2020-01-13

DHCP Snooping - 비인가 DHCP 사용 차단.


사내 네트워크 운영하다보면 사용자 부주의 혹은 허용되지 않은 공유기등을 통해서 내부에 DHCP가 도는 경우가 종종 발생하게 된다.
  이를 방지할 수 있는 방법으로 Cisco 장비에서 지원하는 DHCP Snooping 기능이 있어서 소개하고자 한다. 
 1. DHCP Snooping
   - Snooping 은 '기웃거리다, 염탐하다' 라는 의미로, dhcp snooping은 dhcp 패킷의 내용을 중간에서 엿보는 것처럼 탐지 하여 DHCP 응답이 오면 차단을 하는 기능이다.
  - 각 인터페이스에 대해 신뢰여부를 판단하여 신뢰하지 않는 인터페이스에 대해서는 DHCP 응답 패킷을 모두 차단하여 불법 DHCP 서버등으로 부터의 공격을 차단할 수 있다.
2. 스위치 설정 방법
SW#conf t
SW(config)#ip dhcp snooping
SW(config)#ip dhcp snooping vlan [vlan id]
SW(config)#interface range gigabitEthernet 0/1 ~ 10  
SW(config)#ip dhcp snooping limit rate [num]
SW(config)#interface gigabitEthernet 0/24
SW(config)#ip dhcp snooping trust
- ip dhcp snooping
   : dhcp snooping 기능 활성화. 
- ip dhcp snooping vlan [vlan id]
   : dhcp snooping 기능을 사용할 Vlan을 정해준다. 기본적으로 모든 인터페이스는 신뢰할 수 없는 인터페이스가 된다. 
- interface range gigabitEthernet 0/1 ~ 10
- ip dhcp snooping limit rate [num]
   : 신뢰하지 않는 인터페이스에 들어가서 초당 dhcp 패킷 수를 조정한다. 혹시 내부에서 dos 공격이 있을 경우 차단하기위한
    옵션이다. 
- interface gigabitEthernet 0/24 
- ip dhcp snooping trust
   : 사용하는 dhcp 서버가 연결되어 있는 인터페이스가 있다면 신뢰 인터페이스로 변경해 준다. 
3. DHCP Snooping 상태 확인
SW#sh ip dhcp snooping  
Switch DHCP snooping is enabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
1
DHCP snooping is operational on following VLANs:
1
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 6c6c.d38d.c280 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------   
GigabitEthernet0/24        yes        yes             unlimited  
Custom circuit-ids:
SW#

SW#sh ip dhcp snooping statistic
  Packets Forwarded                                     = 106
 Packets Dropped                                         = 0
 Packets Dropped From untrusted ports       = 0
SW#

댓글 없음:

댓글 쓰기

Elasticsearch Heap Size

  Elasticsearch는 Java 기반으로 동작을 합니다. Java는 가비시 컬렉터 (garbage-collected)에 의해서 관리가 되며, Java 객체는 힙(Heap) 이라고하는 메모리의 런타임 영역에 상주합니다.  Elasticsear...