FortiSwitch DHCP Snooping: Nedir, Neden ve Nasıl Kullanılır?

yazar

Giriş

Ağ güvenliği günümüzde her zamankinden daha önemli hale gelmiştir. Özellikle büyük ağ yapılarında DHCP sunucularının yetkisiz cihazlar tarafından taklit edilmesi ciddi güvenlik riskleri doğurabilir. Bu noktada DHCP Snooping devreye girerek ağınızı koruma altına alır. FortiSwitch cihazlarında DHCP Snooping varsayılan olarak kapalı gelir, ancak belirli durumlarda etkinleştirilmesi gerekebilir. Bu makalede, FortiSwitch DHCP Snooping özelliğini, kullanım senaryolarını ve nasıl yapılandırılacağını ele alacağız.

DHCP Snooping Nedir?

DHCP Snooping, ağınızdaki DHCP trafiğini izleyerek yetkisiz DHCP sunucularının istemcilere IP adresi dağıtmasını engelleyen bir güvenlik mekanizmasıdır. Bu özellik, kötü niyetli kişilerin Man-in-the-Middle (MitM) saldırıları gerçekleştirmesini önler ve yalnızca yetkilendirilmiş DHCP sunucularının IP dağıtmasına izin verir.

Nasıl Çalışır?

  • Untrusted (Güvenilmeyen) Portlar: Switch üzerindeki varsayılan tüm portlar untrusted olarak kabul edilir. Bu, bağlı cihazların DHCP sunucusu olup olmadığının bilinmediği anlamına gelir.
  • Trusted (Güvenilir) Portlar: Yalnızca yetkili DHCP sunucusunun bağlandığı port güvenilir olarak işaretlenir.
  • Filtreleme Mekanizması: DHCP Snooping etkinleştirildiğinde, switch DHCP tekliflerini (DHCPOFFER) yalnızca güvenilir portlardan kabul eder. Güvenilmeyen portlardan gelen yetkisiz DHCP teklifleri engellenir.

Kullanım Senaryoları

Varsayılan olarak FortiSwitch üzerinde DHCP Snooping kapalıdır. Ancak, aşağıdaki durumda bu özelliği etkinleştirmeniz gerekebilir:

FortiGate DHCP Sunucu Değilse

  • Ağınızda DHCP sunucu olarak FortiGate yerine başka bir cihaz (örneğin, bir Windows Server veya bağımsız bir DHCP sunucu) çalışıyorsa, bu sunucunun bağlı olduğu switch portunu güvenilir hale getirmelisiniz.

DHCP Snooping Yapılandırma

Eğer DHCP sunucu FortiGate değilse ve başka bir cihaza bağlıysa, o portu güvenilir hale getirmelisiniz. Örneğin, DHCP sunucusunun port13 üzerinde çalıştığını varsayarsak:

  • Güvenilir (Trusted) Port Belirleme(FortiGate üzerinden)
FortiSwitch DHCP Snooping yapılandırması ve güvenli port ayarları
  • Güvenilir (Trusted) Port Belirleme(FortiSwitch üzerinden)
config switch interface
    edit "port13"
          set dhcp-snooping trusted
    next
end
  • Tüm Diğer Portları Güvenilmeyen Olarak Bırakmak

Tüm diğer portların yetkisiz DHCP tekliflerini engellemesi için varsayılan ayarı değiştirmemelisiniz. Böylece yalnızca belirlenen trusted porttan gelen IP dağıtımı kabul edilir.

Loading