Hyper-V DHCP Guard

   28 Haziran 2014   659 kere okundu.      Hyper-V - Virtualization

DHCP guard özelliği, Hyper V 2012 R2 ile Sanal Switch’ lere eklenen, kullanıcılar tarafından çok fazla dikkat edilmeyen fakat güvenlik için son derece önemli bir özelliktir. Kullanım amacı yetkisiz DHCP sunucuları tarafından gönderilen DHCP paketlerini önlemektir.

DHCP sunucuları yapıları gereği, bünyelerinde kullanıcı kimlik denetimi barındırmazlar. Yani sunucular, istemcilerin UDP 67 portundan gelen bütün DHCP Discover isteklerine, DHCP Offer mesajı ile cevap vermek zorunda olduğundan dolayı bilgisayar korsanları tarafından sıkça uygulanan DHCP Starvation ve Rogue DHCP ataklarına maruz kalırlar.

DHCP Starvation atağında, saldırgan bilgisayarın MAC adresini değiştirerek, DHCP sunucusundan sürekli olarak yeni IP adresi talep eder. Kısa bir süre sonra DHCP sunucusunun havuzunda bulunan boş IP adresleri tükenir ve sunucu gerçek kullanıcılara hizmet veremez duruma geçer.

Rogue DHCP atağında ise, saldırgan networke kendi DHCP sunucusunu konumlandırır. Bundan habersiz kullanıcı bilgisayarları, DHCP Discover isteğine ilk cevap veren sunucudan IP adresi tahsis eder. Saldırgan, IP ayarlarında yer alan varsayılan ağ geçidi adresini, kendi kontrolünde olan bir bilgisayarın IP adresi olarak belirleyerek istemcilere ait olan trafiği gözetleme imkanına sahip olur. Yani saldırganman-in-the-middle saldırısı için sağlam bir temel elde etmiş olacaktır.

Yukarıdakilere ek olarak gümüzdeki en basit modem, hub gibi cihazlar bile bünyelerinde DHCP özelliğini barındırdığını ve bilinçsiz kullanıcılar tarafından bunların ağımıza takıldığını düşünürsek DHCP problemlerine maruz kalma olasılığımız çokta uzak değil.

Hyper-V bünyesinde barındırdığı DHCP Guard özelliğini aktif ederek sunucularımızı yukarıdaki tehlikelerden uzak tutabiliriz. Bunun için Hyper-V yönetim konsolu yardımıyla sanal sunucumuzun ayarlarına giriyoruz.

01

Gelişmiş Ağ Ayarları bölümüne tıklıyoruz ve DHCP Guard özelliğini etkinleştiriyoruz.

02

Aynı ayarları Powershell ilede yapabiliriz.

Set-VMNetworkAdapter –VMName “SanalSunucu Ismı” –DHCPGuard On

03

Günlük hayatta tavsiye edilen, yetkilendirilmiş DHCP sunucusu hariç bütün sanal sunucularda bu ayarın aktifleştirilmesidir.


Toplam 2 Yorum Yapılmış.

  1. Murat GUL dedi ki:

    Ersinim yine cok aydinlatici bir makale bulmussun ! Cok emek vermissin! Benim sorum bu ozellik DHCP kurulu olan sunucu icin mi yapilacak sadece yoksa her sanal makine icin bu ozellik aktif edilmek zorunda mi?
    Kolay gelsin!!!

    • Ersin CAN dedi ki:

      Sir,DHCP sunucuları hariç bütün sanal sunucularda bu ayarın aktifleştirilmesi güvenlik için tavsiye ediliyor.

Yorum Yapın: Ersin CAN

A

@

W