DANH MỤC MENU

DHCP Snooping là gì? Vai trò của DHCP Snooping trong bảo mật mạng

Views: 67 - Category: Kiến thức công nghệ, Tin tức - On:

Trong mạng máy tính, giao thức DHCP được sử dụng phổ biến để tự động cấu hình địa chỉ IP cho các thiết bị kết nối. Tuy nhiên, giao thức này cũng tiềm ẩn những rủi ro về bảo mật. Để khắc phục sự cố này, tính năng DHCP Snooping ra đời như một giải pháp hiệu quả. Vậy DHCP Snooping là gì? Vai trò của DHCP trong bảo mật mạng như thế nào? Hãy cùng Hà Phương khám phá dưới đây nhé! 

DHCP Snooping là gì? Vai trò của DHCP Snooping trong bảo mật mạng

DHCP Snooping là gì?

DHCP Snooping là công nghệ bảo mật được tích hợp vào hệ điều hành của một bộ chuyển mạch mạng (Switch) có khả năng giảm lưu lượng DHCP (Dynamic Host Configuration Protocol) được xác định là không thể chấp nhận được. DHCP Snooping ngăn chặn các máy chủ DHCP giả mạo cung cấp địa chỉ IP cho máy khách DHCP.

DHCP Snooping xem xét các gói tin DHCP đến và kiểm tra các thông báo DHCP. Nó trích xuất địa chỉ IP và cho thuê thông tin được phân bổ cho khách hàng và xây dựng cơ sở dữ liệu. Bằng cách này, DHCP Snooping có thể xem xét các gói tin đến có phải từ các máy khách hợp lệ hay không.

DHCP Snooping đóng vai trò như một người bảo vệ an ninh mạng bằng cách theo dõi các địa chỉ IP hợp lệ được DHCP server gán cho các thiết bị mạng.

Nguyên lý hoạt động của chế độ DHCP

Để hiểu nguyên lý hoạt động của chế độ DHCP, trước hết bạn cần phải hiểu cách thức hoạt động của DHCP server.

Khi DHCP được bật, một thiết bị mạng không được gán bất kỳ địa chỉ IP nào sẽ được tiếp cận DHCP server theo bốn giai đoạn đó là khám phá, ưu đãi, yêu cầu và ghi nhận. Cụ thể:

DHCP Snooping phân loại các giao diện trên Switch thành 2 loại là cổng đáng tin cậy và không đáng tin cậy. Cổng đáng tin cậy là một cổng hoặc nguồn có thông báo DHCP server đáng tin cậy. Nếu DHCP Snooping được bắt đầu, thông báo chỉ có thể được gửi qua cổng đáng tin cậy. Nếu không, nó sẽ bị loại bỏ. 

Trong giai đoạn xác nhận, bảng liên kết DHCP sẽ được tạo theo thông báo DHCP ACK, ghi lại địa chỉ MAC của máy chủ, địa chỉ IP được thuê, thời gian thuê, loại liên kết, số VLAN và thông tin giao diện được liên kết với máy chủ. Nếu gói DHCP tiếp theo nhận được từ cổng không đáng tin cậy không khớp với thông tin trên, nó sẽ bị loại bỏ.    

Các vấn đề thường xảy ra với DHCP Server

DHCP Server là một dịch vụ quan trọng trong mạng máy tính, giúp các thiết bị kết nối mạng tự động nhận địa chỉ IP và các thông số mạng khác. Tuy nhiên, DHCP Server cũng có thể gặp một số vấn đề, gây ảnh hưởng đến hoạt động của mạng: 

  • Xung đột địa chỉ IP: Đây là vấn đề thường gặp nhất khi sử dụng DHCP Server. Xung đột địa chỉ IP xảy ra khi hai thiết bị kết nối mạng cùng nhận được cùng một địa chỉ IP. Điều này có thể khiến các thiết bị không thể kết nối với nhau hoặc với mạng.
  • DHCP Server không hoạt động: DHCP Server không hoạt động có thể do nhiều nguyên nhân, chẳng hạn như cấu hình sai, lỗi phần cứng hoặc phần mềm. Khi DHCP Server không hoạt động, các thiết bị kết nối mạng sẽ không thể nhận được địa chỉ IP và các thông số mạng khác.
  • DHCP Server quá tải: DHCP Server có thể quá tải nếu có quá nhiều thiết bị yêu cầu địa chỉ IP cùng một lúc.
  • Tấn công DHCP: Tin tặc có thể lợi dụng DHCP Server để thực hiện các cuộc tấn công, chẳng hạn như chiếm quyền kiểm soát các thiết bị kết nối mạng, phát tán các gói tin độc hại,…

Các bước cấu hình DHCP Snooping trên Switch Cisco

Bước 1: Bật tính năng toàn cục trên switch Cisco

DHCP snooping không hoạt động cho đến khi bạn bật tính năng này trên ít nhất một VLAN và bật DHCP toàn cầu trên switch.

