HP Switch DHCP Snooping ve ARP Detection Yapılandırması

Kurumsal yerel ağlarda, ağa izinsiz bağlanan kablosuz router vb. cihazların DHCP IP dağıtarak ağ düzenini bozması (Rogue DHCP) ve kullanıcıların ağ geçidini taklit eden ARP zehirlenmesi (ARP Spoofing) saldırıları ağ güvenliğini tehdit eder. HP Comware işletim sistemi kullanan switchlerde bu saldırılara karşı DHCP Snooping ve ARP Detection (Cisco dünyasında DAI - Dynamic ARP Inspection) özellikleri devreye alınır.

Bu yazıda, HP Comware switchlerde DHCP Snooping ve ARP koruması adımlarını adım adım yapılandıracağız.

1. Global Seviyede DHCP Snooping Etkinleştirme

Öncelikle DHCP Snooping özelliğini switch üzerinde aktif ediyoruz:

<HP-Switch> system-view

# DHCP Snooping'i global olarak aktif edelim
[HP-Switch] dhcp snooping enable

Not: Comware v7 switchlerde DHCP Snooping aktif edildikten sonra tüm portlar otomatik olarak Untrusted (Güvenilmeyen) kabul edilir.

2. Güvenilen Uplink Portunu (Trusted Port) Belirlemek

Gerçek DHCP sunucusunun veya internet çıkış yönlendiricimizin (firewall vb.) bağlı olduğu portu (örn: GigabitEthernet 1/0/24) Trusted olarak yapılandırıyoruz:

# Uplink portuna giriş yapalım
[HP-Switch] interface gigabitethernet 1/0/24

# Portu DHCP Snooping için güvenilir yapalım
[HP-Switch-GigabitEthernet1/0/24] dhcp snooping trust
[HP-Switch-GigabitEthernet1/0/24] quit

3. ARP Spoofing Engelleme (ARP Detection)

DHCP Snooping binding tablosundaki IP-MAC eşleşmelerini referans alarak gelen sahte ARP paketlerini doğrulamak amacıyla ARP Detection özelliğini devreye alalım:

# VLAN 10 altında ARP denetimini aktif edelim
[HP-Switch] vlan 10
[HP-Switch-vlan10] arp detection enable
[HP-Switch-vlan10] quit

# Router veya firewall bağlantısının olduğu portu ARP denetiminden muaf (Trust) yapalım
[HP-Switch] interface gigabitethernet 1/0/24
[HP-Switch-GigabitEthernet1/0/24] arp detection trust
[HP-Switch-GigabitEthernet1/0/24] quit

4. Yapılandırma Doğrulama Komutları

Yaptığımız güvenlik yapılandırmalarını ve engelleme durumlarını izlemek için şu display komutlarını kullanırız:

• DHCP Snooping Genel Durumu ve Güvenilen Portlar:

  [HP-Switch] display dhcp snooping trust
  

• Öğrenilen DHCP Snooping Binding Tablosu:

  [HP-Switch] display dhcp snooping binding
  

  Ağdaki hangi kullanıcının hangi MAC adresiyle hangi porttan hangi IP’yi aldığını gösterir.

• ARP Detection Aktif VLAN’lar ve İstatistikler:

  [HP-Switch] display arp detection
  

• Engellenen Sahte ARP Paket Sayıları:

  [HP-Switch] display arp detection statistics
  

Yapılandırmanızı kaydetmeyi unutmayın:

<HP-Switch> save safely force