Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi
Yüklə 7,38 Mb. Pdf görüntüsü
|
| DHCP server
Komutator Rogue Host 11.1-rasm. DHCP Snooping uchun yaratilgan topologiya Bu muammoning yechimlardan biri bu DHCP Snooping deb nomlangan komutatorning funksiyasini sozlash. DHCP Snooping - bu qabul qilinmaydigan deb topilgan DHCP trafigini oʻchirib tashlaydigan real tarmoq komutatorining operatsion tizimiga oʻrnatilgan 2-darajali xavfsizlik texnologiyasi. DHCP Snooping, DHCP mijozlariga IP-manzillarni taklif qiladigan notoʻgʻri DHCP-serverlarning oldini oladi. DHCP Snooping funksiyasi quyidagilarni amalga oshiradi: 1. Kommutatorning barcha portlari DHCP serverlari ulangan ishonchli(trusted) va ishonchsiz (untrusted) portlarga boʻlinadi; 2. DHCP serverlari (DHCP Offer, Ack, Nack, LeaseQuery) tomonidan yuborilgan va ishonchsiz portlarga kelgan xabarlar bekor qilinadi; 3. Ishonchsiz portlarga yetib kelgan DHCP xabarlari, joʻnatuvchining MAC manziliga toʻgʻri kelmaydigan MAC manzilini oʻz ichiga oladi; 4. Ishonchsiz portga yetib kelgan va 82-variantni oʻz ichiga olgan DHCP xabarlari bekor qilinadi; 144 5. DHCP Discover xabarlari faqat ishonchli portlarga yuboriladi. DHCP mijozi IP-manzilni dinamik ravishda olish jarayonida DHCP snooping mijoz va server oʻrtasida DHCP paketlarini tahlil qiladi va filtrlaydi. DHCP snoopingni toʻgʻri konfiguratsiyasi ruxsatsiz serverlarni filtrlashni amalga oshiradi, mijozlarga ruxsatsiz DHCP-server tomonidan taqdim etilgan manzillarni olishdan va ularning tarmoqqa kirishini oldini oladi. Tarmoqda ruxsatsiz DHCP- server hujumlari sodir boʻlayotgan boʻlsa, DHCP kuzatuvidan foydalanish mumkin. DHCP snoopingni komutatorga joylashtirish tavsiya etiladi. DHCP snooping kompyuterga yaqinroq komutatorga oʻrnatilganda interfeysni boshqarish toʻgʻri boʻladi. Har bir komutator interfeysi faqat bitta kompyuterga ulangan boʻlishi kerak. Agar ma'lum bir interfeys hub orqali bir nechta shaxsiy kompyuterlarga ulangan boʻlsa, hubda sodir boʻlgan DHCP snooping hujumlarini oldini olish mumkin emas, chunki snooping paketlari toʻgʻridan-toʻgʻri kontsentrator interfeyslari oʻrtasida uzatiladi va kirish komutatoriga oʻrnatilgan DHCP snooping funksiyasi bilan boshqarib boʻlmaydi. DHCP Snoopingni faqat simli tarmoq foydalanuvchilar uchun qoʻllasa boʻladi. Kirish qatlami xavfsizligi xususiyati sifatida, asosan, DHCP tomonidan xizmat koʻrsatiladigan VLANga kirish portlarini oʻz ichiga olgan har qanday komutatorda yoqiladi. DHCP Snoopingni oʻrnatishda himoya qilmoqchi boʻlgan VLANda DHCP Snoopingni yoqishdan oldin ishonchli portlarni (DHCP-serverning tegishli xabarlari oʻtadigan portlarni) sozlash kerak. Bu CLIda ham, veb- interfeysda ham amalga oshirilishi mumkin. CLI buyruqlari DHCP Snooping konfiguratsiyasida FS S3900 seriyali komutatorlarida berilgan. Yüklə 7,38 Mb. Dostları ilə paylaş:
|