Kurumsal yerel ağlarda karşılaşılan en yaygın sorunlardan biri, ağa izinsiz olarak takılan ve DHCP dağıtan cihazların (kablosuz ev routerları vb.) ağdaki IP planlamasını bozmasıdır. Bu duruma Rogue DHCP (Sahte DHCP sunucu) adı verilir. Sahte DHCP sunucuları, istemcilere yanlış IP, ağ maskesi ve ağ geçidi (gateway) bilgisi vererek ağ erişimini kesebilir ya da trafiği kendi üzerlerine çekerek araya girme (Man-in-the-Middle) saldırılarına yol açabilir.
Bu tehditleri engellemek için Layer 2 switchler üzerinde DHCP Snooping özelliği devreye alınır. Bu rehberde, Ruijie switchler üzerinde DHCP Snooping ve ARP saldırılarını engelleyen Dynamic ARP Inspection (DAI) yapılandırmasını ele alacağız.
1. DHCP Snooping Çalışma Mantığı
DHCP Snooping aktif edildiğinde, switch üzerindeki tüm portlar varsayılan olarak Untrusted (Güvenilmeyen) durumuna geçer. Güvenilmeyen portlardan switch içerisine gelen DHCP Offer ve DHCP Ack (yani IP adresi dağıtmaya yönelik sunucu paketleri) doğrudan bloke edilir.
Gerçek DHCP sunucusunun veya omurga switch uplink hattının bağlı olduğu port ise Trusted (Güvenilen) olarak işaretlenir. Bu sayede sadece izin verdiğimiz portlardan DHCP dağıtılması sağlanır.
2. DHCP Snooping Adım Adım Yapılandırması
İlk olarak özelliği global seviyede aktif ediyor, ardından ilgili VLAN grupları ve güvenilir uplink portu için yapılandırıyoruz.
Ruijie> enable
Ruijie# configure terminal
# DHCP Snooping özelliğini global olarak aktif edelim
Ruijie(config)# ip dhcp snooping
# Özelliğin uygulanacağı VLAN'ları belirtelim (Örn: VLAN 10 ve 20)
Ruijie(config)# ip dhcp snooping vlan 10,20
Güvenilen Portu (Trusted Port) Belirlemek:
Gerçek DHCP sunucumuzun veya internet ağ geçidimizin bağlı olduğu uplink arayüzünü (Örn: GigabitEthernet 0/24) güvenilir olarak tanımlıyoruz.
Ruijie(config)# interface gigabitEthernet 0/24
# Portu DHCP Snooping için güvenilir yapalım
Ruijie(config-if-GigabitEthernet 0/24)# ip dhcp snooping trust
Ruijie(config-if-GigabitEthernet 0/24)# exit
3. Dynamic ARP Inspection (DAI) Yapılandırması
DHCP Snooping aktif edildikten sonra switch, hangi IP adresinin hangi porttaki hangi MAC adresine atandığını gösteren dinamik bir binding veritabanı (bağlama tablosu) oluşturur.
Bu veritabanını kullanarak ARP poisoning / ARP spoofing (sahte ARP yanıtlarıyla ağ geçidini taklit etme) saldırılarını engellemek için Dynamic ARP Inspection (DAI) özelliğini devreye alabiliriz:
# Belirtilen VLAN'lar için ARP denetimini aktif edelim
Ruijie(config)# ip arp inspection vlan 10,20
# Gerçek yönlendirici/firewall bağlantı portunu ARP denetiminden muaf (Güvenilir) tutalım
Ruijie(config)# interface gigabitEthernet 0/24
Ruijie(config-if-GigabitEthernet 0/24)# ip arp inspection trust
Ruijie(config-if-GigabitEthernet 0/24)# exit
4. DHCP Snooping ve DAI Doğrulama Komutları
Yaptığımız güvenlik yapılandırmasını doğrulamak ve ağda alınan IP’leri izlemek için şu izleme komutlarını kullanabilirsiniz:
- Genel DHCP Snooping Durumu:
Ruijie# show ip dhcp snoopingÖzelliğin hangi VLAN’larda aktif olduğunu ve hangi portların Trusted/Untrusted olduğunu listeler.
- Öğrenilen IP - MAC - Port Veritabanını Görmek (Snooping Binding Table):
Ruijie# show ip dhcp snooping bindingBu tablo, ağınızda hangi kullanıcının hangi MAC adresiyle hangi porttan hangi IP’yi aldığını gösteren en değerli güvenlik tablosudur.
- ARP Denetimi (DAI) Özet Durumu:
Ruijie# show ip arp inspection - Engellenen Sahte DHCP Paket İstatistiklerini Görmek:
Ruijie# show ip dhcp snooping statistics
Konfigürasyonu kalıcı kılmak için kaydetmeyi unutmayın:
Ruijie# write memory