همانطور که در Gateway Redundancy گفتیم یک Device لایه ۳ به عنوان Gateway کامپیوتر ها انتخاب می شودحال فرض کنید یک نفر بیاید و کامپیوتر خودش را به عنوان Gateway کامپیوتر های دیگر معرفی کند (اصطلاحا Attac بزند ) و با این کار تمام اطلاعات ارسالی را در یافت می کند .
راه های مقابله با جعل ادرس DHCP Snooping and IP Source guard and Dynamic Arp Inspection
Switch های Cisco چند روش برای جلوگیری از این Attac ها دارند که عبارتنند از :
- DHCP Snooping
- IP Source guard
- Dynamic Arp Inspection
روش DHCP Snooping:
فرض کنید یک هکر خودش را به عنوان DHCP معرفی کند و یک کامپیوتر یک در خواست به DHCP جعلی دهد این اتفاق باعث می شود که اطلاعات ان کامپیوتر به دست هکر برسد.
Switch های Cisco قابلیت تجسس در بسته های DHCP را دارند که همان DHCP Snooping می باشد . زمانی که این حالت را فعال می کنیم پورت های Switch به ۲ دسته Trusted و UnTrusted تقسیم می شوند که به پورتی که به DHCP معتبر متصل هستند را Trusted و بقیه را UnTrusted می گوییم.
زمانی که DHCP Snooping فعال می کنیم Switch می اید و فعالیت های DHCP را کنترل می کند حال اگر یک پورت
on trusted به DHCP یک جواب دهد به معنای Attac است و ان پورت را Shut می کند و جوابش را به DHCP اصلی منتقل می کند .
*
یکی دیگر از کار های که DHSP Snooping انجام می دهد تهیه گزارش می باشد (مثلا یک IP چه در خواست هایی داشته ، چه زمانی پاسخ داده ،….) یک گزارش کامل می دهد
*
دستور فعال کردن این روش به شکل زیر می باشد
#ip dhcp snooping
برای معرفی پورت Trusted از دستور زیر استفاده می کنیم در مد interface
#IP dhcp snooping trust
روش IP source guard :
برای جلوگیری از جعل ادرس IP می باشد .
IP source guard با DHCP Snooping کار می کند برای این که DHSP Snooping یک Database کامل دارد.
DHSP Snooping همان طور که گفتیم یک گزارش کامل می دهد که داخل این گزارش IP و MAC های کهHost ها در خواست دادند را نگه داری می کند . حال IP با استفاده از این Database مقایسه میکند اگر اطلاعات درست بود جواب می دهد
بنا براین اول باید DHCP Snooping را فعال کنیم سپس IP Source Guorg بادستور زیر فعال می کنیم
#ip source binding MAC ADDRESS vlan ID
در اینجا به جای MAC ADDRESS ادرس MAC و به جای ID شماره Vlane قرار می دهیم
روش Dynamic Arp Inspection:
شبکه بر مبنای Arp کار می کند حال فرض کنید زمانی که بسته Arp ارسال می شود ممکن است یک نفر ادرس MAC خودش را برای در یافت اطلاعات قرار دهد. تقریبا مانند DHCP Snooping می باشد . یعنی پورت هارا به ۲ دسته تقسیم می کند Trusted و on Trusted حال اگر Arp از پورت on Trusted بیاید بررسی می شود و با Database که در DHCP Snooping می باشد مقایسه می کند اگر یکی بود اجازه عبور می دهد
#ip arp inspection
با دستور زیر پورت Trusted را مشخص می کنیم
#ip arp inspection trust
مقایسه سیستم های امنیتی اکسس پوینت ها
