Get best of the week

Qu'est-ce que DHCP Snooping et comment ça marche?

"Pourquoi ne puis-je pas me connecter au réseau, même si mon ordinateur portable a reçu une adresse IP de manière dynamique?" Avez-vous rencontré ce problème au quotidien? Avez-vous douté de l'authenticité des adresses IP? Sont-ils reçus d'un serveur DHCP autorisé? Sinon, comment éviter cela? Le terme DHCP Snooping sera introduit dans cet article pour aider les utilisateurs à éviter d'utiliser des adresses IP illégales.

Qu'est-ce que DHCP Snooping?


DHCP Snooping est une technologie de sécurité de couche 2 intégrée au système d'exploitation d'un commutateur réseau sain qui rejette le trafic DHCP considéré comme inapproprié. DHCP Snooping empêche les serveurs DHCP non autorisés (frauduleux) offrant des adresses IP aux clients DHCP. La fonction DHCP Snooping effectue les actions suivantes:

  • Vérifie les messages DHCP provenant de sources non fiables et filtre les messages non valides.
  • Crée et gère une base de données de liaisons DHCP Snooping qui contient des informations sur les hôtes non approuvés avec des adresses IP louées.
  • Utilise la base de données de liaisons DHCP Snooping pour vérifier les demandes suivantes provenant d'hôtes non approuvés.

Comment fonctionne l'espionnage DHCP?


Pour savoir comment fonctionne DHCP Snooping, nous devons intercepter le mécanisme DHCP qui fonctionne, qui signifie Dynamic Host Configuration Protocol. Lorsque DHCP est activé, un périphérique réseau sans adresse IP «interagira» avec le serveur DHCP en 4 étapes comme suit.

DHCP Principle.jpg

DHCP Snooping classe généralement les interfaces du commutateur en deux catégories: les ports non approuvés de confiance, comme illustré dans la figure 2. Un port approuvé est un port ou une source dont les messages du serveur DHCP sont approuvés. Un port non approuvé est le port à partir duquel les messages du serveur DHCP ne sont pas approuvés. Si l'espionnage DHCP est déclenché, un message d'offre DHCP ne peut être envoyé que via le port approuvé. Sinon, il sera supprimé.

DHCP Snooping app.jpg

Au stade de la confirmation, une table de liaison DHCP sera créée en fonction du message DHCP ACK. Il enregistre l'adresse MAC de l'hôte, l'adresse IP louée, la durée du bail, le type de liaison, ainsi que le numéro VLAN et les informations d'interface associées à l'hôte, comme illustré à la figure 3. Si le paquet DHCP suivant reçu de l'hôte non approuvé ne correspond pas informations, il sera supprimé.
Adresse MacAdresse IPLoyer (sec)Un typeVLANInterface
Entrée 1e4-54-e8-9d-ab-4210.32.96.192673dhcp-snoopingdixEth 1/23
Entrée 2
Entrée 3
...

Types d'attaques de base empêchés par l'espionnage DHCP


Attaque d'usurpation DHCP


L'usurpation DHCP se produit lorsqu'un attaquant tente de répondre aux demandes DHCP et essaie de se spécifier (usurpation d'identité) comme passerelle par défaut ou serveur DNS, par conséquent, en lançant une attaque via un intermédiaire. Dans le même temps, il est possible qu'ils puissent intercepter le trafic des utilisateurs avant de le transférer vers une passerelle réelle ou d'effectuer un DoS, remplissant le vrai serveur DHCP de demandes de colmatage des ressources d'adresse IP.

DHCP Starvation (épuisement DHCP)


L'épuisement des ressources DHCP cible généralement les serveurs DHCP du réseau pour remplir un serveur DHCP autorisé avec des messages DHCP REQUEST à l'aide de fausses adresses MAC source. Le serveur DHCP répondra à toutes les demandes, ne sachant pas qu'il s'agit d'une attaque d'épuisement DHCP en attribuant les adresses IP disponibles, ce qui entraînera l'épuisement du pool DHCP.

Comment activer l'espionnage DHCP?


DHCP Snooping s'applique uniquement aux utilisateurs câblés. En tant que fonction de sécurité au niveau de l'accès, elle est principalement activée sur tout commutateur contenant des ports d'accès VLAN desservis par DHCP. Lors du déploiement de DHCP Snooping, vous devez configurer les ports approuvés (les ports par lesquels passeront les messages de serveur DHCP valides) avant d'activer DHCP Snooping dans le VLAN que vous souhaitez protéger. Cela peut être implémenté à la fois dans l'interface CLI et dans l'interface Web.

Conclusion


Bien que DHCP simplifie l'adressage IP, il entraîne également des problèmes de sécurité. Pour résoudre les problèmes, DHCP Snooping, l'un des mécanismes de protection, peut empêcher l'utilisation d'adresses DHCP non fiables provenant d'un serveur DHCP frauduleux et peut empêcher une attaque d'épuisement des ressources qui tente d'utiliser toutes les adresses DHCP existantes.

More articles:


All Articles