Pengertian Dan Konfigurasi DHCP SNOOPING
Pengertian Dan Konfigurasi DHCP SNOOPING
com)
DHCP SNOOPING
Jika perangkat penipu (rogue device) pada port untrusted mencoba untuk mengirim
paket DHCP offer ke jaringan, maka port akan dimatikan.
DHCP Snooping adalah fitur keamanan yang bertindak seperti firewall antara
untrusted host dan trusted DHCP server. Fitur DHCP snooping melakukan kegiatan
sebagai berikut:
Memvalidasi pesan DHCP yang diterima dari sumber yang tidak dipercaya
dan menyaring pesan yang tidak valid.
Membatasi lalu lintas DHCP dari sumber terpercaya dan tidak terpercaya.
Membangun dan memelihara DHCP snooping binding database, yang berisi
informasi tentang host tidak terpercaya dengan alamat IP disewakan.
Memanfaatkan database DHCP snooping binding untuk memvalidasi
permintaan berikutnya dari host tidak terpercaya.
DHCP snooping diaktifkan pada basis per-VLAN. Secara default, fitur ini tidak aktif
pada semua Port dan VLAN. Anda dapat mengaktifkan fitur pada VLAN tunggal atau
dalam suatu range VLAN.
Fitur ini merupakan salah satu cara untuk mencegah terjadinya serangan pada
DHCP server. terdapat dua serangan pada DHCP yaitu DHCP starvation attacks
dan DHCP spoofing. pada DHCP starvation attacks, penyerang membanjiri (floods)
DHCP server dengan DHCP request untuk dapat menggunakan seluruh ip yang
tersedia sehingga menyebabkan denial of service (DOS) dimana client tidak dapat
jaringan sedangkan DHCP spoofing, penyerang menempatkan sebuah DHCP server
Gani Amanda Abdulah (www.ganishare.blogspot.com)
palsu dengan maksud memaksa agar client menggunakan IP, DNS dan gateway
palsu.
Untuk lebih dapat lebih memahami fitur DHCP snooping ini, saya simulasikan
dengan topologi sebagai berikut :
DHCP Server
DHCP Server
IP Address 10.10.10.1
Fake DHCP Server
IP Address 11.11.11.1
PC
PC0 DHCP
PC1 DHCP
Pertama, klik switch dan pada mode command line interface, aktifkan fitur dhcp
snooping dan menset port yang terkoneksi langsung DHCP server menjadi trusted.
Pada menu global configuration ketikan :
Switch(config-if)#exit
Switch(config)#interface range fastEthernet 0/2 - 24
Switch(config-if-range)#ip dhcp snooping limit rate 5