Selamat malam kali ini saya akan bahas tentang DHCP lagi setelah sebelumnya posting mengenai Konfigurasi DHCP Server di Router Cisco Packet Tracer, kali ini fokus pada sisi keamanannya, salah satunya adalah fitur DHCP snooping yang dapat diitemui pada switch Cisco Catalyst.
Enjoy ^^
DHCP SNOOPING
DHCP snooping adalah fitur Cisco Catalyst yang menentukan port switch mana yang dapat merespon permintaan DHCP (DHCP request). Port diidentifikasi sebagai trusted dan untrusted. trusted port mendapat semua lalu lintas pesan DHCP , termasuk DHCP offer dan DHCP ancknoledgement, sedangkan untrusted port hanya dapat DHCP request saja. trusted port bisa sebuah host DHCP server atau bisa menjadi uplink ke server DHCP.
Jika perangkat penipu (rogue device) pada port untrusted mencoba untuk mengirim paket DHCP offer ke jaringan, maka port akan dimatikan.
DHCP Snooping adalah fitur keamanan yang bertindak seperti firewall antara untrusted host dan trusted DHCP server. Fitur DHCP snooping melakukan kegiatan sebagai berikut:
- Memvalidasi pesan DHCP yang diterima dari sumber yang tidak dipercaya dan menyaring pesan yang tidak valid.
- Membatasi lalu lintas DHCP dari sumber terpercaya dan tidak terpercaya.
- Membangun dan memelihara DHCP snooping binding database, yang berisi informasi tentang host tidak terpercaya dengan alamat IP disewakan.
- Memanfaatkan database DHCP snooping binding untuk memvalidasi permintaan berikutnya dari host tidak terpercaya.
DHCP snooping diaktifkan pada basis per-VLAN. Secara default, fitur ini tidak aktif pada semua Port dan VLAN. Anda dapat mengaktifkan fitur pada VLAN tunggal atau dalam suatu range VLAN.
Fitur ini merupakan salah satu cara untuk mencegah terjadinya serangan pada DHCP server. terdapat dua serangan pada DHCP yaitu DHCP starvation attacks dan DHCP spoofing. pada DHCP starvation attacks, penyerang membanjiri (floods) DHCP server dengan DHCP request untuk dapat menggunakan seluruh ip yang tersedia sehingga menyebabkan denial of service (DOS) dimana client tidak dapat jaringan sedangkan DHCP spoofing, penyerang menempatkan sebuah DHCP server palsu dengan maksud memaksa agar client menggunakan IP, DNS dan gateway palsu.
Fitur ini merupakan salah satu cara untuk mencegah terjadinya serangan pada DHCP server. terdapat dua serangan pada DHCP yaitu DHCP starvation attacks dan DHCP spoofing. pada DHCP starvation attacks, penyerang membanjiri (floods) DHCP server dengan DHCP request untuk dapat menggunakan seluruh ip yang tersedia sehingga menyebabkan denial of service (DOS) dimana client tidak dapat jaringan sedangkan DHCP spoofing, penyerang menempatkan sebuah DHCP server palsu dengan maksud memaksa agar client menggunakan IP, DNS dan gateway palsu.
Untuk lebih dapat lebih memahami fitur DHCP snooping ini, saya simulasikan dengan topologi sebagai berikut :
DHCP Server
| |
DHCP Server
| |
IP Address
|
10.10.10.1
|
Fake DHCP Server
| |
IP Address
|
11.11.11.1
|
PC
| |
PC0
|
DHCP
|
PC1
|
DHCP
|
Pada topologi diatas untuk “DHCP Server” menggunakan IP address 10.10.10.1/24 dengan pool IP dimulai dari 10.10.10.10
untuk “Fake DHCP Server” menggunakan IP address 11.11.11.1/24 dengan pool IP dimulai dari 11.11.11.10.
Dengan kehadirannya penyerang yang menempatkan DHCP server palsu pada jaringan, ini menjadi sangat rentan dimana ketika client melakukan discover dan request, bisa terjadi client mendapat offer dari ack dari DHCP server palsu. yang akan kita lakukan adalah mengkonfigurasi port pada switch menjadi trusted dan untrusted, port yang menuju DHCP server (asli) akan saya set manjadi trusted, dan port lainnya menjadi untrusted.
Pertama, klik switch dan pada mode command line interface, aktifkan fitur dhcp snooping dan menset port yang terkoneksi langsung DHCP server menjadi trusted.
Pada menu global configuration ketikan :
Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 1 Switch(config)#interface fastEthernet 0/1 Switch(config-if)#ip dhcp snooping trust Switch(config-if)#exit Switch(config)#interface range fastEthernet 0/2 - 24 Switch(config-if-range)#ip dhcp snooping limit rate 5
Dengan konfigurasi diatas, dengan mengaktifkan
ip dhcp snooping, semua port secara default menjadi untrusted, dan dengan perintah ip dhcp snooping trust pada fa0/1 menjadikan port fa0/1 bisa dilalui semua lalu lintas DHCP (offer dan ack), kemudian ip dhcp snooping limit rate 5 pada semua port lainnya menset batas packet dhcp yang melalui port sebanyak 5 pps (packet per-second). Hal ini dimaksudkan untuk mencegah DHCP starvation attack ketika jumlah packet melebihi lima maka port kan di-shutdown/dimatikan.DHCP request dari client :
Terima Kasih
No comments:
Post a Comment