Как предотвратить атаки на DHCP с помощью настройки DHCP Snooping

Новости

Рассмотрим что такое истощение DHCP (DHCP Starvation) и поддельный DHCP-сервер (DHCP Spoofing), а также как предотвратить атаки, связанные с DHCP, с помощью функции DHCP Snooping и как настроить эту функцию на Cisco IOS.

В данной работе используются команды и выходные данные маршрутизатора Cisco 1941 с ПО Cisco IOS версии 15.4(3)M2 (с лицензией Security Technology Package). Команды коммутатора и выходные данные соответствуют коммутаторам Cisco WS-C2960-24TT-L с ОС Cisco IOS Release 15.0(2)SE4 (образ C2960-LANBASEK9-M). Допускается использование других маршрутизаторов, коммутаторов и версий Cisco IOS.

 

Схема топологии следующая:

CCNA-Security-Lab-Securing-Layer-2-Switches - DHCP Snooping

Видео инструкция на нашем YouTube канале:

 

Лабораторная работа доступна здесь: CCNA Security Lab Securing Layer 2 Switches.

 

Сценарий

Инфраструктура на уровне 2 состоит из множества взаимно подключенных коммутаторов Ethernet. Большинство пользовательских устройств, таких как компьютеры, принтеры, IP-телефоны и другие хосты, подключаются к сети через коммутаторы уровня 2. В результате, коммутаторы могут представлять угрозу сетевой безопасности. По аналогии с маршрутизаторами коммутаторы также являются объектом атак внутренних злоумышленников. Программное обеспечение Cisco IOS для коммутаторов предоставляет множество опций по обеспечению безопасности, предназначенных для различных функций и протоколов коммутаторов.
В данной лабораторной работе вы настроите доступ по SSH и безопасность на уровне 2 на коммутаторах S1 и S2. Вы также настроите функцию DHCP Snooping для предотвращения атак истощение DHCP (DHCP Starvation) и поддельный DHCP-сервер (DHCP Spoofing).

 

Задачи

Часть 1. Настройка базовых параметров коммутатора
Часть 2. Настройка IP DHCP Snooping

 

Конфигурации R1 после выполнения Части 1
hostname R1
no ip domain-lookup

interface Gi0/1
ip address 192.168.1.1 255.255.255.0
no shut

line con 0
exec-timeout 5 0
logging synchronous

 

 

Конфигурации S1 после выполнения Части 1
hostname S1
no ip domain-lookup

line con 0
exec-timeout 5 0
logging synchronous
exit

interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown

no ip http server
no ip http secure-server

enable algorithm-type scrypt secret cisco12345

 

 

Конфигурации R1 после выполнения Части 2
ip dhcp pool CCNAS
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
ip dhcp excluded-address 192.168.1.1 192.168.1.4

ip dhcp pool 20Users
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
ip dhcp excluded-address 192.168.20.1 192.168.20.4

interface g0/1
shutdown
no ip address 192.168.1.1 255.255.255.0
no shutdown
int g0/1.1
encapsulation dot1q 1
ip address 192.168.1.1 255.255.255.0
int g0/1.20
encapsulation dot1q 20
ip address 192.168.20.1 255.255.255.0

 

 

Конфигурации S1 после выполнения Части 2
int f0/5
switchport mode trunk

ip dhcp snooping
ip dhcp snooping information option
ip dhcp snooping vlan 1,20

interface f0/6
ip dhcp snooping limit rate 10

interface f0/5
description connects to DHCP server
ip dhcp snooping trust

show ip dhcp snooping

 

 

Конфигурации R2 после выполнения Части 2
hostname R2
no ip domain-lookup

interface Gi0/1
ip address 192.168.20.2 255.255.255.0
no shut

line con 0
exec-timeout 5 0
logging synchronous

ip dhcp pool 20Users
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
ip dhcp excluded-address 192.168.20.1 192.168.20.4

 

 

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Новости

Больше похожих постов

2 комментария. Оставить новый

  • Почему устройства не получают ip если подключены через wifi точку ?
    Ответить
  • привет спасибо за вашу статью я такое настроил у себе dhcp snooping от точней этот строка
    ip dhcp snooping information option у меня на компьютеры не работал интернет, и я убрал этот строка
    no ip dhcp snooping information option и после этого у меня все заработала, как вы это прокомментируйте
    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Самое читаемое
Меню