DHCP Snooping (Araya Girme) ve IP MAC Binding (Bağlama) Nedir ?

DHCP(Dynamic Host Configuration Protocol), istemci cihazlara, IP (Internet Protocol) adresi, alt ağ maskesi, varsayılan alt ağ geçidi ve DNS (Domain Name System) adresi bilgilerini otomatik olarak dağıtan bir protokoldür. Bu protokol sayesinde, ağdaki tüm bilgisayarlara tek tek bilgi girmeye gerek kalmaz, IP çakışması gibi durumlar ortadan kalkar. İstemciler, DHCP sunucusundan gerekli bilgileri alabilmek için istek yollar; DHCP sunucusundan gelen bilgileri kullanarak internete erişmeye çalışır. Yalnız bunu yaparken kendisine ilk cevap dönen DHCP sunucusunun gönderdiği bilgileri tercih eder.

Ağda sahte DHCP sunucusu kuran ve çalıştıran bir kişi, aynı ağda DHCP isteğinde bulunan istemci cihazlara varsayılan ağ geçidi adresi kendisine ait olan bir DHCP cevabı dönebilir. İstemci bu cevabı aldığı andan itibaren ağ geçidi adresi olarak bu sahte adresi kullanmaya başlar ve yerel ağın dışında bir adresi hedefleyen paketler ilk olarak atak yapan kişinin makinesine yönlenir. Atakçı bu paketleri gitmeleri gereken doğru adreslere kendi üzerinden gönderirken tüm paketleri izleme olanağına sahip olur. Bunun yanı sıra sahte DHCP sunucusu kuran kişi, istemciyi gitmek istediği İnternet adreslerinin yerine kendi istediği İnternet sayfalarına yönlendirebilir. İstemci güvenliğini ve gizliliğini tehdit eden bu durumu engellemek için Cisco cihazlar üzerinde DHCP araya girme (DHCP Snooping) özelliği geliştirilmiştir.

DHCP Snooping ile sadece belli portlar üzerinden DHCP yayınına izin verilir ve diğer portlar engellenir. DHCP Snooping bunu belli portları güvenli, belli portları da güvensiz olarak tanımlayarak yapar. Güvenilen portlardan DHCP cevaplarına izin verilir ve anahtarlayıcı üzerinden verilerin akmasına izin verilir. Güvenilmeyen portlardan akmasına ise izin verilmez ve buradan gelen DHCP cevap paketleri çöpe atılır.

Anahtarlayıcılar üzerinde DHCP araya girme özelliği başlangıçta aktif değildir. Anahtarlayıcı konfigürasyonunda bu özelliğin aktif hale getirilmesi gereklidir. Bu işlem #ip dhcp snooping komutu ile yapılır. Bu komuttan sonra anahtarlayıcı üzerinde DHCP araya girme özelliği aktif hale gelir, fakat anahtarlayıcı hangi sanal ağlara ve hangi portlara güveneceğini bilemez. Bunun da anahtarlayıcıya öğretilmesi gerekir. #ip dhcp snooping vlan komutu ile ip snooping in hangi VLAN (virtual local area network - sanal yerel ağ bağlantısı) de işler hale getirileceği belirlenir. Ardından port seçilir ve arayüz moduna geçilir. Bu işlem için de #ip dhcp snooping trust komutu kullanılır.

Bunların yanında DHCP araya girme ayarlarında aşağıdaki komutlar da kullanılır:

(config)# ip dhcp snooping : DHCP araya girmeyi aktif hale getirmek için kullanılır.
(config)# no ip dhcp snooping : DHCP araya girmeyi pasif hale getirmek için kullanılır.
(config)# do show ip dhcp snooping: Yapılan DHCP konfigürasyonunu doğrulamak için kullanılır.
ip dhcp snooping vlan: DHCP araya girmeyi bir VLAN üzerinde aktive etmek için kullanılır. Pasif hale getirmek için no ip dhcp snooping komutu kullanılabilir.
(config-if)# ip dhcp snooping trust : Girilen arayüzdeki portta DHCP araya girmeyi aktif hale getirmek için kullanılır.
(config-if)# no ip dhcp snooping trust: Porttaki DHCP araya girme özelliğini pasif hale getirmek için kullanılır.

IP MAC Bağlama ?

Yalnızca ağınıza bağlanan belirli cihazlara izin vermek istiyorsanız IP-MAC Bağlamayı kullanabilir ve DHCP Snoopinge karşı önlem almış olursunuz. Bu özellik ile bir IP adresi sadece önceden yapılandırılmış bir MAC adresine atanacaktır. Ön konfigurasyon Statik DHCP ataması ile yapılır. Yapılandırma sayfasında DHCP Tablsounu görebilirsiniz. IP MAC Binding özelliğini aktive etmeniz gerekmektedir. Böylelikle Tabloda yer almayan ve IP-MAC eşleşmeyen bir Bilgisayar ağa bağlanırsa tüm trafik engellenir.

​

SİMET BİLİŞİM TEKNOLOJİLERİ A.Ş.

SSHTDM - Tarafından hazırlanmıştır.