Trước khi kích hoạt tính năng toàn cục DHCP snooping trên switch, hãy đảm bảo rằng các thiết bị đóng vai trò là máy chủ DHCP và tác nhân chuyển tiếp DHCP đã được cấu hình và kích hoạt.

Để bật tính năng DHCP Snooping trên switch Cisco, bạn cần chạy lệnh sau:

SW1(config)#ip dhcp snooping

SW2(config)#ip dhcp snooping

SW3(config)#ip dhcp snooping

Bước 2: Bật DHCP Snooping trên VLAN 10

Lệnh show ip dhcp snooping sẽ hiển thị tất cả các VLAN (cả chính và phụ) đã bật DHCP snooping.

SW1(config)#ip dhcp snooping vlan 10

SW2(config)#ip dhcp snooping vlan 10

SW3(config)#ip dhcp snooping vlan 10

Bước 3: Vô hiệu hóa tùy chọn 82 được chèn trong gói DHCP

Tùy chọn 82 là một tùy chọn DHCP cho phép máy chủ DHCP cung cấp thông tin về cổng chuyển mà máy khách DHCP được kết nối. Tuy nhiên, tùy chọn này có thể được sử dụng bởi tin tặc để thực hiện các cuộc tấn công DHCP.

Để vô hiệu hóa tùy chọn 82, bạn cần chạy lệnh sau:

SW1(config)#no ip dhcp snooping information option

SW2(config)#no ip dhcp snooping information option

SW3(config)#no ip dhcp snooping information option

Bước 4: Xác định cấu hình những giao diện đáng tin cậy trên các mạch chuyển (Những giao diện kết nối với DHCP máy chủ hợp pháp)

SW1(config)# interface GigabitEthernet0/1

SW1(config-if)# ip dhcp snooping trust

SW2(config)# interface GigabitEthernet0/1

SW2(config-if)# ip dhcp snooping trust

SW3(config)# interface FastEthernet0/1

SW3(config-if)# ip dhcp snooping trust

Lệnh này khai báo rằng cổng GigabitEthernet0/1 trên Switch là một cổng đáng tin cậy đối với DHCP Snooping. Điều này có nghĩa là switch sẽ tin tưởng vào thông tin DHCP mà nó nhận được từ cổng này và không áp dụng các biện pháp bảo vệ như lọc DHCP trên nó. 

Bước 5: Xác định cấu hình giới hạn tốc độ với những yêu cầu DHCP từ máy khách (tùy chọn)

Để giới hạn tốc độ với những yêu cầu DHCP từ máy khách, bạn cần chạy lệnh sau:

SW1(config)# interface FastEthernet0/1

SW1(config-if)# ip dhcp snooping limit rate 20

SW2(config)# interface FastEthernet0/1

SW2(config-if)# ip dhcp snooping limit rate 20

Bước 6: Xác minh DHCP trên switch Cisco

Để xác minh DHCP trên switch Cisco, bạn có thể chạy lệnh sau:

SW1(config)# show ip dhcp snooping

SW1(config)# show ip dhcp snooping binding

Ở đây nếu bạn muốn thiết bị của ai đó luôn giữ 1 địa chỉ IP address thì các bạn cấu hình thêm gán MAC address của máy mình cho địa chỉ ip mà muốn sử dụng.

Các bước cấu hình DHCP trên Router Cisco

Cấu hình router cấp IP động

Bước 1: Cấu hình cơ bản cho Router

Các lệnh thực hiện: 

Router(config)#interface f0/0

Router(config-if)#ip address 10.0.0.1 255.255.255.0

Router(config-if)#no shutdown

Lưu ý về yêu cầu của cấu hình:

  • Cấp phát IP động
  • Không cấp phát các IP đã gán cố định có trên các máy chủ, thiết bị khi cấp phát động.

Bước 2: Bật dịch vụ DHCP

Bật dịch vụ DHCP với lệnh: Router(config)#service dhcp

Bước 3: Tạo 1 pool để cấp IP cho client

Tạo pool DHCP với các thông số như sau:

  • Tên pool: Đặt tên cho pool DHCP để dễ dàng quản lý.
  • Mạng con: Xác định địa chỉ mạng con cần cấp địa chỉ IP.
  • Default Router: Thiết lập địa chỉ IP của default Router (thiết bị định tuyến mặc định) cho các thiết bị kết nối đến mạng.
  • DNS server: Cung cấp địa chỉ IP của máy chủ DNS để các thiết bị có thể truy cập Internet.

