Get best of the week

O que é o DHCP Snooping e como ele funciona?

"Por que não consigo me conectar à rede, mesmo que meu laptop tenha recebido um endereço IP dinamicamente?" Você já encontrou esse problema na vida cotidiana? Você duvidou da autenticidade dos endereços IP? Eles são recebidos de um servidor DHCP autorizado? Se não, como evitar isso? O termo DHCP Snooping será introduzido neste artigo para ajudar os usuários a evitar o uso de endereços IP ilegais.

O que é o DHCP Snooping?


O DHCP Snooping é uma tecnologia de segurança da Camada 2 incorporada ao sistema operacional de um comutador de rede íntegro que descarta o tráfego DHCP considerado inadequado. O DHCP Snooping evita que servidores DHCP não autorizados (fraudulentos) ofereçam endereços IP para clientes DHCP. A função DHCP Snooping executa as seguintes ações:

  • Verifica mensagens DHCP de fontes não confiáveis ​​e filtra mensagens inválidas.
  • Cria e mantém um banco de dados de ligação de DHCP Snooping que contém informações sobre hosts não confiáveis ​​com endereços IP concedidos.
  • Usa o banco de dados de ligação DHCP Snooping para verificar solicitações subsequentes de hosts não confiáveis.

Como funciona a espionagem DHCP?


Para descobrir como o DHCP Snooping funciona, precisamos capturar o mecanismo DHCP em funcionamento, que significa Dynamic Host Configuration Protocol. Quando o DHCP está ativado, um dispositivo de rede sem um endereço IP "interage" com o servidor DHCP através de quatro estágios, a seguir.

DHCP Principle.jpg

O DHCP Snooping geralmente classifica as interfaces no comutador em duas categorias: portas não confiáveis, como mostra a Figura 2. Uma porta confiável é uma porta ou fonte cujas mensagens do servidor DHCP são confiáveis. Uma porta não confiável é a porta na qual as mensagens do servidor DHCP não são confiáveis. Se a espionagem DHCP for acionada, uma mensagem de oferta DHCP poderá ser enviada apenas pela porta confiável. Caso contrário, será descartado.

Snooping DHCP app.jpg

No estágio de confirmação, uma tabela de ligação do DHCP será criada de acordo com a mensagem ACK do DHCP. Ele grava o endereço MAC do host, o endereço IP concedido, o tempo de concessão, o tipo de ligação, bem como o número da VLAN e as informações de interface associadas ao host, como mostra a Figura 3. Se o pacote DHCP subsequente recebido do host não confiável não corresponder informações, ele será excluído.
Endereço MACEndereço de IPAluguel (s)Um tipoVLANInterface
Entrada 1e4-54-e8-9d-ab-4210.32.96.192673dhcp-snooping10Eth 1/23
Entrada 2
Entrada 3
...

Tipos básicos de ataques impedidos pelo espião DHCP


Ataque de falsificação de DHCP


A falsificação de DHCP ocorre quando um invasor tenta responder às solicitações de DHCP e tenta se especificar (falsificação) como o gateway ou servidor DNS padrão, iniciando um ataque por meio de um intermediário. Ao mesmo tempo, é possível que eles possam interceptar o tráfego dos usuários antes de encaminhar para um gateway real ou executar DoS, preenchendo o servidor DHCP real com solicitações de entupimento de recursos de endereço IP.

Inanição de DHCP (exaustão de DHCP)


O esgotamento de recursos DHCP geralmente visa os servidores DHCP da rede para preencher um servidor DHCP autorizado com mensagens de PEDIDO DHCP usando endereços MAC de origem falsos. O servidor DHCP responderá a todas as solicitações, sem saber que é um ataque de esgotamento do DHCP atribuindo endereços IP disponíveis, o que levará ao esgotamento do pool DHCP.

Como habilitar a espionagem DHCP?


A espionagem DHCP é aplicável apenas a usuários com fio. Como um recurso de segurança no nível de acesso, é ativado principalmente em qualquer switch que contenha portas de acesso VLAN atendidas pelo DHCP. Ao implantar o DHCP Snooping, você deve configurar portas confiáveis ​​(as portas pelas quais serão transmitidas mensagens válidas do servidor DHCP) antes de ativar o DHCP Snooping na VLAN que deseja proteger. Isso pode ser implementado na interface da CLI e na interface da web.

Conclusão


Embora o DHCP simplifique o endereçamento IP, ele também causa problemas de segurança. Para corrigir os problemas, o DHCP Snooping, um dos mecanismos de proteção, pode impedir o uso de endereços DHCP não confiáveis ​​de um servidor DHCP fraudulento e pode impedir um ataque de exaustão de recursos que tenta usar todos os endereços DHCP existentes.

More articles:


All Articles