Dynamic Host Configuration Protocol atau biasa disebut dengan DHCP. DHCP adalah salah satu fitur pada RouterOS Mikrotik yang terdiri dari 2 bagian, yaitu DHCP Server dan DHCP Client. DHCP Server biasa digunakan untuk mendistribusikan konfigurasi jaringan ke client secara otomatis. Misal seperti IP Address, Netmask, Gateway, DNS, dll.  Penggunaan DHCP dimaksudkan agar user atau administrator tidak perlu melakukan pengaturan pengalamatan jaringan pada client secara manual.

Pada artikel sebelumnya pernah dibahas Pencegahan DHCP Rogue dengan Bridge Filter (https://citraweb.com/artikel_lihat.php?id=252). Pada artikel kali ini akan membahas metode lain untuk mencegah DHCP Rogue dengan memanfaatkan fitur DHCP Snooping pada Mikrotik.

Rogue DHCP Server adalah salah satu pemanfaatan celah keamanan pada mekanisme konfigurasi alamat jaringan menggunakan DHCP. Rogue DHCP Server memberikan konfigurasi alamat jaringan yang salah kepada client yang tergabung di dalam jaringan dengan tujuan menciptakan serangan jaringan berupa man in the middle, sehingga dapat menimbulkan ancaman terhadap privasi client yang tergabung di dalam jaringan.

Mulai dari RouterOS versi 6.43, mikrotik mengeluarkan fitur baru yaitu DHCP Snooping. DHCP Snooping adalah fitur keamanan Layer 2, yang digunakan untuk membatasi DHCP Server yang tidak sah atau tidak dikenali untuk memberikan informasi berbahaya kepada client. DHCP Snooping bisa diimplementasikan pada Bridge Mikrotik, baik pada perangkat RouterBoard atau perangkat switch seperti Cloud Router Series.
Di RouterOS Anda dapat menentukan port bridge mana yang Trusted (dipercaya)  dan yang Untrusted (tidak dipercaya). Trusted digunakan untuk menentukan dimana DHCP Server asli berada dan kemana informasi DHCP diteruskan. Jika terdapat DHCP Server pada port Untrusted, maka DHCP Server tersebut akan diabaikan.
DHCP Option 82 adalah informasi tambahan (Agent Circuit ID dan Agent Remote ID) yang disediakan oleh perangkat DHCP Snooping yang memungkinkan mengidentifikasi perangkat itu sendiri dan client DHCP.

Simulasi yang dirancang menggunakan 2 buah router dan 1 perangkat switch. Router 1 akan digunakan sebagai DHCP Server asli dan akan terkoneksi di ether2 switch. Sementara itu Router 2 sebagai DHCP Rogue atau DHCP Pengganggu akan terkoneksi ke switch dengan port random (acak). Detail topologi jaringannya adalah sebagai berikut.
DHCP Server dan Rogue DHCP Server pada skenario kali ini sudah dikonfigurasi untuk memberikan alamat IP 192.168.99.0/24 (DHCP Server) dan 192.168.100.0/24 (Rogue DHCP Server), sedangkan semua port dalam switch sudah dimasukkan ke dalam interface bridge. Apabila DHCP Snooping tidak diaktifkan, maka client dimungkinkan akan mendapatkan konfigurasi IP dari salah satu DHCP Server, termasuk Rogue DHCP Server yang Untrusted.
Untuk memastikan IP address yang didapat adalah DHCP Server asli, pada Command Prompt (Windows) bisa menggunakan perintah ipconfig /release untuk melepaskan konfigurasi IP Address yang digunakan serta ipconfig /renew untuk melakukan permintaan konfigurasi IP Address baru kepada DHCP Server.

Pada kasus pertama sebelum DHCP Snooping diaktifkan, maka client akan mendapatkan IP Address dari DHCP Server secara random. Client bisa mendapatkan IP dari DHCP asli atau bisa juga mendapatkan IP dari DHCP Rogue. Untuk menanggulangi itu, kita bisa mengaktifkan DHCP Snooping dan DHCP Option 82 pada switch. Langkah yang bisa dilakukan adalah sebagai berikut.

1. Masuk ke menu Bridge-Port, klik dua kali pada port eth2 yang terhubung ke DHCP Server asli. Beri tanda check pada pilihan Trusted, klik Apply/OK.

 
Pastikan hanya interface yang mengarah ke DHCP Server asli yang status Trusted-nya yes.


 

1. Pada menu Bridge, tab-menu Bridge, buka bridge interface ethernet yang sudah dibuat. Beri tanda check pada DHCP Snooping dan Add DHCP Option 82, kemudian klik Apply/OK, atau dengan mengetikkan perintah berikut pada Terminal.
/interface bridge set [find where name="bridge"] dhcp-snooping=yes add-dhcp-option82=yes