Scribd Logo
Unggah

Selamat datang di Scribd!

  • DHCP Srver

    Diunggah oleh

    aderam,o
    9 tayangan7 halaman

    Judul Asli

    dhcp srver

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    DOCX, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    9 tayangan7 halaman

    DHCP Srver

    Diunggah oleh

    aderam,o

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 7

    Febriyan Net 

    - Lanjut lagi salah satu materi CCNA RS, salah satu fitur untuk
    mengamankan jaringan kita dari serangan DHCP Server Asli ataupun DDOS dari DHCP
    CLIENT, jadi semisal kita buat jaringan dengan pengalamatan ip untuk client
    menggunakan sistem DHCP seperti gambar berikut :

    Gambar 1 Topologi Konvensional

    Pada setiap komputer di jaringan LAN, dia akan selalu mendapatkan ip secara otomatis
    dari si DHCP Server, itu normal karena hanya ada satu router yang menjadi dhcp
    server.

    Gambar 2 1 DHCP Server

    Sekarang bagaimana apabila ada orang yang iseng membuat dhcp server palsu, agar
    komputer client tidak mendapatkan ip dari si dhcp server utama, melainkan
    mendapatkan alamat ip dari si dhcp server yang palsu .
    Gambar 3 2 DHCP Server

    Jika terdapat 2 dhcp server yang berjalan bersamaan, biasanya si client akan
    mendapatkan alamat ip secara otomatis dari dhcp server yang paling cepat melakukan
    Offer ke jaringan LAN. Ini akan sangat berbahaya untuk jaringan lokal kita jika ternyata
    komputer LAN kita mendapatkan ip dari si dhcp server yang palsu, bisa saja traffik yang
    seharus nya melewati router utama, malah jadi lewat router palsu, dan informasi2 yang
    seharus nya aman malah bocor di router lain .

    Agar kondisi mengerikan ini tidak terjadi, kita bisa menerapkan fitur DHCP Snooping
    pada jaringan lokal kita. DHCP Snooping nanti diterapkan di sisi switch, karena switch
    lah yang menjadi perantara antara dhcp server yang asli dan yang palsu.

    Cara kerja DHCP Snooping adalah dengan hanya menerima DHCP Offer atau DHCP
    Ack atau pengiriman IP dari server ke client pada interface tertentu.  Sehingga jika ada
    dhcp server yang menyamar dan asal colok di switch, dia tidak akan bisa memberikan ip
    , karena interface yang boleh memberikan ip alias yang terhubung ke dhcp server utama
    sudah di daftarkan oleh si admin.

    Jadi di dalam switch yang menerapkan DHCP Snooping, ada 2 istilah interface,
    pertama, interface yang terhubung ke dhcp utama disebut Trusted, kedua, interface
    yang terhubung ke client, disebut Untrusted.

    Di interface trusted inilah kita bisa colokkan ke si DHCP Server utama, sedangkan pada
    interface yang menjadi untrusted, colokkan ke komputer yang menjadi client.
    Gambar 4 Trusted dan Untrusted

    Sehingga, jika si dhcp server mencolokkan dirinya ke interface yang


    termasuk Untrusted, maka si dhcp server tidak akan bisa memberikan IP ke komputer
    komputer client, karena pada interface yang menjadi untrusted, tidak menerima yang
    namanya DHCP Offer dan DHCP Knowledged . Dan akhirnya pun, si komputer LAN
    hanya akan mendapatkan ip dari si dhcp server utama . Oke, sekarang kita masuk ke
    konfigurasi, topologi nya adalah sebagai berikut :

    Gambar 5 Topologi Lab

    Pastikan, kita sudah mengonfigurasi router yang menjadi dhcp server, untuk pada
    topologi kali ini , si DHCP Server asli akan memberikan alamat ip dari 192.168.1.2 -
    192.168.1.254 , dan si dhcp server akan memberikan alamat ip dari 192.168.2.2 -
    192.168.2.254 .

    Sekarang, sebelum ke konfigurasi dhcp snooping, kita coba dulu di sisi komputer LAN
    agar dia meminta alamat ip dhcp. Setelah kita cobak minta ip ternyata hasilnya
    terkadang si pc dapet ip dari dhcp server palsu, kadang dapat ip dari dhcp server asli.

    Percobaan pertama :

    PC

    C:\>ipconfig

    FastEthernet0 Connection:(default port)

       Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4


       IP Address......................: 192.168.2.2
       Subnet Mask.....................: 255.255.255.0
       Default Gateway.................: 192.168.2.1

    C:\>

    Percobaan kedua :

    PC

    C:\>ipconfig

    FastEthernet0 Connection:(default port)

       Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4


       IP Address......................: 192.168.1.5
       Subnet Mask.....................: 255.255.255.0
       Default Gateway.................: 192.168.1.1

    C:\>

    Nah, kita pengen biar si PC hanya mendapatkan ip dari DHCP Server utama alias ip
    antara 192.168.1.2 - 192.168.1.254 . Kita harus tentukan dulu interface mana yang
    jadi Trusted Interface, dan interface mana yang jadi Untrusted Interface. jika dilihat
    ditopologi, yang jadi trusted interface adalah FastEthernet0/1 .

