Labb 28: DHCP Snooping

Syftet med denna laboration är att implementera och testa säkerhetsåtgärder på en Cisco 2960-switch med hjälp av DHCP Snooping. Laborationen kommer att säkerställa att endast legitima DHCP-servrar kan ge IP-adresser till klienter, medan falska DHCP-servrar blockeras. Vi kommer också att arbeta med att stänga av oanvända portar och säkra VLAN 1, vilket är ett vanligt mål för attacker.

Bakgrund

I nätverk där flera DHCP-servrar är närvarande kan en rogue DHCP-server orsaka problem genom att distribuera felaktiga IP-adresser. DHCP Snooping är en L2-säkerhetsfunktion som skyddar nätverket genom att filtrera DHCP-meddelanden och säkerställa att endast betrodda DHCP-servrar kan ge adresser till klienter. Rogue DHCP-servrar blockeras genom att endast betrodda portar tillåts skicka DHCP-svar.

Topologi

Konfigurationer

  1. IP-adressering: Tilldela korrekta IP-adresser till DHCP-servrar
  2. Konfigurera VLAN 1, 10 och 20: Skapa och tilldela portar till respektive VLAN (Students, Teachers). VLAN 1 får behålla de andra portarna.
  3. Aktivera och konfigurera DHCP Snooping: Skydda nätverket genom att aktivera DHCP Snooping på VLAN 10 och 20.
    • Blockera alla oanvända portar: Stäng ner alla portar som inte används för att skydda mot obehörig åtkomst.
    • Blockera de tilldelade portarna (rate limiting på icke-betrodda portar): Sätt en gräns på antalet DHCP-meddelanden från icke-betrodda portar för att förhindra attacker.
    • Markera betrodda portar: Markera legitima DHCP-servrar som betrodda för att möjliggöra deras DHCP-svar.
  4. Konfigurera DHCP-klienter: Ställ in klienter i VLAN 10 och 20 att få IP-adresser dynamiskt från legitima servrar.
  5. Stänga av DHCP-tjänster på legitima servrar: Simulera en störning genom att stänga av legitima DHCP-servrar.
  6. Starta rogue DHCP-server: Starta en rogue DHCP-server och studera dess påverkan på klienterna i nätverket.
    • Lägg till en ny DHCP-klient på Fa0/18: Testa om den nya klienten får en dynamisk IP-adress från rogue-servern.
  7. Stänga ner oanvända portar i VLAN 1: Minimera riskerna genom att stänga ner oanvända portar, särskilt i VLAN 1.
    • Starta legitima DHCP-servrar och verifiera att klienter har rätt adressering
    • Övervaka och validera: Kontrollera att DHCP Snooping fungerar korrekt genom att övervaka och granska DHCP-bindningar.

IP adressering

  • Server DHCP-10
  • IP address: 192.168.10.2
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 192.168.10.1
  • DNS server: 192.168.10.2
  • DHCP pool
  • Pool name: serverPool
  • Default Gateway: 192.168.10.1
  • DNS server: 192.168.10.2
  • Start IP Address: 192.168.10.10
  • Subnet Mask: 255.255.255.0
  • Maximum Number of Users: 20
  • Server DHCP-20
  • IP address: 192.168.1´20.2
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 192.168.20.1
  • DNS server: 192.168.20.2
  • DHCP pool
  • Pool name: serverPool
  • Default Gateway: 192.168.20.1
  • DNS server: 192.168.20.2
  • Start IP Address: 192.168.20.20
  • Subnet Mask: 255.255.255.0
  • Maximum Number of Users: 20
  • DHCP-ROGUE
  • IP address: 100.100.100.2
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 100.100.100.1
  • DNS server: 100.100.100.2
  • DHCP pool
  • Pool name: serverPool
  • Default Gateway: 100.100.100.1
  • DNS server: 100.100.100.2
  • Start IP Address: 100.100.100.100
  • Subnet Mask: 255.255.255.0
  • Maximum Number of Users: 20

S1 konfigurationer

  • S1(config)# vlan 10
  • S1(config-vlan)# name Students
  • S1(config-vlan)# vlan 20
  • S1(config-vlan)# name Teachers
  • S1(config-vlan)# exit
  • S1(config)# interface range fa0/1-3
  • S1(config-if-range)# switchport mode access
  • S1(config-if-range)#switchport access vlan 10
  • S1(config-if-range)# exit
  • S1(config)# interface range fa0/9-11
  • S1(config-if-range)# switchport mode access
  • S1(config-if-range)#switchport access vlan 20
  • S1(config-if-range)# exit
  • S1(config)#

Aktivera DHCP snooping

  • Alla portar kategoriseras som "Untrusted"
  • S1(config)# ip dhcp snooping
  • Per VLAN
  • S1(config)# ip dhcp snooping vlan 10
  • S1(config)# ip dhcp snooping vlan 20
  • Markera betrodda portar
  • S1(config)# interface fa0/1
  • S1(config-if)# ip dhcp snooping trust
  • S1(config-if)# exit
  • Begränsa antalet DHCP-meddelanden (Discover, Offer, Request, Ack, Nak).
  • S1(config)# interface range fa0/2-3
  • S1(config-if)# ip dhcp snooping limit rate 10
  • S1(config-if)# exit
  • Markera betrodda portar
  • S1(config)# interface fa0/9
  • S1(config-if)# ip dhcp snooping trust
  • S1(config-if)# exit
  • Begränsa antalet DHCP-meddelanden (Discover, Offer, Request, Ack, Nak).
  • S1(config)# interface range fa0/10-11
  • S1(config-if)# ip dhcp snooping limit rate 10
  • S1(config-if)# exit
  • S1(config)#

Konfigurera DHCP klienter

 

 

 

 

Stänga av DHCP tjänster

Gör det samma med DHCP-20 servern

starta DHCP-ROGUE

Stänga ner oanvända portar i VLAN 1

  • S1(config)# interface range fa0/4-8, fa0/12-24, g0/1-2
  • S1(config-if-range)# shutdown
  • S1(config-if-range)# exit
  • S1(config)#

Starta legitima DHCP servrar

Övervaka och validera

  • S1# show ip dhcp snooping

Det här kommandot visar:

Vilka VLAN som har DHCP Snooping aktiverat.

Vilka portar som är betrodda (trusted) och icke-betrodda (untrusted).

Eventuella meddelanden om fel eller misslyckade DHCP-förfrågningar.

  • S1# show ip dhcp snooping binding

Den här kommando visar en databas som innehåller: 

  • IP-adress som tilldelats till en klient.
  • MAC-adress för den enhet som fått IP-adressen.
  • Gränssnitt på switchen där klienten är ansluten.

För att se detaljer i DHCP-trafik exekvera:

  • show logging