Little boy questioned his mother, he asked what he can be in the future..with a sad smile, she tells him he can be anything he wants to be.... Boy said he’d become (an) astronaut and fly out into space crews around the universe he wanted to see the stars and also see other planets in outer space------------- "Why don’t we just keep dreaming, let’s keep our mind with dream and faith, as long as we wish we can make it come true, how old you are never forget your dream and keep dreaming "

Sunday, 24 July 2016

DHCP Snooping

Selamat malam kali ini saya akan bahas tentang DHCP lagi setelah sebelumnya posting mengenai Konfigurasi DHCP Server di Router Cisco Packet Tracer, kali ini fokus pada sisi keamanannya, salah satunya adalah fitur DHCP snooping yang dapat diitemui pada switch Cisco Catalyst.
Enjoy ^^


DHCP SNOOPING

DHCP snooping adalah fitur Cisco Catalyst yang menentukan port switch mana yang dapat merespon permintaan DHCP (DHCP request). Port diidentifikasi sebagai trusted dan untrusted. trusted port mendapat semua lalu lintas pesan DHCP , termasuk DHCP offer dan DHCP ancknoledgement, sedangkan untrusted port hanya dapat DHCP request saja. trusted port bisa sebuah host DHCP server atau bisa menjadi uplink ke server DHCP. 

Jika perangkat penipu (rogue device) pada port untrusted mencoba untuk mengirim paket DHCP offer ke jaringan, maka port akan dimatikan.
DHCP Snooping adalah fitur keamanan yang bertindak seperti firewall antara untrusted host dan trusted DHCP server. Fitur  DHCP snooping melakukan kegiatan sebagai berikut:
  • Memvalidasi pesan DHCP yang diterima dari sumber yang tidak dipercaya dan menyaring pesan yang tidak valid.
  • Membatasi lalu lintas DHCP dari sumber terpercaya dan tidak terpercaya.
  • Membangun dan memelihara DHCP snooping binding database, yang berisi informasi tentang host tidak terpercaya dengan alamat IP disewakan.
  • Memanfaatkan database DHCP snooping binding untuk memvalidasi permintaan berikutnya dari host tidak terpercaya.
DHCP snooping diaktifkan pada basis per-VLAN. Secara default, fitur ini tidak aktif pada semua Port dan VLAN. Anda dapat mengaktifkan fitur pada VLAN tunggal atau dalam suatu range VLAN.

Fitur ini merupakan salah satu cara untuk mencegah terjadinya serangan pada DHCP server. terdapat dua serangan pada DHCP yaitu DHCP starvation attacks dan DHCP spoofing. pada DHCP starvation attacks, penyerang membanjiri (floods) DHCP server dengan DHCP request untuk dapat menggunakan seluruh ip yang tersedia sehingga menyebabkan denial of service (DOS) dimana client tidak dapat jaringan sedangkan DHCP spoofing, penyerang menempatkan sebuah DHCP server palsu dengan maksud memaksa agar client menggunakan IP, DNS dan gateway palsu.

Untuk lebih dapat lebih memahami fitur DHCP snooping ini, saya simulasikan dengan topologi sebagai berikut :
DHCP Server
DHCP Server
IP Address
10.10.10.1
Fake DHCP Server

IP Address
11.11.11.1
PC
PC0
DHCP
PC1
DHCP

Pada topologi diatas untuk “DHCP Server” menggunakan IP address 10.10.10.1/24 dengan pool IP dimulai dari 10.10.10.10
untuk “Fake DHCP Server” menggunakan IP address 11.11.11.1/24 dengan pool IP dimulai dari 11.11.11.10.

Dengan kehadirannya penyerang yang menempatkan DHCP server palsu pada jaringan, ini menjadi sangat rentan dimana ketika client melakukan discover dan request, bisa terjadi client mendapat offer dari ack dari DHCP server palsu. yang akan kita lakukan adalah mengkonfigurasi port pada switch menjadi trusted dan untrusted, port yang menuju DHCP server (asli) akan saya set manjadi trusted, dan port lainnya menjadi untrusted.

Pertama, klik switch dan pada mode command line interface, aktifkan fitur dhcp snooping dan menset port yang terkoneksi langsung DHCP server menjadi trusted.
Pada menu global configuration ketikan :


Switch(config)#ip dhcp snooping 
Switch(config)#ip dhcp snooping vlan 1
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#ip dhcp snooping trust 
Switch(config-if)#exit
Switch(config)#interface range fastEthernet 0/2 - 24
Switch(config-if-range)#ip dhcp snooping limit rate 5

Dengan konfigurasi diatas, dengan mengaktifkan ip dhcp snooping, semua port secara default menjadi untrusted, dan dengan perintah ip dhcp snooping trust pada fa0/1 menjadikan port fa0/1 bisa dilalui semua lalu lintas DHCP (offer dan ack), kemudian ip dhcp snooping limit rate 5 pada semua port lainnya menset batas packet dhcp yang melalui port sebanyak 5 pps (packet per-second). Hal ini dimaksudkan untuk mencegah DHCP starvation attack ketika jumlah packet melebihi lima maka port kan di-shutdown/dimatikan.

DHCP request dari client :
Sekian pembahasan dari saya, maaf kalo ada banyak kekurangan atau kesalahan karena yang ga pernah salah itu cewek, eh allah swt maskudnya :p

Terima Kasih





No comments:

Post a Comment