DHCP Snooping

 

DHCP Snooping

 

Rappel DHCP


DHCP = Dynamic Host Configuration Protocol

Le protocole DHCP permet d’attribuer dynamiquement une adresse IP à un hôte.

Le DHCP permet à un client qui arrive sur un réseau de demander une configuration réseau dynamique. elle va contenir :

– Une adresse IP

– Un masque de sous réseau

– Une passerelle par défaut

– Un ou plusieurs serveurs DNS

Afin de trouver un serveur DHCP sur le réseau , il va envoyer en BROADCAST une trame « DHCP DISCOVER ».

Si un serveur DHCP est présent sur le réseau, il va lui répondre avec une trame « DHCP OFFER » en UNICAST.

Dès que notre client à identifier un serveur DHCP, il va lui demander un bail DHCP avec la requête « DHCP REQUEST », le serveur va lui fournir ce bail avec une trame « DHCP ACK ».

 

 

Exemple d’architecture :

    Nous pouvons voir sur cet architecture que notre serveur DHCP n’est pas sur notre réseau. Lorsque notre client va envoyer son BROADCAST « DHCP DISCOVER ». Son interface vlan va transformer ce broadcast en unicast et va le renvoyer vers le serveur DHCP qui lui à été renseigner

Cela se fait via la commande

switch(config)#interface vlan 10
switch(config-if)#ip helper-address X.X.X.X

 

DHCP Spoofing


     Le DHCP Spoofing consiste à donner de mauvaises informations DHCP à nos clients.

     Ces informations peuvent provenir d’une personne mal intentionnée (Pirate) ou d’un client qui à décider de mettre un équipement sur le réseau sans savoir que ce dernier agissait comme serveur DHCP (Box Internet).

      Sur cet exemple, notre client va envoyer son BROADCAST « DHCP DISCOVER ». Sauf que notre Pirate va répondre plus vite que notre DHCP distant ! Notre client va donc demander son bail DHCP à notre Pirate. Ce dernier va lui donner de mauvaise information afin de récupérer des informations.

      Comment se protégé du DHCP SPOOFING ? Grâce au DHCP SNOOPING

 

DHCP Snooping.


   Afin de se protégé du DHCP SPOOFING , nous allons catégorisé nos ports réseaux dans deux type de catégories :

– La catégorie TRUST ( Port de confiance )

– La catégorie UNTRUST ( Port douteux )

     Lorsque nous activons le dhcp snooping , tout nos ports sont considéré comme UNTRUST. Nous allons mettre nos port d’interconnexion ainsi que nos ports vers nos serveurs en TRUST et laisser tout les ports clients en mode UNTRUST.

      Attention !! Une interface Vlan reste une interface ! , faudra donc mettre nos interface Vlan également en TRUST , surtout si nous utilisons un ip helper-address !

Si notre pirate se met sur un port UNTRUST , il ne pourra pas transmettre de message de type « DHCP Server ».

 

Configuration du DHCP Snooping


switch(config)#ip dhcp snooping
switch(config)#ip dhcp snooping vlan XX
switch(config)#interface FastEthernet 0/1 
switch(config-if)#ip dhcp snooping trust 
switch(config-if)#ip dhcp snooping limit rate 50

 

– ip dhcp snooping = Activation du DHCP Snooping sur l’équipement

– ip dhcp snooping trust = L’interface devient TRUST

– ip dhcp snooping limit rate = nombre max de trame DHCP par seconde

Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

4 thoughts on “DHCP Snooping”

  1. Bon tut, pourrais tu associer le DHCP Snooping avec les 2 autres mécanismes fonctionnant en complémentarité ?
    DHCP Snooping + Source Gard + D.A.I

    Bonne continuation.

    1. Je vais faire un article pour le source guard et un autre pour le D.A.I.

      Je préfère séparer ces articles car le DHCP Snooping est le seul des trois sujets traité dans le CCNA 200-125.

      Merci pour ton aide !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *