Konfigurasi DHCP Snooping di Switch Cisco

 

Pada kali ini saya akan memberikan tutorial bagaimana caranya mengatasi dari serangan DHCP Starvation & Rogue DHCP Server... sebelumnnya saya sudah membagikan cara menyerang DHCP Server menggunakan Yersinia... Bisa lihat postingannya disini DHCP Starvation Attack Menggunakan Yersinia dan Rogue DHCP Server Attack Menggunakan Yersinia , Kita membutuhkan DHCP Snooping untuk mencegah serangan man-in-the middle di jaringan kita. Ada potensi bagi penyerang untuk berpura-pura (spoof) menjadi server DHCP dan menanggapi pesan DHCPDISCOVER sebelum server sebenarnya memiliki waktu untuk merespons. DHCP Snooping memungkinkan switch di jaringan untuk mempercayai port yang terhubung dengan server DHCP (ini bisa menjadi trunk) dan tidak mempercayai port lain. Ia juga memelihara daftar pengikatan alamat DHCP dengan memeriksa lalu lintas yang mengalir antara klien dan server DHCP, yang memberikan kepastian tentang siapa host sebenarnya. Informasi mengikat yang dikumpulkan oleh DHCP Snooping digunakan oleh fitur keamanan lain seperti IPSG dan DAI, Untuk topologi yang saya gunakan seperti gambar dibawah ini



Tahapan Tahapan yang kita akan lakukan ialah :

1. Mengaktifnya IP DHCP Snooping
2. Melakukan IP DHCP Snooping ke vlan default (1)
3. Melakukan verifikasi ip dhcp snooping
4. Melakukan Trust Port interface dan melakukan limitasi untrusted port

Langkah pertama disini kita mengaktifkan Fitur dhcp snooping di switch 

L2#conf
L2(config)#ip dhcp snooping

Langkah kedua Melakukan DHCP Snooping ke VLAN Default disertakan memverifikasi DHCP Snooping sudah aktif di vlan 1, karena secara default VLAN di switch cisco ialah satu yang dibutuhkan untuk banyak komunikasi protokol antara switch seperti protokol spanning-tree misalnya. kita tidak dapat mengubah atau bahkan menghapus VLAN default, itu wajib.

L2(config)#ip dhcp snooping vlan 1
L2(config)#do show run | i dhcp
ip dhcp snooping vlan 1
ip dhcp snooping
L2(config)#

Langkah ketiga melakukan verifikasi dengan konfigurasi yang sudah kita lakukan di dhcp snooping tadi

L2(config)#do show ip dhcp snooping
Switch DHCP snooping is enabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
1
DHCP snooping is operational on following VLANs:
1
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0c33.7b52.a600 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:

Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------
L2(config)#

Langkah Keempat Melakukan Trust Port interface dan membatasi limitasi untrusted port, disini kita akan melakukan interface yang terpercaya akan ditandai di dhcp snooping yang mengarah ke router, lalu interface yang kemungkinan tidak dipercaya, aktifkan pembatasan kecepatan pada port yang tidak tepercaya sebagai contoh saya batasi 25 yang mengarah ke KALI-LINUX. Ini ditentukan dalam paket per detik, dan digunakan untuk mencegah penyerang melakukan serangan ke DHCP Server  kita dengan begitu banyak permintaan sehingga menghabiskan semua alamat IP yang ditawarkannya yang bisa disebut dengan serangan DHCP Starvation Attack

L2(config)#int g0/0
L2(config-if)#ip dhcp snooping trust
L2(config-if)#int g0/1
L2(config-if)#ip dhcp snooping limit rate 25
L2(config-if)#exit

Langkah Kelima Memverifikasi IP DHCP Snooping lagi

L2(config)#do show ip dhcp snooping
Switch DHCP snooping is enabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
1
DHCP snooping is operational on following VLANs:
1
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0c33.7b52.a600 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:

Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------
GigabitEthernet0/0         yes        yes           unlimited
  Custom circuit-ids:
GigabitEthernet0/1         no         no              25
  Custom circuit-ids:
L2(config)#

Langkah Keenam disini kita mencoba melakukan demo serangan ke DHCP Server yang sudah di DHCP Snooping, di sini kita mencoba melakukan serangan DHCP Starvation menggunakan tools yersinia

Maka yang terjadi di switch ialah akan keluar output yang menegaskan karena pada port untrusted di limit 25 requestnya dan diketahui melebihi ingin membanjari, otomatis akan di down interfacenya

*Oct 23 15:50:04.392: %SYS-5-CONFIG_I: Configured from console by console
L2#
*Oct 23 15:52:07.244: %DHCP_SNOOPING-4-DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP Snooping received 25 DHCP packets on interface Gi0/1
*Oct 23 15:52:07.246: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Gi0/1 is receiving more than the threshold set
*Oct 23 15:52:07.260: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Gi0/1, putting Gi0/1 in err-disable state
L2#
*Oct 23 15:52:08.264: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down
L2#
*Oct 23 15:52:09.331: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to down

Otomatis Kali Linux tidak akan mendapatkan IP DHCP Client lagi
Langkah selanjutnya kita melakukan recovery error-disable pada interface yang terjadi karena kesalahan yang memungkinkan switch untuk mematikan port ketika menemui masalah fisik, driver atau konfigurasi. Port yang dinonaktifkan dari kesalahan tidak dengan sendirinya menjadi penyebab alarm, tetapi gejala masalah bisa diselesaikan dengan menonaktifkan dan mengaktifkan lagi interface

L2(config)#do show interfaces status err-disabled

Port      Name               Status       Reason               Err-disabled Vlans
Gi0/1                        err-disabled dhcp-rate-limit

L2(config-if)#shutdown
L2(config-if)#no shutdown
*Oct 23 16:27:20.663: %LINK-5-CHANGED: Interface GigabitEthernet0/1, changed stn
*Oct 23 16:27:22.873: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to up
*Oct 23 16:27:23.873: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up

Kita juga bisa melakukan serangan selanjutnya.. yaitu rogue dhcp server.. membuat dhcp server palsu agar para client terhubung ke dhcp server penyerang.

tetapi ketika diluncurkan otomatis komputer penyerang tidak bisa apa apa, karena interface yang ditrusted ialah interface yang mengarah ke router langsung, maka serangan ini bisa digagalkan oleh teknik dhcp snooping, mungkin itu saja dari saya semoga bermanfaat...
Click here to Download