DHCP Snooping

Le DHCP Spoofing consiste à prendre le rôle d’un Serveur DHCP légitime et donner par suite des mauvaises IPs aux différents utilisateurs.

La source émettrice du DHCP peut être un Pirate de mauvaise foi qui a installé dans le LAN son propre serveur DHCP. Cela peut être aussi et simplement un Équipement Réseau Niveau 3 (Routeur, Firewall, WLC, Proxy, …) mal configuré qui agit -à part sa fonctionnalité principale- comme un serveur DHCP Actif, par négligence.

L’exemple ci-dessous montre un Utilisateur final qui a envoyé son « DHCP DISCOVER » pour chercher un serveur DHCP dans le Réseau et obtenir par suite une IP. Cependant, un Pirate existe aussi dans le LAN et a déjà installé son propre serveur DHCP, il va - potentiellement - répondre aux Requêtes DHCP avant le serveur DHCP légitime de l’entreprise. Finalement, l’utilisateur va se retrouver avec des fausses Informations (IP, Gateway, DNSs, …). On imagine la suite !

La solution ? Voir paragraphe suivant …

Cette solution de prévention contre le DHCP Spoofing se base sur le principe suivant :

Tous les ports sont « Untrusted » (0 niveau de confiance) sauf les Uplinks et les Ports vers le serveur DHCP Légitime qui sont « Trusted » (confiance totale).

Lorsque le DHCP Snooping est activé en mode Global, tous les ports passent automatiquement en mode « Untrusted ». Ensuite, on choisit convenablement les ports qui mènent vers le Serveur DHCP légitime et on les configure manuellement en mode « Trusted ».

Si un Serveur DHCP tiers non autorisé est mis de manière accidentelle sur un port « Untrusted », il ne pourra pas envoyer les « DHCP OFFER » comme réponse aux clients. Il est donc impossible de faire fonctionner son propre service DHCP dans le LAN de l’Entreprise.

Revenons à l'exemple précédent :

Les commandes de configuration sont les suivantes :

Switch(config)# ip dhcp snooping 
 ! Activation du DHCP Snooping en mode Global  
 
Switch(config)# ip dhcp snooping vlan 100
 ! Application du DHCP Snooping sur un Vlan spécifique   
 
Switch(config)# interface Gi0/1
Switch(config-if)# ip dhcp snooping trust
 ! Configuration de l’Interface Gi0/1 en mode Trusted, c’est soit un Uplink vers le Réseau du serveur DHCP, soit le port du serveur DHCP lui-même.  
 
Switch(config-if)# ip dhcp snooping limit rate 80
 ! Fixation d’un seuil Max de trames DHCP par seconde (ici 80 Trames/sec)  

Les commandes de vérification sont les suivantes :

Switch# show ip dhcp snooping
Switch# show ip dhcp snooping binding 
 ! Le switch garde une base de données des IPs + MACs des différents utilisateurs ayant obtenu des adresses IPs de façon "légitime" à partir du serveur DHCP Trusted.