Cấu hình DHCP Snooping trên MikroTik

DHCP snooping là một tính năng bảo mật nhằm ngăn chặn việc giả mạo DHCP server để gửi các gói tin DHCP giả mạo.

Khi DHCP snooping được kích hoạt, cổng trên Switch sẽ phân loại thành cổng tin cậy (trusted) và không tin cậy (untrusted). Cổng tin cậy cho phép nhận DHCP Reply hay cổng được kết nối với Server DHCP. Nếu DHCP Server giả mạo gắn vào cổng “untrusted” và gởi DHCP Reply thì gói Reply sẽ bị loại bỏ.

Kể từ Version 6.43 trở đi MikroTik hổ trợ thêm tính năng DHCP Snooping và DHCP Option 82

Hiện tại hầu hết tất cả các dòng của MikroTik hổ trợ DHCP Snooping and Option 82 kể từ CRS3xx

 

 

Tại sao chúng ta cần DHCP Snooping?

Chúng ta cần DHCP Snooping để ngăn chặn các cuộc tấn công “man-in-the-middle”. Giả sử tồn tại một kẻ tấn công “man-in-the-middle” giả mạo DHCP server và trả lời cho gói tin DHCPDISCOVER trước khi DHCP Server thực trả lời, từ đó DHCP giả mạo sẽ gửi thông tin cấu hìn IP trong đó có gateway giả mạo

Chúng ta cần DHCP Snooping để ngăn chặn để ngăn chặn các DHCP lân cận không mong muốn, ví dụ như người dùng cắm một thiết bị wifi mới vào hệ thống có bật tính năng cấp phát DHCP khi đó Port Untrusted sẻ từ chối dich vụ nầy.

Các client sẽ kết nối tới port untrusted, mặc định tất cả các port đều là untrusted. client gửi thông điệp DHCPDISCOVER với DHCP Snooping đã được bật lên thì switch chỉ forward thông điệp DHCP broadcast tới các cổng trusted. Trong mô hình trên distribution switch sẽ đóng vai trò là một DHCP Server. Trusted port là port duy nhất cho phép DHCP Server gửi thông điệp trả lời DHCPOFFER

Để bật tính năng DHCP Snooping trên MikroTik trước tiên ta cần kiểm tra version của hệ điều hành RouterOS : System ==> Packages

 

 

Nếu RouterOS của bạn chưa Update thì nhấn vào mục Check For Updates và => Download & Install 

 

 

 

DHCP Option 82

Do khi kích hoạt tính năng DHCP Snooping trên Bridge SW, DHCP Option 82 sẽ được thêm vào các DHCP packet khi đi qua một switch. Option 82 chứa thông tin cụ thể về port mà client kết nối tới. 
Khi DHCP Snooping hoặc DHCP relay agent được kích hoạt, DHCP Option 82 sẽ được thêm vào DHCP packet khi đi qua một switch. Option 82 chứa thông tin cụ thể về port mà client kết nối tới.

Trong ví dụ trên chúng ta sẻ Trust Port trong Switch của MikroTik và Một số Router tận dụng các Port còn lại để làm Switch nhằm mục đích cho các DHCP Client nhận đúng IP như ta cấu hình, những DHCP lân cận sẻ bị từ chối 

Trên SW1: 

/interface bridge
add name=bridge
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2 trusted=yes

Trên SW2:
Trên sw2 chúng ta cũng config tương tự như sw1, tất cả các Port đều add chung một Brigde và Trust Port ngoại trừ Port 3 cũng nằm chung một Brigde nhưng không TRUST Port
/interface bridge
add name=bridge
/interface bridge port
add bridge=bridge interface=ether1 trusted=yes
add bridge=bridge interface=ether2 trusted=yes
add bridge=bridge interface=ether3



Như vậy ether1 & ether2 sẻ nhận đúng DHCP mà ta cấu hình, DHCP lân cận được cấp từ cổng Ether3 sẻ bị từ chối 

Kết Thúc.