    Switch

    Switch(config)#ip dhcp snooping 


    Switch(config)#ip dhcp snooping vlan 1

    Switch(config)#no ip dhcp snooping information option


    Switch(config)#

    Sampai tahap ini si dhcp snooping sudah aktif :

    Switch
    Switch#show ip dhcp snooping 
    Switch DHCP snooping is enabled
    DHCP snooping is configured on following VLANs:
    1
    Insertion of option 82 is enabled
    Option 82 on untrusted port is not allowed
    Verification of hwaddr field is enabled
    Interface                  Trusted    Rate limit (pps)
    -----------------------    -------    ----------------
    Switch#

    Dalam kondisi sekarang, semua interface yang ada di switch akan menjadi Untrusted
    Port, jadi kita hanya perlu mendaftarkan port yang menjadi Trusted port saja :

    Switch

    Switch(config)#interface fa0/1
    Switch(config-if)#ip dhcp snooping trust 
    Switch(config-if)#exit

    Switch(config)#

    Simple bukan ?

    Switch

    Switch#show ip dhcp snooping 


    Switch DHCP snooping is enabled
    DHCP snooping is configured on following VLANs:
    1
    Insertion of option 82 is enabled
    Option 82 on untrusted port is not allowed
    Verification of hwaddr field is enabled
    Interface                  Trusted    Rate limit (pps)
    -----------------------    -------    ----------------
    FastEthernet0/1            yes        unlimited      

    Switch#

    Sekarang saat nya pengujian di sisi pc client nya . kita cobak minta ip kembali .
    Percobaan pertama :

    PC

    C:\>ipconfig

    FastEthernet0 Connection:(default port)

       Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4


       IP Address......................: 192.168.1.4
       Subnet Mask.....................: 255.255.255.0
       Default Gateway.................: 192.168.1.1
    C:\>

    Percobaan kedua:

    PC

    C:\>ipconfig

    FastEthernet0 Connection:(default port)

       Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4


       IP Address......................: 192.168.1.3
       Subnet Mask.....................: 255.255.255.0
       Default Gateway.................: 192.168.1.1

    C:\>

    Nah, si PC akhirnya terus dapet ip sesuai yang kita harapkan.

    Okeh, lanjut ke fitur dhcp snooping lain, yaitu mengamankan port switch dari DDOS
    dhcp request yang menuju ke dhcp server, jadi intinya, si penyerang akan mengirim
    banyak sekali dhcp request ke dhcp server, sehingga si dhcp server akan
    mengalokasikan ip sesuai dengan jumlah request yang di minta penyerang, jika ternyata
    si penyerang membanjiri request ke dhcp server, kemudian semua ip telah dialokasikan
    ke penyerang yang tak bertanggung jawab itu, komputer client yang seharusnya
    mendapatkan ip malah jadinya tak dapat alamat ip .

    Caranya yaitu dengan membatasi atau melimit jumlah dhcp request yang ada pada
    interface yang mengarah ke client atau si penyerang. Jadi, kita akan membatasi
    maksimal berapa dhcp request yang bisa masuk ke interface switch dalam kurun waktu
    1 detik. Contoh kita akan membatasi dhcp request yang mengarah ke pc client menjadi
    maksimal hanya 2 dhcp request perdetik .

    Switch

    Switch(config)#int fa0/2
    Switch(config-if)#ip dhcp snooping limit rate 2
    Switch(config-if)#exit

    Switch(config)#

    Verifikasinya :

    Switch

    Switch#show ip dhcp snooping 


    Switch DHCP snooping is enabled
    DHCP snooping is configured on following VLANs:
    1
    Insertion of option 82 is disabled
    Option 82 on untrusted port is not allowed
    Verification of hwaddr field is enabled
    Interface                  Trusted    Rate limit (pps)
    -----------------------    -------    ----------------
    FastEthernet0/1            yes        unlimited      
    FastEthernet0/3            no         unlimited      
    FastEthernet0/2            no         2             

    Switch#

    Sekarang kita buktikan dengan cara si pc client terus menerus meminta ip dhcp. Apa
    yang akan terjadi ?

    Switch

    Switch(config-if)#00:26:31: %DHCP_SNOOPING-4-
    DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP Snooping received 3 DHCP packets on
    interface Fa0/2
    00:26:31: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/2, putting Fa0/2 in err-disable
    state

    %LINK-5-CHANGED: Interface FastEthernet0/2, changed state to down

    %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed


    state to down

    Switch(config-if)#

    Dan ternyata, interface tadi secara otomatis tershutdown by sistem. Dan si penyerang
    pun gagal menyerang.

    Terimakasih

    Anda mungkin juga menyukai