Dhcp bepillantás, és így tovább - NTWRK jegyzetek
Olvasd el ezt a cikket megtudhatja, a DHCP biztonsági koncepció, és látni fogja a végrehajtás egy demonstrációs alapuló Cisco Catalyst 2960, felismerve a DHCP Szimatolás jellemző kiegészítő funkciókkal: IP Source Guard és a dinamikus ARP Ellenőrzési.
Linkek a hivatkozás:
Annak ellenére, hogy a DHCP tűnhet meglehetősen egyszerű protokoll, vannak rejtett hatalmas lehetőségeket, amelyek remélem még olvasni. Abban az esetben használja ezt a protokollt a hálózatban, továbbá a fogadó lenyűgöző listáját profik, csak kap egy nagy hátránya - a kritikus függősége a DHCP szerver stabilitását. És ezzel együtt, valamint a szükséges obezopastit magát egy kis fenyegetések listáját, amelyek megszakítják a rendelkezésre álló szolgáltatások:
Hogy megakadályozzák a fenti támadások Cisco Systems azt javasolja, hogy rendelkezésre állnak a Cisco IOS DHCP-bepillantás funkció az operációs rendszer.
Tehát van jelenlétét L3-kapcsoló elosztási szinten (DSW0), felfelé irányuló felé nézett, amelynek a magja az egyik a törvényes DHCP szerver, és amely daunlinki vezet L2-hozzáférési réteg kapcsolók (ASW0. ASW1. ASW2 ... ASWn) . Ebben a cikkben fogjuk csak beállítani ASW0 kapcsolót, amely a port Fast Ethernet-csatlakozó Cisco IP telefon, PC-portra csatlakoztatott felhasználó számítógépén.
nyilvánvaló az ábrából, hogy a csomagokat küldeni törvényes DHCP szerver az ügyfelek jönnek ASW0 kapcsolót a port gigabitethernet 0/1 és az alapötlet az, hogy létrehozza a port, mint a megbízható (bizalom), míg az összes többi, nem konfigurált portok automatikusan vált nem megbízható (megbízhatatlan). Miután a bizalom van kitéve, és fut IP DHCP-bepillantás szolgáltatás megbízhatatlan kikötők lépnek érvénybe az alábbi szabályokat:
Le csomag „le”, hogy az ügyfél a hirdetést, és beveszik azt tartalmazza nem működik. Így, még ha a támadó és lehet állítani a DHCP-szervert a számítógépen, bármilyen csomagként hogy továbbra is blokkolja a kapcsolótábla, mint a számítógép csatlakoztatva van egy megbízhatatlan port.
Végezze alapbeállítást.
2.1 meghatározása a probléma
2.1.1 Switch Feature ASW0
- Termék neve: Cisco Catalyst 2960
- Operációs rendszer: A Cisco IOS LAN Base 15,0 (1) SE
- Növekvő a DHCP-szerver port: 0/1 GigibitEthernet
- Nem megbízható portok: FastEthernet 0 / 1-24
Port konfiguráció:
Configuration port GigibitEthernet 0/1
Feltüntetjük Megbízható portok és állíthatja a korlátot 48 DHCP-csomagokat / sec