Yerel ağlarda sıklıkla karşılaşılan güvenlik tehditlerinden biri, ağa yetkisiz olarak bağlanan bir cihazın DHCP sunucusu gibi davranarak kullanıcılara yanlış IP ve Gateway dağıtmasıdır (Rogue DHCP Server). Bu durum ağda IP çakışmalarına ve “Man-in-the-Middle” (Ortadaki Adam) saldırılarına yol açar.
Bu tehdidi engellemek için kullanılan en etkili yöntem DHCP Snooping teknolojisidir. Bu yazımızda Huawei switch’lerde DHCP Snooping yapılandırmasını ele alacağız.
1. DHCP Snooping Çalışma Mantığı
DHCP Snooping aktif edildiğinde switch portları ikiye ayrılır:
- Trusted (Güvenilir) Portlar: DHCP sunucusuna veya üst omurga switch’lere bakan portlardır. Bu portlardan gelen tüm DHCP yanıt paketlerine (Offer, ACK) izin verilir.
- Untrusted (Güvenilmeyen) Portlar: Kullanıcılara veya uç cihazlara doğrudan bağlı portlardır. Bu portlardan gelen DHCP sunucu paketleri (DHCP Offer, DHCP ACK vb.) doğrudan engellenir. Böylece yetkisiz bir DHCP sunucusunun ağa müdahale etmesi imkansız hale gelir.
Ek olarak switch, IP alan kullanıcıların MAC adresini, IP adresini, kiralama süresini ve port numarasını eşleştirerek bir DHCP Snooping Binding Table oluşturur. Bu tablo, IP Source Guard ve ARP Inspection gibi diğer güvenlik protokolleri için referans teşkil eder.
2. Adım Adım Yapılandırma Senaryosu
Senaryomuzda GigabitEthernet 0/0/1 portu gerçek DHCP sunucumuza bağlıdır. GigabitEthernet 0/0/2 ile 0/0/24 arası portlar ise kullanıcılara (Untrusted) ayrılmıştır. Yapılandırmayı VLAN 10 üzerinde aktif edeceğiz.
Adım 1: Global Olarak DHCP Etkinleştirme ve DHCP Snooping Açma
Sistem görünümünde DHCP servislerini ve DHCP Snooping özelliğini küresel olarak aktifleştiriyoruz:
<Huawei> system-view
[Huawei] dhcp enable
[Huawei] dhcp snooping enable
Adım 2: İlgili VLAN İçin DHCP Snooping Aktif Etme
Trafiği denetlemek istediğimiz VLAN içerisine girerek özelliği aktif ediyoruz:
[Huawei] vlan 10
[Huawei-vlan10] dhcp snooping enable
[Huawei-vlan10] quit
Adım 3: Güvenilir (Trusted) Portu Yapılandırma
Gerçek DHCP sunucusunun bağlı olduğu GigabitEthernet 0/0/1 portuna giriyor ve güvenilir olarak işaretliyoruz. Geriye kalan tüm portlar varsayılan olarak untrusted kalacaktır:
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] dhcp snooping trusted
[Huawei-GigabitEthernet0/0/1] quit
3. Sorun Giderme ve Doğrulama Komutları
DHCP Snooping yapısının durumunu ve ağdaki kullanıcıların IP-MAC eşleşme tablosunu kontrol etmek için aşağıdaki komutları kullanabilirsiniz:
! DHCP Snooping genel durumunu ve trusted portları görüntüleme
[Huawei] display dhcp snooping
! Ağdaki kullanıcıların DHCP üzerinden aldığı güncel IP, MAC ve Port tablosunu görme
[Huawei] display dhcp snooping user-bind all
! Belirli bir porttaki DHCP paket istatistiklerini kontrol etme
[Huawei] display dhcp snooping interface GigabitEthernet 0/0/1
DHCP Snooping Binding Tablo Analizi
display dhcp snooping user-bind all komutu çalıştırıldığında aşağıdaki gibi bir çıktı oluşur:
DHCP Dynamic Bind-table:
-------------------------------------------------------------------------------
Format: IP address MAC address VLAN Interface Type
-------------------------------------------------------------------------------
192.168.10.25 00e0-fc12-3456 10 GE0/0/2 dhcp-snooping
-------------------------------------------------------------------------------
Total count: 1
Bu tabloda bulunmayan bir cihaz, statik IP tanımlayarak ağa dahil olmaya çalışırsa (ve IP Source Guard aktif edilmişse) switch tarafından engellenecektir.