DHCP snooping — boshqariladigan switchlarda DHCP xabarlarini portlar bo‘yicha tekshiradigan va ruxsatsiz DHCP serverlardan himoyalaydigan ikkinchi qatlam xavfsizlik funksiyasi. U portlarni ishonchli va ishonchsiz guruhlarga ajratadi, DHCP server javoblarini faqat ishonchli yo‘nalishdan qabul qiladi hamda muvaffaqiyatli ijara ma’lumotlari asosida bog‘lanish jadvalini tuzadi.
Ishonch modeli
Foydalanuvchi qurilmalari ulangan access portlar odatda untrusted deb belgilanadi. Qonuniy DHCP server yoki unga olib boruvchi uplink port trusted holatiga o‘tkaziladi. DHCPOFFER va DHCPACK kabi serverga xos xabar ishonchsiz portdan kelsa, switch uni tashlab yuboradi. Shu tariqa bir foydalanuvchi tarmoqqa soxta DHCP server ulab, boshqalarga noto‘g‘ri gateway yoki DNS manzilini tarqatishi qiyinlashadi.
Trusted atamasi portdan kelgan barcha trafik tekshirilmaydi degani emas; u DHCP snooping doirasidagi server xabarlariga ruxsatni bildiradi. Portlarni noto‘g‘ri ishonchli qilish himoya chegarasini buzadi. Ayniqsa switchlar orasidagi trunk yo‘llarda DHCP serverga olib boradigan aniq yo‘nalish hisobga olinadi.
Binding jadvali
Switch DHCP almashinuvini kuzatib, odatda quyidagi qiymatlarni bir yozuvga bog‘laydi:
- mijozning MAC manzili;
- ajratilgan IPv4 manzil;
- VLAN identifikatori;
- mijoz ulangan switch porti;
- DHCP ijara muddati.
Bu jadval faqat monitoring uchun emas. Dynamic ARP Inspection ARP xabarlaridagi IP–MAC juftligini snooping jadvali bilan solishtirishi mumkin. IP Source Guard esa portdan kelayotgan IP trafikni shu bog‘lanish bo‘yicha cheklaydi. Demak DHCP snooping boshqa himoya mexanizmlariga ishonchli boshlang‘ich ma’lumot beradi.
Statik IP ishlatadigan qurilma DHCP almashinuvida qatnashmagani sababli dinamik jadvalda ko‘rinmaydi. Bunday printer, server yoki tarmoq uskunasi uchun qo‘lda binding, port ACL yoki arxitekturaga mos istisno kerak bo‘lishi mumkin. Aks holda bog‘lanish jadvaliga tayangan qo‘shimcha himoya uning qonuniy trafikini to‘sadi.
Tekshiruvlar va tezlik cheklovi
Qurilma imkoniyatiga qarab snooping DHCP xabar maydonlarining mosligini ham tekshiradi. Masalan, mijoz xabaridagi apparat manzili Ethernet kadrining manba MAC manziliga mos kelishi talab qilinishi mumkin. Access portdagi DHCP xabarlar tezligi cheklanib, juda ko‘p so‘rov yuboruvchi nosoz yoki zararli qurilmaning switch boshqaruv resursiga ta’siri kamaytiriladi.
Tezlik chegarasi haddan tashqari past o‘rnatilsa, telefon va uning ortidagi kompyuter kabi bir nechta mijozli portlarda qonuniy xabarlar ham yo‘qolishi mumkin. Chegara trafikning odatiy cho‘qqisi va port arxitekturasiga mos tanlanadi. Himoya ishini tekshirishda tashlangan paket hisoblagichlari muhim dalil hisoblanadi.
Joylashtirish va barqarorlik
Funksiya kerakli VLANlarda yoqiladi, so‘ng qonuniy serverga boruvchi portlar ishonchli deb belgilanadi. Binding jadvali switch qayta yuklanganda yo‘qolsa, mavjud mijozlar ijara yangilaguncha qo‘shimcha IP himoyasi ularni tanimasligi mumkin. Ayrim platformalar jadvalni doimiy saqlash yoki qurilmalar orasida sinxronlash imkonini beradi.
DHCP relay va Option 82 ishlatiladigan tarmoqlarda switchning Option 82 qo‘shish yoki tekshirish xatti-harakati relay va server siyosati bilan moslashtiriladi. Bir nechta qurilma bir xil opsiyani o‘zgartirsa, server so‘rovni yaroqsiz deb topishi mumkin. DHCP snooping shifrlash mexanizmi emas va statik manzilli hujumlarning barchasi bilan yakka o‘zi kurashmaydi; uning vazifasi DHCP nazorati va undan hosil bo‘lgan port bog‘lanishlarini ta’minlashdir.
Monitoringda bindinglar soni, ijara muddati va dropped DHCP hisoblagichlari kuzatiladi. Kutilmagan portdan server javobi ko‘payishi soxta server, noto‘g‘ri uplink belgilanishi yoki virtualizatsiya muhitidagi xato ko‘prik konfiguratsiyasini ko‘rsatishi mumkin.
Bog‘liq tushunchalar
DHCP, Rogue DHCP server, Dynamic ARP Inspection, IP Source Guard, Option 82, VLAN