DHCP Snooping Nedir? Ağ Güvenliğini Arttırma Yolu

DHCP Snooping, switch’lerde çalışan bir Layer 2 güvenlik özelliğidir. Temel amacı, ağda yalnızca güvenilir DHCP sunucularından IP adresi dağıtılmasını sağlamak ve rogue DHCP server olarak adlandırılan sahte DHCP kaynaklarının zararlarını önlemektir. Özellikle büyük ve dinamik ağlarda, istemcilere IP adresi atamak için kullanılan Dynamic Host Configuration Protocol (DHCP), saldırganlar tarafından istismar edilebilir. İşte tam bu noktada, DHCP snooping güvenlik amacıyla devreye girer.

Ağlarda Yaygın Bir Tehdit: Rogue DHCP Sunucular

Rogue DHCP sunucu, kötü niyetli veya yanlış yapılandırılmış bir cihazın ağa bağlanarak, yetkili olmayan bir şekilde sahte DHCP hizmeti sunması durumudur. Bu tür cihazlar, istemcilere yanlış IP adresleri, ağ geçidi veya DNS bilgileri atayarak ağ trafiğini kendine yönlendirebilir ya da kesintiye uğratabilir. Bu tür bir cihaz, istemcilere yanlış ağ geçidi, DNS sunucusu veya IP adresi atayarak trafiği izleyebilir, yönlendirebilir ya da tamamen kesebilir. Bunun yanında man-in-the-middle (MITM) saldırıları, DNS spoofing ve phishing senaryoları, IP çakışması ve ağ kesintileri gibi sorunlara yol açabilir. 

Bir çalışanımız ağa otomatik IP dağıtan bir modem, Access Point de bağlayabilir !

Sık karşılaştığımız durumlardan birisi de yanlışlıkla çalışanlarımızın DHCP sanal sunucu kurup ağa IP dağıtmaları yada sorunlu yada yeni aldıkları Modem, Access Point gibi cihazları kurum ağına bağlamakla bu cihazların otomatik IP dağıtması da sıkıntılı durumlardandır. Bu durumda yetkisiz bu cihazdan IP alan tüm diğer çalışanlar hiçbir yere erişemeyecek ve sizde oda oda gezip sisteme takılan yeni cihazı bulmaya çalışacaksınız. Bu ciddi bir işgücü kaybı getirecektir.  

DHCP Snooping Nasıl Çalışır?

DHCP snooping, switch portları ikiye ayırır:

Trusted Port (Güvenilir Port): DHCP sunucusunun bağlı olduğu porttur. Bu porttan gelen DHCP mesajlarına izin verilir.

Untrusted Port (Güvenilmeyen Port): İstemcilerin bağlı olduğu porttur. Bu porttan gelen DHCP mesajları filtrelenir.

Özetle DHCP Snooping Switch’in yalnızca güvenilir porttaki DHCP sunucudan IP dağıtım paketlerine izin verir, diğer untrusted portlardan gelen DHCP IP dağıtım paketlerini engeller. 

DHCP Snooping ile Switch Port Güvenliği Nasıl Sağlanır?

Switch güvenliği, yalnızca fiziksel erişimi sınırlamakla bitmez; yazılım düzeyinde de koruma gerekir. Sadece belirli portlardan DHCP tekliflerinin kabul edilmesine izin verir. DHCP mesajlarının içerik kontrolü sağlar. İstemcilerin IP/MAC bilgilerini eşleştirir. Rogue DHCP saldırılarına karşı koruma yöntemleri sunar. Bu sayede ağdaki switch portları, güvenli ve kontrollü hale gelir.

DHCP Snooping Yapılandırma Adımları (Cisco Örneğiyle)

Cisco tabanlı bir switch üzerinde DHCP Snooping yapılandırması genellikle şu adımları içerir:

DHCP Snooping özelliğini etkinleştirin: 

• ip dhcp snooping

Hangi VLAN ağının aktif olacağını belirtin: 

• ip dhcp snooping VLAN 10,20

Güvenilir portu tanımlamak için (sunucunun bağlı olduğu port olabilir):

• interface GigabitEthernet0/1  
• ip dhcp snooping trust
• Diğer tüm portlar varsayılan olarak untrusted kalır.