Cụ thể bạn hãy thực hiện theo các lệnh sau: 

Router(config)#ip dhcp pool Network_10 <– đặt tên cho pool cấp IP

Router(dhcp-config)#network 10.0.0.0 255.255.255.0

Router(dhcp-config)#default-router 10.0.0.1

Router(dhcp-config)#dns-server 8.8.8.8 8.8.4.4

Bước 4: Tạo 1 dải IP để loại trừ

Router(config)#ip dhcp excluded-address 10.0.0.1 10.0.0.10

Dải IP này sẽ không được cấp cho các client

Bước 5: Xác minh lại cấu hình DHCP 

Sau khi cấu hình DHCP trên Router Cisco, ta có thể kiểm tra kết nối DHCP bằng cách sử dụng lệnh sau: Router(config)# show ip dhcp binding

Cấu hình router cấp IP cố định cho client

– Trên Client: lấy địa chỉ Mac của PC ví dụ: 00-50-56-3D-7A-3C

– Trên Router: Ta chuyển Mac client lại để phù hợp với cấu hình của các thiết bị Cisco yêu cầu địa chỉ Mac dạng AAAA.BBBB.CCCC.DDDD bằng cách thêm 01 vào đầu Mac client: từ 00-50-56-3D-7A-3C thành 0100.5056.3D7A.3C

Sau đó, thực hiện các lệnh sau: 

Router(config)#ip dhcp pool PC2

Router(dhcp-config)#host 10.0.0.100 255.255.255.0

Router(dhcp-config)#client-identifier 0100.5056.3D7A.3C

Router(dhcp-config)#default-router 10.0.0.1

Router(dhcp-config)#dns-server 10.0.0.1

– Xem lại cấu hình DHCP trên Router bằng cách gõ các lệnh: Router(config)# show ip dhcp binding

Loại tấn công phổ biến đã được DHCP Snooping ngăn chặn

DHCP Spoofing Attack (Giả mạo DHCP để tấn công)

Giả mạo DHCP xảy ra khi kẻ tấn công cố gắng phản hồi các yêu cầu DHCP và cố gắng liệt kê chính nó (giả mạo) là cổng mặc định hoặc máy chủ DNS. 

Nếu máy chủ DHCP giả gửi thông báo DHCP không có thật với địa chỉ cổng, địa chỉ máy chủ hệ thống tên miền (DNS) hoặc địa chỉ IP không chính xác tới máy khách DHCP  thì máy khách DHCP không thể lấy được địa chỉ IP chính xác và thông tin cần thiết. Người dùng được ủy quyền sau đó không truy cập được vào mạng và bảo mật thông tin người dùng bị xâm phạm.

Cùng với đó, chúng có thể chặn lưu lượng truy cập từ người dùng trước khi chuyển tiếp đến cổng thực hoặc thực hiện DoS bằng cách làm tràn ngập máy chủ DHCP thực với các yêu cầu làm nghẹt tài nguyên địa chỉ IP.

DHCP Starvation Attack (Tấn công làm sập máy chủ)

DHCP Starvation Attack hay còn được gọi là DHCP Exhaustion Attack thường nhắm vào các máy chủ DHCP mạng. Để thực hiện cuộc tấn công này, kẻ tấn công gửi hàng tấn tin nhắn DHCP Discover không có thật với địa chỉ MAC nguồn giả mạo. 

Máy chủ DHCP cố gắng phản hồi tất cả các tin nhắn không có thật này và kết quả là nhóm địa chỉ IP được máy chủ DHCP sử dụng bị cạn kiệt. Do đó, người dùng hợp pháp sẽ không thể nhận địa chỉ IP qua DHCP. Điều này dẫn đến một cuộc tấn công DoS. 

Hơn nữa, kẻ tấn công có thể thiết lập máy chủ DHCP giả mạo để gán địa chỉ IP cho người dùng hợp pháp. Máy chủ lừa đảo này cũng có thể cung cấp Gateway Router và máy chủ DNS cho người dùng. Giờ đây, tất cả lưu lượng truy cập mạng có thể được định tuyến qua máy của kẻ tấn công và đây không gì khác ngoài cuộc tấn công Man in the Middle (MITM). 

Tổng kết

Mặc dù DHCP đơn giản hóa việc đánh địa chỉ IP nhưng nó đồng thời cũng gây ra những lo ngại về bảo mật. Để giải quyết các mối lo ngại, DHCP Snooping đã trở thành giải pháp bảo vệ hiệu quả. Hy vọng, qua bài viết này bạn đã hiểu hơn DHCP Snooping là gì và đừng quên theo dõi chúng tôi để đọc thêm các kiến thức mạng hữu ích mới nhất. 

Có thể bạn quan tâm

NHÀ PHÂN PHỐI THIẾT BỊ MẠNG CHÍNH HÃNG, UY TÍN

CÔNG TY TNHH PHÂN PHỐI HÀ PHƯƠNG

Văn phòng Hà Nội
Số 39 Đường 3.9 Khu đô thị Gamuda Gardens, Phường Yên Sở, Quận Hoàng Mai, TP Hà Nội
0964.232.066
haphuong@npp.com.vn
Chi nhánh Hồ Chí Minh
Đường số 30, Phường Linh Đông, TP. Thủ Đức, Hồ Chí Minh
0964.232.066

    Báo giá Dự Án

    Bạn có câu hỏi về việc mua một sản phẩm hoặc giải pháp mà bạn quan tâm? Điền vào biểu mẫu và chúng tôi sẽ trả lời sau 1 ngày làm việc. Báo giá ngay, được hỗ trợ giá ưu đãi tốt nhất.