DHCP Snooping
Introduction au Problème : Attaque de type DHCP Spoofing
Le DHCP Spoofing consiste à prendre le rôle d’un Serveur DHCP légitime et donner par suite de mauvaises IPs aux différents utilisateurs.
La source émettrice du DHCP peut être un Pirate de mauvaise foi qui a installé dans le LAN son propre serveur DHCP. Cela peut être aussi et simplement un Équipement Réseaux Niveau 3 (Routeur, Firewall, WLC, Proxy, …) mal configuré qui agit -à part sa fonctionnalité principale- comme un serveur DHCP Actif, par négligence.
L’exemple ci-dessous montre un Utilisateur final qui a envoyé son « DHCP DISCOVER » pour chercher un serveur DHCP dans le Réseau et obtenir par suite une IP. Cependant, un Pirate existe aussi dans le LAN et a déjà installé son propre serveur DHCP, il va - potentiellement - répondre aux Requêtes DHCP avant le serveur DHCP Légitime de l’entreprise. Finalement, l’utilisateur va se retrouver avec des fausses Informations (IP, Gateway, DNSs,…). On imagine la suite !
La solution ? Voir paragraphe suivant …
DHCP Snooping
Cette solution de prévention contre le DHCP Spoofing se base sur le principe suivant :
Tous les ports sont « Untrusted » (0 niveau de confiance) sauf les Uplinks et les Ports vers le serveur DHCP Légitime qui sont « Trusted » (confiance totale).
Lorsque le DHCP Snooping est activé en mode Global, tous les ports passent automatiquement en mode « Untrusted ». Ensuite, on choisit convenablement les ports qui mènent vers le Serveur DHCP légitime et on les configure manuellement en mode « Trusted ».
Si un Serveur DHCP tiers est mis de manière accidentelle sur un port « Untrusted », il ne pourra pas envoyer les « DHCP OFFER » comme réponse aux clients. Il est donc impossible de faire fonctionner son propre service DHCP dans le LAN de l’Entreprise.
Revenons à l'exemple précédent :
Les commandes de configuration sont les suivantes :
| Commande | Signification / Remarque |
|---|---|
| Switch(config)# ip dhcp snooping | Activation du DHCP Snooping en mode Global |
| Switch(config)# ip dhcp snooping vlan 100 | Application du DHCP Snooping sur un Vlan spécifique |
| Switch(config-if)# ip dhcp snooping trust | En mode Interface. Configuration de l’Interface concernée en mode Trusted, c’est soit un Uplink vers le Réseau du serveur DHCP, soit le port du serveur DHCP lui-même. |
| Switch(config-if)# ip dhcp snooping limit rate 80 | En mode interface aussi. Fixation d’un seuil Max de trames DHCP par seconde (ici 80 Trames/sec) |
Les commandes de vérification sont les suivantes :
| Switch# show ip dhcp snooping |
|---|
| Switch# show ip dhcp snooping binding |
|---|
Le switch garde une base de données des IPs + MACs des différents utilisateurs ayant obtenu des adresses IPs de façon "légitime" à partir du serveur DHCP Trusted.
Ajouter un commentaire
Commentaires