Maksimum DHCP paket sayısını sınırlayarak DHCP starvation saldırılarına karşı önlem alın, bu saldırılarda saldırgan küçük bir programla mac adreslerini değiştirerek sık sık IP talebinde bulunur ve DHCP havuzundaki IP’leri bitirir:

• ip dhcp snooping limit rate 15

İlginizi Çekebilir: Cisco Eğitimi

DHCP Snooping ile IP-MAC Eşlemesi ve Koruma

MAC binding, DHCP snooping önemli bir güvenlik özelliğidir. Switch, her DHCP işlemi sırasında istemcinin MAC adresini, IP adresini, VLAN ID ve bağlı olduğu port bilgisini tutar. Bu bilgiler, DHCP binding table adlı bir veri tabanında saklanır. Bu eşleştirme neticesinde yetkisiz cihazlar ağa sızamaz. MAC/IP sahtekarlığını (spoofing) engellemeye yarar. IP-MAC eşleşmesi sayesinde ağda kimlik doğrulama desteği sağlanır. 

DHCP Snooping ile Diğer Güvenlik Özellikleri (IP Source Guard, DAI)

DHCP Snooping IP Source Guard (IPSG) ve Dynamic ARP Inspection (DAI) gibi güvenlik mekanizmalarının temelini oluşturur. IPSG, bir porttan sadece önceden eşleştirilmiş IP-MAC adreslerinin çıkmasına izin verir. DAI, ARP paketlerini doğrular ve sahte ARP yanıtlarını engeller. Bu yapıların her biri Layer 2 security çözümleri arasında kritik öneme sahiptir ve DHCP Snooping olmadan sağlıklı çalışamaz.

DHCP Snooping Olmadan Ağlarda Ne Olabilir? (Saldırı Senaryoları)

DHCP Snooping aktif değilse, ağdaki herhangi bir sahte DHCP sunucusu çalıştırılabilir. Bu durumda saldırgan otomatik IP ile ağ geçidi ve DNS de dağıttığı için Man in the middle atağı ile birden çok kişinin şifrelerini ele geçirebilir, DNS ataklarını yapabilir. IP adreslerinin tükendiği DHCP starvation saldırılarına davetiye çıkarabilir. Yetkisiz erişimle iç ağa sızmalar meydana gelebilir. Tüm bu durumlar hem veri güvenliğini hem de ağın kararlılığını tehlikeye atar. 

En İyi Uygulamalar: Hangi Portlar Trusted Olmalı?

Trusted portlar, DHCP sunucularının doğrudan bağlı olduğu portlardır. Diğer tüm istemci bağlantı noktaları untrusted olarak bırakılmalıdır. Bunun yanında DHCP sunucusunun portu fiziksel olarak korunmalıdır. VLAN kapsamı yalnızca gerekli sanal yerel ağlarla sınırlandırılmalıdır. Untrusted portlarda paket hızının sınırlandırılması gerekir. Bu yöntemler, DHCP snooping güvenlik yapısını tam olarak uygulanabilir kılar. 

Gerçek Hayattan Uygulama Senaryoları ve Log Analizi

Çalışan cihazı şirkete ait yerel ağa bağladığınızda, yanlışlıkla ya da kasten üçüncü sınıf bir DHCP yazılımı yüklenmişse, cihaz istemeden de olsa DHCP sunucusu gibi davranmaya başlar. Bu durumda, söz konusu bilgisayar çevredeki istemcilere sahte IP adresleri, yanlış ağ geçitleri veya yanıltıcı DNS bilgileri dağıtarak ağda ciddi karışıklıklara neden olabilir. 

DHCP Snooping aktif bir şekilde yapılandırılmışsa, sistem bu cihazın bağlı olduğu portu untrusted olarak değerlendirir ve gönderilen DHCP tekliflerini otomatik olarak engeller. Böylece kurum ağı, olası bir güvenlik açığına karşı korunmuş olur.

DHCP Snooping yapılandırılmışsa, bu port untrusted olduğu için sunucudan gelen tüm teklif paketleri otomatik olarak engellenir. Aynı durum log kayıtlarında şöyle görülebilir: “%DHCP_SNOOPING-5-DHCP_SNOOPING_DENY: DHCP offer from untrusted port GigabitEthernet1/0/10 blocked” Bu kayıt sayesinde ağ yöneticisi saldırıyı tespit eder, kaynağını izler ve cihazı ağdan izole eder.

DHCP Snooping ile Güçlü Bir Switch Güvenliği

DHCP Snooping, Layer 2 kullanıldığında etkili bir güvenlik sistemi sağlar. Yalnızca rogue DHCP sunucularına karşı koruma sağlamakla kalmaz, aynı zamanda IP Source Guard ve Dynamic ARP Inspection gibi gelişmiş güvenlik özelliklerinin temelini oluşturur. Özellikle büyük ölçekli, dinamik ve karmaşık yapılarda bu özelliğin etkin kullanımı; hem ağ kararlılığını korur hem de veri bütünlüğünü garanti altına alır. Bu nedenle, kurumsal ağ altyapılarında DHCP Snooping’in aktif hale getirilmesi, güvenliğin sürdürülebilirliği açısından son derece kritik bir adımdır.