- Lanjut lagi salah satu materi CCNA RS, salah satu fitur untuk
mengamankan jaringan kita dari serangan DHCP Server Asli ataupun DDOS dari DHCP
CLIENT, jadi semisal kita buat jaringan dengan pengalamatan ip untuk client
menggunakan sistem DHCP seperti gambar berikut :
Pada setiap komputer di jaringan LAN, dia akan selalu mendapatkan ip secara otomatis
dari si DHCP Server, itu normal karena hanya ada satu router yang menjadi dhcp
server.
Sekarang bagaimana apabila ada orang yang iseng membuat dhcp server palsu, agar
komputer client tidak mendapatkan ip dari si dhcp server utama, melainkan
mendapatkan alamat ip dari si dhcp server yang palsu .
Gambar 3 2 DHCP Server
Jika terdapat 2 dhcp server yang berjalan bersamaan, biasanya si client akan
mendapatkan alamat ip secara otomatis dari dhcp server yang paling cepat melakukan
Offer ke jaringan LAN. Ini akan sangat berbahaya untuk jaringan lokal kita jika ternyata
komputer LAN kita mendapatkan ip dari si dhcp server yang palsu, bisa saja traffik yang
seharus nya melewati router utama, malah jadi lewat router palsu, dan informasi2 yang
seharus nya aman malah bocor di router lain .
Agar kondisi mengerikan ini tidak terjadi, kita bisa menerapkan fitur DHCP Snooping
pada jaringan lokal kita. DHCP Snooping nanti diterapkan di sisi switch, karena switch
lah yang menjadi perantara antara dhcp server yang asli dan yang palsu.
Cara kerja DHCP Snooping adalah dengan hanya menerima DHCP Offer atau DHCP
Ack atau pengiriman IP dari server ke client pada interface tertentu. Sehingga jika ada
dhcp server yang menyamar dan asal colok di switch, dia tidak akan bisa memberikan ip
, karena interface yang boleh memberikan ip alias yang terhubung ke dhcp server utama
sudah di daftarkan oleh si admin.
Jadi di dalam switch yang menerapkan DHCP Snooping, ada 2 istilah interface,
pertama, interface yang terhubung ke dhcp utama disebut Trusted, kedua, interface
yang terhubung ke client, disebut Untrusted.
Di interface trusted inilah kita bisa colokkan ke si DHCP Server utama, sedangkan pada
interface yang menjadi untrusted, colokkan ke komputer yang menjadi client.
Gambar 4 Trusted dan Untrusted
Pastikan, kita sudah mengonfigurasi router yang menjadi dhcp server, untuk pada
topologi kali ini , si DHCP Server asli akan memberikan alamat ip dari 192.168.1.2 -
192.168.1.254 , dan si dhcp server akan memberikan alamat ip dari 192.168.2.2 -
192.168.2.254 .
Sekarang, sebelum ke konfigurasi dhcp snooping, kita coba dulu di sisi komputer LAN
agar dia meminta alamat ip dhcp. Setelah kita cobak minta ip ternyata hasilnya
terkadang si pc dapet ip dari dhcp server palsu, kadang dapat ip dari dhcp server asli.
Percobaan pertama :
PC
C:\>ipconfig
C:\>
Percobaan kedua :
PC
C:\>ipconfig
C:\>
Nah, kita pengen biar si PC hanya mendapatkan ip dari DHCP Server utama alias ip
antara 192.168.1.2 - 192.168.1.254 . Kita harus tentukan dulu interface mana yang
jadi Trusted Interface, dan interface mana yang jadi Untrusted Interface. jika dilihat
ditopologi, yang jadi trusted interface adalah FastEthernet0/1 .
Switch
Switch
Switch#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
----------------------- ------- ----------------
Switch#
Dalam kondisi sekarang, semua interface yang ada di switch akan menjadi Untrusted
Port, jadi kita hanya perlu mendaftarkan port yang menjadi Trusted port saja :
Switch
Switch(config)#interface fa0/1
Switch(config-if)#ip dhcp snooping trust
Switch(config-if)#exit
Switch(config)#
Simple bukan ?
Switch
Switch#
Sekarang saat nya pengujian di sisi pc client nya . kita cobak minta ip kembali .
Percobaan pertama :
PC
C:\>ipconfig
Percobaan kedua:
PC
C:\>ipconfig
C:\>
Okeh, lanjut ke fitur dhcp snooping lain, yaitu mengamankan port switch dari DDOS
dhcp request yang menuju ke dhcp server, jadi intinya, si penyerang akan mengirim
banyak sekali dhcp request ke dhcp server, sehingga si dhcp server akan
mengalokasikan ip sesuai dengan jumlah request yang di minta penyerang, jika ternyata
si penyerang membanjiri request ke dhcp server, kemudian semua ip telah dialokasikan
ke penyerang yang tak bertanggung jawab itu, komputer client yang seharusnya
mendapatkan ip malah jadinya tak dapat alamat ip .
Caranya yaitu dengan membatasi atau melimit jumlah dhcp request yang ada pada
interface yang mengarah ke client atau si penyerang. Jadi, kita akan membatasi
maksimal berapa dhcp request yang bisa masuk ke interface switch dalam kurun waktu
1 detik. Contoh kita akan membatasi dhcp request yang mengarah ke pc client menjadi
maksimal hanya 2 dhcp request perdetik .
Switch
Switch(config)#int fa0/2
Switch(config-if)#ip dhcp snooping limit rate 2
Switch(config-if)#exit
Switch(config)#
Verifikasinya :
Switch
Switch#
Sekarang kita buktikan dengan cara si pc client terus menerus meminta ip dhcp. Apa
yang akan terjadi ?
Switch
Switch(config-if)#00:26:31: %DHCP_SNOOPING-4-
DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP Snooping received 3 DHCP packets on
interface Fa0/2
00:26:31: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/2, putting Fa0/2 in err-disable
state
Switch(config-if)#
Dan ternyata, interface tadi secara otomatis tershutdown by sistem. Dan si penyerang
pun gagal menyerang.
Terimakasih