Keamanan jaringan tidak hanya bergantung pada firewall atau sistem deteksi intrusi di layer atas. Faktanya, banyak serangan berbahaya justru terjadi di Layer 2 (Data Link Layer), tempat protokol dasar seperti DHCP dan ARP bekerja.
Dua teknik yang sering dimanfaatkan penyerang adalah DHCP spoofing dan ARP poisoning, yang dapat membuka jalan bagi serangan Man-in-the-Middle (MitM). Untuk mengatasi ancaman ini, dua mekanisme penting: DHCP Snooping dan Dynamic ARP Inspection (DAI). Keduanya dirancang untuk meningkatkan keamanan jaringan enterprise dari level paling dasar.
Ancaman Layer 2 dalam Jaringan Enterprise
Layer 2 sering kali dianggap aman karena berada di dalam jaringan internal. Namun asumsi ini justru menjadi celah keamanan.
DHCP Spoofing
DHCP spoofing terjadi ketika penyerang menjalankan DHCP server palsu di jaringan. Akibatnya, klien dapat menerima:
IP address tidak valid
Default gateway milik penyerang
DNS server berbahaya
Kondisi ini memungkinkan lalu lintas jaringan dialihkan dan disadap.
ARP Poisoning
ARP poisoning (atau ARP spoofing) dilakukan dengan mengirimkan ARP reply palsu agar alamat IP korban dipetakan ke MAC address penyerang. Teknik ini sering digunakan untuk serangan MitM dan pencurian data sensitif.
DHCP Snooping adalah fitur keamanan pada switch yang berfungsi memantau dan memfilter pesan DHCP yang masuk ke jaringan.
Dengan DHCP Snooping, switch membedakan port menjadi dua jenis:
Trusted Port → biasanya mengarah ke DHCP server resmi
Untrusted Port → port klien atau akses pengguna
Hanya DHCP offer dan acknowledgment dari trusted port yang diizinkan (dikutip dari Cisco).
Fungsi Utama DHCP Snooping
Mencegah DHCP Server Palsu
Switch akan memblokir DHCP response dari port yang tidak dipercaya.
Membangun DHCP Binding Table
Tabel ini menyimpan informasi:
IP address
MAC address
VLAN
Port switch
Data ini menjadi fondasi bagi mekanisme keamanan Layer 2 lainnya.
Apa Itu Dynamic ARP Inspection (DAI)?
Dynamic ARP Inspection (DAI) adalah mekanisme keamanan yang memverifikasi keabsahan paket ARP di jaringan.
DAI bekerja dengan mencocokkan informasi ARP packet dengan DHCP Snooping Binding Table. Jika ditemukan ketidaksesuaian, paket ARP akan diblokir secara otomatis.
Cara Kerja DAI
Validasi ARP Request dan Reply
Switch memeriksa apakah IP–MAC pairing sesuai dengan data DHCP Snooping.
Proteksi terhadap ARP Poisoning
ARP reply palsu yang tidak valid akan langsung ditolak sebelum mencapai target.
DHCP Snooping dan DAI tidak dirancang untuk berdiri sendiri. Keduanya saling melengkapi dalam menjaga keamanan Layer 2.
DHCP Snooping → mengamankan distribusi IP address
DAI → mengamankan resolusi IP ke MAC address
Tanpa DHCP Snooping, DAI tidak memiliki data referensi yang valid. Oleh karena itu, implementasi keduanya hampir selalu dilakukan bersamaan di jaringan enterprise.
Penerapan di Lingkungan Jaringan Enterprise
Dalam jaringan skala besar seperti perkantoran, kampus, atau data center, kedua fitur ini sangat krusial.
Best Practice Implementasi
Menentukan Trusted Port dengan Tepat
Hanya port yang terhubung ke DHCP server atau uplink yang ditandai sebagai trusted.
Monitoring dan Logging
Aktifkan logging untuk mendeteksi percobaan spoofing secara real-time.
Pengujian Bertahap
Implementasi sebaiknya dilakukan bertahap untuk menghindari gangguan layanan akibat miskonfigurasi.
DHCP Snooping dan Dynamic ARP Inspection merupakan fondasi penting dalam strategi keamanan jaringan enterprise, khususnya di Layer 2. Dengan mencegah DHCP spoofing dan ARP poisoning, kedua mekanisme ini secara efektif menutup celah serangan Man-in-the-Middle sejak dini.
Di tengah meningkatnya ancaman internal dan kompleksitas jaringan modern, membentengi Layer 2 bukan lagi opsi tambahan, melainkan kebutuhan mutlak untuk menjaga integritas dan keandalan jaringan.
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
