Get best of the week

Was ist DHCP-Snooping und wie funktioniert es?

"Warum kann ich keine Verbindung zum Netzwerk herstellen, obwohl mein Laptop dynamisch eine IP-Adresse erhalten hat?" Sind Sie im Alltag auf dieses Problem gestoßen? Haben Sie an der Echtheit der IP-Adressen gezweifelt? Werden sie von einem autorisierten DHCP-Server empfangen? Wenn nicht, wie kann dies verhindert werden? Der Begriff DHCP-Snooping wird in diesem Artikel eingeführt, um Benutzern die Verwendung illegaler IP-Adressen zu vermeiden.

Was ist DHCP-Snooping?


DHCP-Snooping ist eine Layer-2-Sicherheitstechnologie, die in das Betriebssystem eines fehlerfreien Netzwerk-Switch integriert ist und DHCP-Verkehr verwirft, der als unangemessen angesehen wird. DHCP-Snooping verhindert, dass nicht autorisierte (betrügerische) DHCP-Server DHCP-Clients IP-Adressen anbieten. Die DHCP-Snooping-Funktion führt die folgenden Aktionen aus:

  • Überprüft DHCP-Nachrichten aus nicht vertrauenswürdigen Quellen und filtert ungültige Nachrichten heraus.
  • Erstellt und verwaltet eine DHCP-Snooping-Bindungsdatenbank, die Informationen zu nicht vertrauenswürdigen Hosts mit geleasten IP-Adressen enthält.
  • Verwendet die DHCP-Snooping-Bindungsdatenbank, um nachfolgende Anforderungen von nicht vertrauenswürdigen Hosts zu überprüfen.

Wie funktioniert DHCP-Snooping?


Um herauszufinden, wie DHCP-Snooping funktioniert, müssen wir den funktionierenden DHCP-Mechanismus abfangen, der für Dynamic Host Configuration Protocol steht. Wenn DHCP aktiviert ist, „interagiert“ ein Netzwerkgerät ohne IP-Adresse in vier Schritten mit dem DHCP-Server.

DHCP Principle.jpg

DHCP-Snooping klassifiziert die Schnittstellen auf dem Switch normalerweise in zwei Kategorien: vertrauenswürdige nicht vertrauenswürdige Ports (siehe Abbildung 2). Ein vertrauenswürdiger Port ist ein Port oder eine Quelle, deren DHCP-Servernachrichten vertrauenswürdig sind. Ein nicht vertrauenswürdiger Port ist der Port, von dem aus DHCP-Servernachrichten nicht vertrauenswürdig sind. Wenn DHCP-Snooping ausgelöst wird, kann eine DHCP-Angebotsnachricht nur über den vertrauenswürdigen Port gesendet werden. Andernfalls wird es verworfen.

DHCP Snooping app.jpg

In der Bestätigungsphase wird eine DHCP-Bindungstabelle gemäß der DHCP-ACK-Nachricht erstellt. Es zeichnet die MAC-Adresse des Hosts, die geleaste IP-Adresse, die Lease-Zeit, den Bindungstyp sowie die VLAN-Nummer und die dem Host zugeordneten Schnittstelleninformationen auf, wie in Abbildung 3 dargestellt. Wenn das vom nicht vertrauenswürdigen Host empfangene nachfolgende DHCP-Paket nicht übereinstimmt Informationen werden gelöscht.
MAC-AdresseIP AdresseMiete (Sek.)Eine ArtVLANSchnittstelle
Eintrag 1e4-54-e8-9d-ab-4210.32.96.192673DHCP-Schnüffeln10Eth 1/23
Eintrag 2
Eintrag 3
...

Grundlegende Arten von Angriffen, die durch DHCP-Snooping verhindert werden


DHCP-Spoofing-Angriff


DHCP-Spoofing tritt auf, wenn ein Angreifer versucht, auf DHCP-Anforderungen zu antworten und sich selbst (Spoof) als Standard-Gateway oder DNS-Server anzugeben, wodurch ein Angriff über einen Vermittler initiiert wird. Gleichzeitig ist es möglich, dass sie den Datenverkehr von Benutzern abfangen können, bevor sie an ein echtes Gateway weitergeleitet oder DoS ausgeführt werden, wodurch der echte DHCP-Server mit Anforderungen zum Verstopfen von IP-Adressressourcen gefüllt wird.

DHCP-Mangel (DHCP-Erschöpfung)


Die Erschöpfung von DHCP-Ressourcen zielt normalerweise auf Netzwerk-DHCP-Server ab, um einen autorisierten DHCP-Server mit DHCP-ANFRAGE-Nachrichten unter Verwendung gefälschter Quell-MAC-Adressen zu füllen. Der DHCP-Server antwortet auf alle Anforderungen, ohne zu wissen, dass es sich um einen DHCP-Verarmungsangriff handelt, indem er verfügbare IP-Adressen zuweist, die zur Verarmung des DHCP-Pools führen.

Wie aktiviere ich DHCP-Snooping?


DHCP-Snooping gilt nur für kabelgebundene Benutzer. Als Sicherheitsfunktion auf Zugriffsebene wird sie meistens auf jedem Switch aktiviert, der VLAN-Zugriffsports enthält, die von DHCP bereitgestellt werden. Bei der Bereitstellung von DHCP-Snooping müssen Sie vertrauenswürdige Ports konfigurieren (die Ports, über die gültige DHCP-Servernachrichten übertragen werden), bevor Sie DHCP-Snooping in dem VLAN aktivieren, das Sie schützen möchten. Dies kann sowohl in der CLI-Schnittstelle als auch in der Webschnittstelle implementiert werden.

Fazit


DHCP vereinfacht zwar die IP-Adressierung, verursacht jedoch auch Sicherheitsprobleme. Um die Probleme zu beheben, kann DHCP-Snooping, einer der Schutzmechanismen, die Verwendung nicht vertrauenswürdiger DHCP-Adressen von einem betrügerischen DHCP-Server verhindern und einen Angriff zur Erschöpfung der Ressourcen verhindern, bei dem versucht wird, alle vorhandenen DHCP-Adressen zu verwenden.

More articles:


All Articles