DHCP Snooping

 

 

Rappel DHCP


DHCP = Dynamic Host Configuration Protocol

Le protocole DHCP permet d’attribuer dynamiquement une adresse IP à un hôte.
Le DHCP permet à un client qui arrive sur un réseau de demander une configuration réseau dynamique. elle va contenir :

– Une adresse IP
Un masque de sous réseau
Une passerelle par défaut
– Un ou plusieurs serveurs DNS

Afin de trouver un serveur DHCP sur le réseau , il va envoyer en BROADCAST une trame « DHCP DISCOVER ».
Si un serveur DHCP est présent sur le réseau, il va lui répondre avec une trame « DHCP OFFER » en UNICAST.
Dès que notre client à identifier un serveur DHCP, il va lui demander un bail DHCP avec la requête « DHCP REQUEST », le serveur va lui fournir ce bail avec une trame « DHCP ACK ».

 

 

DHCP Snooping - Echange

DHCP Snooping – Echange

Exemple d’architecture :

DHCP Snooping - Architecture

DHCP Snooping – Architecture

 

Nous pouvons voir sur cet architecture que notre serveur DHCP n’est pas sur notre réseau. Lorsque notre client va envoyer son BROADCAST « DHCP DISCOVER ». Son interface vlan va transformer ce broadcast en unicast et va le renvoyer vers le serveur DHCP qui lui à été renseigner

Cela se fait via la commande

 

Switch(config)# interface vlan 10 
Switch(config-if)# ip helper-address X.X.X.X

 

DHCP Spoofing


Le DHCP Spoofing consiste à donner de mauvaises informations DHCP à nos clients.
Ces informations peuvent provenir d’une personne mal intentionnée (Pirate) ou d’un client qui à décider de mettre un équipement sur le réseau sans savoir que ce dernier agissait comme serveur DHCP (Box Internet).

DHCP Snooping - DHCP Spoofing

Présentation du DHCP Spoofing

Sur cet exemple, notre client va envoyer son BROADCAST « DHCP DISCOVER ». Sauf que notre Pirate va répondre plus vite que notre DHCP distant ! Notre client va donc demander son bail DHCP à notre Pirate. Ce dernier va lui donner de mauvaise information afin de récupérer des informations

Comment se protégé du DHCP SPOOFING ? Grâce au DHCP SNOOPING

 

DHCP Snooping


Afin de se protégé du DHCP SPOOFING , nous allons catégorisé nos ports réseaux dans deux type de catégories :

– La catégorie TRUST ( Port de confiance )
– La catégorie UNTRUST ( Port douteux )

Lorsque nous activons le dhcp snooping , tout nos ports sont considéré comme UNTRUST. Nous allons mettre nos port d’interconnexion ainsi que nos ports vers nos serveurs en TRUST et laisser tout les ports clients en mode UNTRUST.
Attention !! Une interface Vlan reste une interface ! , faudra donc mettre nos interface Vlan également en TRUST , surtout si nous utilisons un ip helper-address !

DHCP Snooping - TRUST et UNTRUST

DHCP Snooping – TRUST et UNTRUST

 

Si notre pirate se met sur un port UNTRUST , il ne pourra pas transmettre de message de type « DHCP Server ».

 

Agent DHCP Snooping


Lorsque notre switch redémarre (Volontairement ou non), il va perdre sa table DHCP snoonping avec toutes ses entrées !!! Il faut donc trouver une solution afin de sauvegarder cette base de donnée et de pouvoir la recharger en cas de redémarrage.

Switch(config)# ip dhcp snooping database [ flash | ftp | http | rcp | ftp ]

 

Configuration du DHCP Snooping


 

Switch(config)# ip dhcp snooping 
Switch(config)# ip dhcp snooping vlan XX
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate 50

 

– ip dhcp snooping = Activation du DHCP Snooping sur l’équipement
ip dhcp snooping trust = L’interface devient TRUST
– ip dhcp snooping limit rate = nombre max de trame DHCP par seconde

 

Switch# show ip dhcp snooping binding 
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  -----------------
00:D0:97:7C:29:CD   192.168.0.2      86400       dhcp-snooping  1     FastEthernet0/4
00:0A:41:15:29:2C   192.168.0.3      86400       dhcp-snooping  1     FastEthernet0/3
00:30:F2:BC:94:29   192.168.0.5      86400       dhcp-snooping  1     FastEthernet0/2
00:01:96:C3:BA:CE   192.168.0.6      86400       dhcp-snooping  1     FastEthernet0/1
Total number of bindings: 4

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseaux, profitez en pour naviguer dans la barre de menu !

 

FingerInTheNet.com

Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

2 thoughts on “DHCP Snooping”

  1. Bon tut, pourrais tu associer le DHCP Snooping avec les 2 autres mécanismes fonctionnant en complémentarité ?
    DHCP Snooping + Source Gard + D.A.I

    Bonne continuation.

    1. Je vais faire un article pour le source guard et un autre pour le D.A.I.

      Je préfère séparer ces articles car le DHCP Snooping est le seul des trois sujets traité dans le CCNA 200-125.

      Merci pour ton aide !

Laisser un commentaire