DHCP Snooping

Bonjour à tous !

Le but de cet article est de protéger notre architecture au point de vue DHCP. Et ce grâce au DHCP Snooping !

DHCP = Dynamic Host Configuration Protocol
Snooping = Traduction : Espionnage

 

Rappel DHCP


Le protocole DHCP permet d’attribuer dynamiquement une adresse IP à un hôte.
Le DHCP permet à un client qui arrive sur un réseau de demander une configuration réseau dynamique.

Cette configuration va contenir :

– Une adresse IP.
Un masque de sous réseau.
Une passerelle par défaut.
– Un ou plusieurs serveurs DNS.

Comment cela se passe ?

Le client = DHCP DISCOVER : Salut tous le monde ! J’ai besoin d’une adresse IP !
Le serveur = DHCP OFFER : Salut mec ! Voilà ton adresse IP 😉
Le client = DHCP REQUEST : Merci !!! Je la prend 😉
Le serveur = DHCP ACK : C’est noté !

Echanges DHCP

Echanges DHCP

NB : Il existe plusieurs cas de figure :

Quand un client demande pour la première fois une adresse IP:

DHCP Discover – Broadcast.
DHCP Offer – Broadcast.
DHCP Request – Broadcast.
DHCP ACK – Broadcast.

Quand notre client possède déjà un bail DHCP mais demande une mise à jour:

DHCP Discover – Broadcast.
DHCP Offer – Unicast.
DHCP Request – Broadcast.
DHCP ACK – Unicast.

Pour la suite du cours, nous allons considérer que notre client fais une demande de renouvellement de bail DHCP.

 

Mise en situation 


Au sein de notre entreprise, nos clients sont en DHCP.
Pour obtenir une adresse IP, notre client va envoyer un broadcast DHCP DISCOVER.
Ce Broadcast va se propager dans tout notre réseau.

DHCP Discover - Broadcast

DHCP Discover – Broadcast

Lorsque le serveur DHCP reçoit ce DHCP DISCOVER, il va envoyer une trame DHCP OFFER en Unicast afin de fournir une adresse IP au client.

DHCP Offer - Unicast

DHCP Offer – Unicast

Notre client va prendre en compte uniquement le premier serveur DHCP qui lui répond !

 

/!\ DHCP Spoofing /!\


Le DHCP Spoofing consiste à donner de mauvaises informations DHCP à nos clients.

Traduction : Spoofing = Faire des blagues, parodier.

Ces informations peuvent provenir d’une personne mal intentionnée (Pirate) ou d’un client qui à décider de mettre un équipement sur le réseau sans savoir que ce dernier agissait comme serveur DHCP (Box Internet).

Comment cela se passe :

Le PC01 Lance un Broadcast DHCP DISCOVER afin de trouver un serveur DHCP sur le réseau. Le Pirate reçoit ce broadcast avant le serveur DHCP officiel.

Le PC01 Lance un Broadcast DHCP DISCOVER afin de trouver un serveur DHCP sur le réseau. Le Pirate reçoit ce broadcast avant le serveur DHCP officiel.

Le Pirate répond au DHCP DISCOVER avec un DHCP OFFER. Le serveur DHCP Officiel viens tout juste de recevoir le broadcast émis par le client.

Le Pirate répond au DHCP DISCOVER avec un DHCP OFFER. Le serveur DHCP Officiel viens tout juste de recevoir le broadcast émis par le client.

Notre client reçoit le DHCP OFFER du pirate avant le DHCP OFFER du serveur DHCP Officiel. Notre Client va donc prendre ses informations du Pirate ...

Notre client reçoit le DHCP OFFER du pirate avant le DHCP OFFER du serveur DHCP Officiel. Notre Client va donc prendre ses informations du Pirate …

 

Comment se protégé du DHCP SPOOFING ? Grâce au DHCP SNOOPING.

 

DHCP Snooping


Afin de se protégé du DHCP SPOOFING , nous allons mettre nos ports réseaux dans deux type de catégories :

– La catégorie TRUST ( Port de confiance )
– La catégorie UNTRUST ( Port douteux )

Lorsque nous activons le dhcp snooping , tout nos ports sont considéré comme UNTRUST. Nous allons mettre nos port d’interconnexion ainsi que nos ports vers nos serveurs en TRUST et laisser tout les ports clients en mode UNTRUST.

Que se passe t’il lorsque notre port se retrouve dans l’un de ces deux état ?

TRUST = Autorise la réception de trame DHCP OFFER sur ce port
UNTRUST = Refuse les trames DHCP OFFER sur ce port

 

Où mettre en place le DHCP Snooping ?


Il faut activer le DHCP Snooping :

– Sur tous vos équipements réseau présent dans le domaine de broadcast de vos clients.

Dans cet architecture, nos interfaces Vlans sont sur les switchs de la partie CORE. Le domaine de broadcast de vos clients va jusqu’à la partie CORE.

Nous avons donc :

– Le DHCP Snooping activée sur tous les Switchs (L2 et L3) de notre architecture.
– Tous nos ports trunk sont en mode TRUST
– Tous nos ports vers un serveur DHCP sont en mode TRUST
Les autres ports sont par défaut en mode UNSTRUST.

Dans le cas ou vous avez configurer un serveur DHCP sur un Switch, ce dernier émettra ses trames via ses ports Trunk. Tous les ports Trunk de notre architecture sont en mode TRUST donc parfait 🙂

 

TRUST = Liens Trunk + Serveurs DHCP / UNTRSUT = le reste de nos interfaces

TRUST = Liens Trunk + Serveurs DHCP / UNTRUST = le reste de nos interfaces

 

Configuration du DHCP Snooping


Architecture de base


Architecture 01

Architecture 01

 

Configuration


Une fois activé, le DHCP Snooping considère que tous ses ports sont UNTRUST.
Nous allons passer des port en TRUST afin de faire fonctionner notre topologie DHCP.

Nous allons donc :

– Activer le DHCP Snooping
– Passer en TRUST les ports d’interconnexions
– Passer en TRUST les ports de nos serveurs DHCP

Configuration de SW01


SW01(config)# ip dhcp snooping
SW01(config)# ip dhcp snooping vlan 10

SW01(config)# interface GigaBitEthernet 0/1
SW01(config-if)# description VERS_SW02
SW01(config-if)# switchport mode trunk
SW01(config-if)# ip dhcp snooping trust

SW01(config)# interface FastEthernet 0/1 
SW01(config-if)# description SERVEUR_DHCP 
SW01(config-if)# switchport mode access
SW01(config-if)# switchport access vlan 10
SW01(config-if)# ip dhcp snooping trust 

Configuration de SW02


SW02(config)# ip dhcp snooping
SW02(config)# ip dhcp snooping vlan 10

SW02(config)# interface GigaBitEthernet 0/1
SW02(config-if)# description VERS_SW01
SW02(config-if)# switchport mode trunk
SW02(config-if)# ip dhcp snooping trust

SW02(config)# interface range FastEthernet 0/1 - 2
SW02(config-if)# description CLIENTS 
SW02(config-if)# switchport mode access
SW02(config-if)# switchport access vlan 10

– ip dhcp snooping = Activation du DHCP Snooping sur l’équipement.
ip dhcp snooping trust = L’interface devient TRUST.
– ip dhcp snooping limit rate = nombre max de trame DHCP par seconde.

Attention !! Une interface Vlan reste une interface ! Il faudra donc mettre nos interface Vlan également en TRUST , surtout si nous utilisons un ip helper-address !

 

Vérifications


Vérification de nos interfaces TRUST et UNTRUST


SW01# show ip dhcp snooping
 Switch DHCP snooping is enabled
 DHCP snooping is configured on following VLANs:
 10
 Insertion of option 82 is enabled
 Option 82 on untrusted port is not allowed
 Verification of hwaddr field is enabled
 Interface               Trusted Rate limit (pps)
 ----------------------- ------- ----------------
 GigabitEthernet0/1        yes      unlimited
 FastEthernet0/1           yes      unlimited
SW02# show ip dhcp snooping
 Switch DHCP snooping is enabled
 DHCP snooping is configured on following VLANs:
 10
 Insertion of option 82 is enabled
 Option 82 on untrusted port is not allowed
 Verification of hwaddr field is enabled
 Interface               Trusted Rate limit (pps)
 ----------------------- ------- ----------------
 GigabitEthernet0/1        yes      unlimited
 FastEthernet0/1           no       unlimited
 FastEthernet0/2           no       unlimited

Vérification de la database DHCP Snooping


Le DHCP Snooping va maintenir une base de donnée contenant :

– L’adresse MAC de nos clients.
– L’adresse IP de nos clients.
– La durée du bail DHCP.
– Le Vlan.
– L’interface physique correspondante.
– Le mode d’apprentissage ( via DHCP-Snooping ou via une entrée statique )

Chaque équipement actif utilisant le DHCP Snooping mettra à jour cette base de donnée :

SW01# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC01       192.168.1.1      86400       dhcp-snooping  10    Gi0/1
 @MAC02       192.168.1.2      86400       dhcp-snooping  10    Gi0/1
 Total number of bindings: 2
SW02# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC01       192.168.1.1      86400       dhcp-snooping  10    Fa0/1
 @MAC02       192.168.1.2      86400       dhcp-snooping  10    Fa0/2
 Total number of bindings: 2

Imaginons que nous rajoutons le switch SW03 ainsi que les PC03 et 04 sur notre architecture existante :

Architecture 02

Architecture 02

SW01# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC01       192.168.1.1      86400       dhcp-snooping  10    Gi0/1
 @MAC02       192.168.1.2      86400       dhcp-snooping  10    Gi0/1
 @MAC03       192.168.1.3      86400       dhcp-snooping  10    Gi0/2
 @MAC04       192.168.1.4      86400       dhcp-snooping  10    Gi0/2
 Total number of bindings: 4
SW02# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC01       192.168.1.1      86400       dhcp-snooping  10    Fa0/1
 @MAC02       192.168.1.2      86400       dhcp-snooping  10    Fa0/2
 @MAC03       192.168.1.3      86400       dhcp-snooping  10    Gi0/1
 @MAC04       192.168.1.4      86400       dhcp-snooping  10    Gi0/1
 Total number of bindings: 4
SW03# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC03       192.168.1.3      86400       dhcp-snooping  10    Fa0/3
 @MAC04       192.168.1.4      86400       dhcp-snooping  10    Fa0/4
 Total number of bindings: 2

Vous remarquez rien ?

SW03 ne connait pas les postes PC01 et PC02 !!! Pourquoi ? car il n’existait pas lorsque ces postes ont reçu leurs bail DHCP !!! Il va falloir qu’il le renouvelle pour avoir cette information !

 

Agent DHCP Snooping


Lorsque notre switch redémarre (Volontairement ou non), il va perdre sa table DHCP snoonping avec toutes ses entrées !!! Il faut donc trouver une solution afin de sauvegarder cette base de donnée et de pouvoir la recharger en cas de redémarrage.

Switch(config)# ip dhcp snooping database [ flash | ftp | http | rcp | ftp ]

 

Conclusion 


Le DHCP Snooping :

– Protège votre topologie DHCP.
– Est à activer sur tous les équipements pour ne pas avoir de faille de sécurité.
– Lors de l’activation, part du principe que toutes vos interfaces sont en mode UNTRUSTED.
– Créer une base de donnée DHCP SNOOPING DATABASE.

Le DHCP Snooping sert de base pour l’IP Source guard et le Dynamic ARP Inspection.

Je vous donne donc rendez-vous sur l’article IP Source guard !!!

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseaux, profitez en pour naviguer dans la barre de menu !

 

FingerInTheNet.com

Noël NICOLAS

Expert Réseau
10 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

17
Poster un Commentaire

Laisser un commentaire

  Subscribe  
plus récents plus anciens plus de votes
Me notifier des
ACTA
Invité
ACTA

Bon tut, pourrais tu associer le DHCP Snooping avec les 2 autres mécanismes fonctionnant en complémentarité ?
DHCP Snooping + