Lab 20 : DHCP Snooping Cisco
- Lanjut lagi salah satu materi CCNA RS, salah satu fitur untuk mengamankan jaringan kita dari serangan DHCP Server Asli ataupun DDOS dari DHCP CLIENT, jadi semisal kita buat jaringan dengan pengalamatan ip untuk client menggunakan sistem DHCP seperti gambar berikut :
Pada setiap komputer di jaringan LAN, dia akan selalu mendapatkan ip secara otomatis dari si DHCP Server, itu normal karena hanya ada satu router yang menjadi dhcp server.
Sekarang bagaimana apabila ada orang yang iseng membuat dhcp server palsu, agar komputer client tidak mendapatkan ip dari si dhcp server utama, melainkan mendapatkan alamat ip dari si dhcp server yang palsu .
Jika terdapat 2 dhcp server yang berjalan bersamaan, biasanya si client akan mendapatkan alamat ip secara otomatis dari dhcp server yang paling cepat melakukan Offer ke jaringan LAN. Ini akan sangat berbahaya untuk jaringan lokal kita jika ternyata komputer LAN kita mendapatkan ip dari si dhcp server yang palsu, bisa saja traffik yang seharus nya melewati router utama, malah jadi lewat router palsu, dan informasi2 yang seharus nya aman malah bocor di router lain .
Agar kondisi mengerikan ini tidak terjadi, kita bisa menerapkan fitur DHCP Snooping pada jaringan lokal kita. DHCP Snooping nanti diterapkan di sisi switch, karena switch lah yang menjadi perantara antara dhcp server yang asli dan yang palsu.
Cara kerja DHCP Snooping adalah dengan hanya menerima DHCP Offer atau DHCP Ack atau pengiriman IP dari server ke client pada interface tertentu. Sehingga jika ada dhcp server yang menyamar dan asal colok di switch, dia tidak akan bisa memberikan ip , karena interface yang boleh memberikan ip alias yang terhubung ke dhcp server utama sudah di daftarkan oleh si admin.
Jadi di dalam switch yang menerapkan DHCP Snooping, ada 2 istilah interface, pertama, interface yang terhubung ke dhcp utama disebut Trusted, kedua, interface yang terhubung ke client, disebut Untrusted.
Di interface trusted inilah kita bisa colokkan ke si DHCP Server utama, sedangkan pada interface yang menjadi untrusted, colokkan ke komputer yang menjadi client.
Sehingga, jika si dhcp server mencolokkan dirinya ke interface yang termasuk Untrusted, maka si dhcp server tidak akan bisa memberikan IP ke komputer komputer client, karena pada interface yang menjadi untrusted, tidak menerima yang namanya DHCP Offer dan DHCP Knowledged . Dan akhirnya pun, si komputer LAN hanya akan mendapatkan ip dari si dhcp server utama . Oke, sekarang kita masuk ke konfigurasi, topologi nya adalah sebagai berikut :
Pastikan, kita sudah mengonfigurasi router yang menjadi dhcp server, untuk pada topologi kali ini , si DHCP Server asli akan memberikan alamat ip dari 192.168.1.2 - 192.168.1.254 , dan si dhcp server akan memberikan alamat ip dari 192.168.2.2 - 192.168.2.254 .
Sekarang, sebelum ke konfigurasi dhcp snooping, kita coba dulu di sisi komputer LAN agar dia meminta alamat ip dhcp. Setelah kita cobak minta ip ternyata hasilnya terkadang si pc dapet ip dari dhcp server palsu, kadang dapat ip dari dhcp server asli.
Percobaan pertama :
PC
Percobaan kedua :
PC
Nah, kita pengen biar si PC hanya mendapatkan ip dari DHCP Server utama alias ip antara 192.168.1.2 - 192.168.1.254 . Kita harus tentukan dulu interface mana yang jadi Trusted Interface, dan interface mana yang jadi Untrusted Interface. jika dilihat ditopologi, yang jadi trusted interface adalah FastEthernet0/1 .
Switch
Sampai tahap ini si dhcp snooping sudah aktif :
Switch
Dalam kondisi sekarang, semua interface yang ada di switch akan menjadi Untrusted Port, jadi kita hanya perlu mendaftarkan port yang menjadi Trusted port saja :
Switch
Simple bukan ?
Switch
Sekarang saat nya pengujian di sisi pc client nya . kita cobak minta ip kembali .
Percobaan pertama :
PC
Percobaan kedua:
PC
Nah, si PC akhirnya terus dapet ip sesuai yang kita harapkan.
Okeh, lanjut ke fitur dhcp snooping lain, yaitu mengamankan port switch dari DDOS dhcp request yang menuju ke dhcp server, jadi intinya, si penyerang akan mengirim banyak sekali dhcp request ke dhcp server, sehingga si dhcp server akan mengalokasikan ip sesuai dengan jumlah request yang di minta penyerang, jika ternyata si penyerang membanjiri request ke dhcp server, kemudian semua ip telah dialokasikan ke penyerang yang tak bertanggung jawab itu, komputer client yang seharusnya mendapatkan ip malah jadinya tak dapat alamat ip .
Caranya yaitu dengan membatasi atau melimit jumlah dhcp request yang ada pada interface yang mengarah ke client atau si penyerang. Jadi, kita akan membatasi maksimal berapa dhcp request yang bisa masuk ke interface switch dalam kurun waktu 1 detik. Contoh kita akan membatasi dhcp request yang mengarah ke pc client menjadi maksimal hanya 2 dhcp request perdetik .
Switch
Verifikasinya :
Switch
Sekarang kita buktikan dengan cara si pc client terus menerus meminta ip dhcp. Apa yang akan terjadi ?
Switch
Dan ternyata, interface tadi secara otomatis tershutdown by sistem. Dan si penyerang pun gagal menyerang.
Terimakasih
 |
| Gambar 1 Topologi Konvensional |
 |
| Gambar 2 1 DHCP Server |
Sekarang bagaimana apabila ada orang yang iseng membuat dhcp server palsu, agar komputer client tidak mendapatkan ip dari si dhcp server utama, melainkan mendapatkan alamat ip dari si dhcp server yang palsu .
 |
| Gambar 3 2 DHCP Server |
Agar kondisi mengerikan ini tidak terjadi, kita bisa menerapkan fitur DHCP Snooping pada jaringan lokal kita. DHCP Snooping nanti diterapkan di sisi switch, karena switch lah yang menjadi perantara antara dhcp server yang asli dan yang palsu.
Cara kerja DHCP Snooping adalah dengan hanya menerima DHCP Offer atau DHCP Ack atau pengiriman IP dari server ke client pada interface tertentu. Sehingga jika ada dhcp server yang menyamar dan asal colok di switch, dia tidak akan bisa memberikan ip , karena interface yang boleh memberikan ip alias yang terhubung ke dhcp server utama sudah di daftarkan oleh si admin.
Jadi di dalam switch yang menerapkan DHCP Snooping, ada 2 istilah interface, pertama, interface yang terhubung ke dhcp utama disebut Trusted, kedua, interface yang terhubung ke client, disebut Untrusted.
Di interface trusted inilah kita bisa colokkan ke si DHCP Server utama, sedangkan pada interface yang menjadi untrusted, colokkan ke komputer yang menjadi client.
 |
| Gambar 4 Trusted dan Untrusted |
 |
| Gambar 5 Topologi Lab |
Sekarang, sebelum ke konfigurasi dhcp snooping, kita coba dulu di sisi komputer LAN agar dia meminta alamat ip dhcp. Setelah kita cobak minta ip ternyata hasilnya terkadang si pc dapet ip dari dhcp server palsu, kadang dapat ip dari dhcp server asli.
Percobaan pertama :
PC
C:\>ipconfig
FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4
IP Address......................: 192.168.2.2
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.2.1
C:\>
FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4
IP Address......................: 192.168.2.2
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.2.1
C:\>
Percobaan kedua :
PC
C:\>ipconfig
FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4
IP Address......................: 192.168.1.5
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1
C:\>
FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4
IP Address......................: 192.168.1.5
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1
C:\>
Nah, kita pengen biar si PC hanya mendapatkan ip dari DHCP Server utama alias ip antara 192.168.1.2 - 192.168.1.254 . Kita harus tentukan dulu interface mana yang jadi Trusted Interface, dan interface mana yang jadi Untrusted Interface. jika dilihat ditopologi, yang jadi trusted interface adalah FastEthernet0/1 .
Switch
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1
Switch(config)#no ip dhcp snooping information option
Switch(config)#
Switch(config)#ip dhcp snooping vlan 1
Switch(config)#no ip dhcp snooping information option
Switch(config)#
Sampai tahap ini si dhcp snooping sudah aktif :
Switch
Switch#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
----------------------- ------- ----------------
Switch#
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
----------------------- ------- ----------------
Switch#
Dalam kondisi sekarang, semua interface yang ada di switch akan menjadi Untrusted Port, jadi kita hanya perlu mendaftarkan port yang menjadi Trusted port saja :
Switch
Switch(config)#interface fa0/1
Switch(config-if)#ip dhcp snooping trust
Switch(config-if)#exit
Switch(config)#
Switch(config-if)#ip dhcp snooping trust
Switch(config-if)#exit
Switch(config)#
Simple bukan ?
Switch
Switch#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
----------------------- ------- ----------------
FastEthernet0/1 yes unlimited
Switch#
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
----------------------- ------- ----------------
FastEthernet0/1 yes unlimited
Switch#
Sekarang saat nya pengujian di sisi pc client nya . kita cobak minta ip kembali .
Percobaan pertama :
PC
C:\>ipconfig
FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4
IP Address......................: 192.168.1.4
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1
C:\>
FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4
IP Address......................: 192.168.1.4
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1
C:\>
Percobaan kedua:
PC
C:\>ipconfig
FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4
IP Address......................: 192.168.1.3
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1
C:\>
FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::203:E4FF:FEBB:41D4
IP Address......................: 192.168.1.3
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1
C:\>
Nah, si PC akhirnya terus dapet ip sesuai yang kita harapkan.
Okeh, lanjut ke fitur dhcp snooping lain, yaitu mengamankan port switch dari DDOS dhcp request yang menuju ke dhcp server, jadi intinya, si penyerang akan mengirim banyak sekali dhcp request ke dhcp server, sehingga si dhcp server akan mengalokasikan ip sesuai dengan jumlah request yang di minta penyerang, jika ternyata si penyerang membanjiri request ke dhcp server, kemudian semua ip telah dialokasikan ke penyerang yang tak bertanggung jawab itu, komputer client yang seharusnya mendapatkan ip malah jadinya tak dapat alamat ip .
Caranya yaitu dengan membatasi atau melimit jumlah dhcp request yang ada pada interface yang mengarah ke client atau si penyerang. Jadi, kita akan membatasi maksimal berapa dhcp request yang bisa masuk ke interface switch dalam kurun waktu 1 detik. Contoh kita akan membatasi dhcp request yang mengarah ke pc client menjadi maksimal hanya 2 dhcp request perdetik .
Switch
Switch(config)#int fa0/2
Switch(config-if)#ip dhcp snooping limit rate 2
Switch(config-if)#exit
Switch(config)#
Switch(config-if)#ip dhcp snooping limit rate 2
Switch(config-if)#exit
Switch(config)#
Verifikasinya :
Switch
Switch#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
----------------------- ------- ----------------
FastEthernet0/1 yes unlimited
FastEthernet0/3 no unlimited
FastEthernet0/2 no 2
Switch#
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
----------------------- ------- ----------------
FastEthernet0/1 yes unlimited
FastEthernet0/3 no unlimited
FastEthernet0/2 no 2
Switch#
Sekarang kita buktikan dengan cara si pc client terus menerus meminta ip dhcp. Apa yang akan terjadi ?
Switch
Switch(config-if)#00:26:31: %DHCP_SNOOPING-4-DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP Snooping received 3 DHCP packets on interface Fa0/2
00:26:31: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/2, putting Fa0/2 in err-disable state
%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down
Switch(config-if)#
00:26:31: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Fa0/2, putting Fa0/2 in err-disable state
%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down
Switch(config-if)#
Dan ternyata, interface tadi secara otomatis tershutdown by sistem. Dan si penyerang pun gagal menyerang.
Terimakasih
