Kurumsal veya küçük ölçekli ağlarda istemcilere IP adreslerini dağıtmak için genellikle merkezi bir DHCP sunucusu kullanılır. Ancak bazı durumlarda, ağa bağlı bir bilgisayar, modem veya sanal makine DHCP sunucusu gibi davranarak IP dağıtmaya başlayabilir. Bu gibi durumlar, ağda yetkisiz IP dağıtımı, IP çakışmaları ve hatta güvenlik açıkları doğurabilir.
İşte bu noktada DHCP Snooping devreye girer.
DHCP Snooping Nedir?
DHCP Snooping, switch cihazlarında çalışan bir güvenlik özelliğidir. Amacı, ağda yalnızca yetkili DHCP sunucularının IP dağıtmasına izin vermek ve diğer tüm kaynaklardan gelen DHCP tekliflerini (DHCP Offer) engellemektir.
Neden DHCP Snooping Kullanmalısınız?
Ağda DHCP Snooping devreye alınmazsa aşağıdaki risklerle karşılaşabilirsiniz:
- ❌ Yetkisiz IP Dağıtımı: Yanlış IP adresi, ağ geçidi veya DNS bilgisi alan istemciler.
- ❌ IP Çakışması: Aynı IP’nin iki cihazda olması sonucu bağlantı sorunları.
- ❌ Kötü Niyetli DHCP Sunucular: Kullanıcıların trafiğini kendine yönlendiren saldırgan cihazlar (MITM).
- ❌ Ağ Kararsızlığı ve Yönetim Zorlukları.
DHCP Snooping sayesinde bu risklerin tamamı önlenebilir.
DHCP Snooping Nasıl Çalışır?
DHCP Snooping’in temel mantığı oldukça basittir:
- Switch üzerindeki portlar ikiye ayrılır:
- Güvenilir (Trusted): Sadece yetkili DHCP sunucuların bağlı olduğu port(lar).
- Güvenilmeyen (Untrusted): Tüm istemci cihazların bağlı olduğu portlar.
- DHCP trafik kontrolü yapılır:
- DHCP sunucusundan gelen teklif (DHCP Offer) trafiği yalnızca “trusted” portlardan geçebilir.
- “Untrusted” porttan gelen DHCP sunucu trafiği otomatik olarak engellenir.
Uygulama İçin Neler Gerekli?
DHCP Snooping özelliğini kullanmak için:
- Manageable (yönetilebilir) switch gerekir. FortiSwitch, Engenius ve birçok marka bu özelliği destekler.
- DHCP sunucunuzun bağlı olduğu portu trusted olarak tanımlamalısınız.
- Diğer tüm portlar untrusted kalmalı.
Bu işlem sonrası sadece belirlenen sunucudan IP dağıtımına izin verilir. Geriye kalan cihazların sahte DHCP yayınları geçersiz sayılır.
DHCP Snooping Olmadan Ne Olur?
Bir kullanıcının bilgisayarında yanlışlıkla açık kalan bir sanal makine (örneğin VirtualBox, VMware) bile DHCP sunucusu gibi davranabilir. Bu durumda bazı istemciler bu sahte sunucudan IP alır ve internete çıkamaz, hatta yanlış DNS nedeniyle trafik farklı yönlendirilir. DHCP Snooping yoksa bu sorunu fark etmek ve kaynağı bulmak saatler sürebilir.
Sonuç
DHCP Snooping nedir? Bu özellik, ağınızda IP adreslerinin sadece yetkili sunuculardan dağıtılmasını garanti altına alan kritik bir güvenlik mekanizmasıdır. Switch’iniz bu özelliği destekliyorsa mutlaka devreye alınmalı ve güvenilir portlar dikkatle belirlenmelidir.
Ağ yöneticileri için basit ama etkili bir savunma hattıdır.
FortiSwitch ile DHCP Snooping yapılandırmasını buradan inceleyebirsiniz.
