cisco

راه های مقابله با جعل ادرس DHCP Snooping

امتیاز کاربران

ستاره فعالستاره فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

همانطور که در  Gateway Redundancy  گفتیم یک Device  لایه ۳ به عنوان Gateway  کامپیوتر ها انتخاب می شودحال فرض کنید   یک نفر بیاید و کامپیوتر خودش را به عنوان Gateway  کامپیوتر های دیگر معرفی کند (اصطلاحا Attac  بزند ) و با این کار تمام  اطلاعات ارسالی را در یافت می کند .

 

راه های مقابله با جعل ادرس DHCP Snooping and IP Source guard and Dynamic Arp Inspection

Switch  های Cisco  چند روش برای جلوگیری از این Attac ها دارند که عبارتنند از :

  • DHCP Snooping
  • IP Source guard
  • Dynamic Arp Inspection

 روش DHCP Snooping:

فرض کنید یک هکر خودش را  به عنوان DHCP  معرفی کند  و یک کامپیوتر یک در خواست به DHCP  جعلی دهد  این اتفاق باعث می شود که اطلاعات ان کامپیوتر به دست هکر برسد.

Switch  های Cisco  قابلیت تجسس در بسته های DHCP  را دارند که همان DHCP Snooping  می باشد .  زمانی که این حالت را فعال می کنیم پورت های Switch   به ۲ دسته Trusted  و  UnTrusted  تقسیم می شوند  که به پورتی که  به DHCP  معتبر متصل هستند را Trusted   و بقیه را UnTrusted  می گوییم.
زمانی که DHCP Snooping   فعال می کنیم Switch  می اید و فعالیت های DHCP  را کنترل می کند حال اگر یک  پورت
on trusted   به DHCP  یک جواب دهد به معنای Attac  است و ان پورت را Shut  می کند  و جوابش را به DHCP  اصلی  منتقل می کند .

*

یکی دیگر از کار های که  DHSP Snooping  انجام می دهد تهیه گزارش  می باشد (مثلا یک IP   چه در خواست هایی داشته ، چه زمانی پاسخ داده ،….) یک گزارش کامل می دهد

*

دستور فعال کردن این روش به شکل زیر می باشد

#ip  dhcp  snooping

 برای معرفی پورت Trusted   از دستور زیر استفاده می کنیم  در مد  interface

#IP dhcp snooping  trust

روش IP source  guard :
برای   جلوگیری از جعل ادرس IP   می باشد .

IP source guard   با DHCP Snooping   کار می کند  برای این که DHSP  Snooping  یک Database  کامل دارد.

DHSP Snooping   همان طور که گفتیم  یک گزارش کامل می دهد که داخل این گزارش IP  و MAC های کهHost  ها  در خواست  دادند را نگه داری می کند . حال IP  با استفاده از این Database   مقایسه میکند اگر اطلاعات درست بود جواب می دهد
بنا براین  اول باید DHCP Snooping   را فعال کنیم سپس IP Source Guorg  بادستور زیر فعال می کنیم

#ip source binding  MAC ADDRESS  vlan ID

 

در اینجا به جای MAC ADDRESS  ادرس MAC  و به جای ID  شماره Vlane  قرار می دهیم

روش Dynamic Arp Inspection:
شبکه بر مبنای Arp  کار می کند حال فرض کنید زمانی که بسته Arp  ارسال  می شود ممکن است یک نفر   ادرس MAC  خودش را برای در یافت اطلاعات قرار دهد. تقریبا مانند DHCP Snooping   می باشد . یعنی پورت هارا به  ۲ دسته تقسیم می کند Trusted  و  on Trusted حال اگر Arp  از پورت on  Trusted  بیاید بررسی می شود و با Database  که در DHCP Snooping می باشد مقایسه می کند اگر یکی بود اجازه عبور می دهد

#ip arp inspection

با دستور زیر پورت Trusted   را مشخص می کنیم

#ip arp inspection  trust


معرفی AD و Metric

MSTP در سیسکو

مقایسه سیستم های امنیتی اکسس پوینت ها

ویژگی های امنیتی Windows serevr و Hyper-V نسخه ۲۰۱۶

نکات ساده برای افزایش امنیت سرور لینوکس

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد