingiz mumkin:

(config)#ip dhcp snooping

DHCP snooping yoqilgandan so'ng, ishonchli interfeysni sozlashingiz kerak bo'ladi. Bu DHCP paketlarini yuborish va qabul qilish uchun ishlatiladigan interfeys. Buni quyidagi buyruq yordamida qilishingiz mumkin:

(config-if)#ip dhcp snooping ishonchi

Bundan tashqari, DHCP serverining IP manzilini sozlashingiz kerak bo'ladi. Buni quyidagi buyruq yordamida amalga oshirish mumkin:

(config-if)#ip dhcp snooping serveri

WebGUI boshqaruv interfeysi konfiguratsiyasi

DHCP opsiyasi nima?

DHCP opsiyasi DHCP protokolining xususiyati bo'lib, DHCP mijozlariga DHCP serveridan qo'shimcha ma'lumot so'rash imkonini beradi. Majburiy emas, mijoz serverdan ushbu ma'lumotni ma'lum bir format yoki tartibda taqdim etishini so'rashi mumkin.

Masalan, mijoz DHCP opsiyasida DNS server manzilini serverdan ko'rsatishni so'rashi mumkin. Shu bilan bir qatorda, mijoz serverdan barcha variantlarni alifbo tartibida taqdim etishni so'rashi mumkin.

DHCP protokoli mijozlar uchun foydali bo'lishi mumkin bo'lgan o'nlab variantlarni belgilaydi va yangi ehtiyojlar paydo bo'lganda yangi variantlar ko'pincha qo'shiladi. Ko'proq ishlatiladigan variantlardan ba'zilari:

-1-variant: Subnet maskasi

-2-variant: Efir manzili

- Variant 3: Router (standart shlyuz)

-6-variant: Domen nomi serveri (DNS) -variant 12: Xost nomi

-15-variant: Domen nomi

-28-variant: IPv6 uchun translyatsiya manzili

-43-variant: DHCP serverlari va mijozlari sotuvchiga xos konfiguratsiya ma'lumotlarini almashish uchun 43-variantdan foydalanadilar.

-Variant 82: Variant 82 - o'rni agenti varianti. U DHCP mijozi haqida joylashuv ma'lumotlarini yozib oladi. DHCP relay agenti yoki DHCP snooping qurilmasi mijozning so'rovini qabul qilganda, u so'rovga 82-variantni qo'shadi va uni serverga yuboradi.

Ushbu variantlarning hammasi ham har bir mijoz uchun tegishli yoki zarur bo'lmaydi. Masalan, 6-variant faqat DNS-dan foydalanadigan mijozlarga tegishli, 28-variant esa faqat IPv6-dan foydalanadigan mijozlarga tegishli.

Xulosa

Xulosa qilib aytganda, DHCP Snooping tarmog'ingizni zararli hujumlardan himoya qilishga yordam beradigan kuchli xavfsizlik xususiyatidir. U tarmoqda qaysi qurilmalarga ruxsat berilganligini va ular qaysi turdagi trafikka kirishini nazorat qilish imkonini beradi. Bu ruxsatsiz kirishning oldini olish va ma'lumotlarning sizib chiqishi yoki boshqa zaifliklarni kamaytirish orqali tarmog'ingizni xavfsiz va ishonchli saqlashga yordam beradi. Ushbu afzalliklarni hisobga olgan holda, DHCP Snoopingni sozlash har qanday tarmoq ma'muri xavfsizlik strategiyasining muhim qismi bo'lishi kerakligi aniq.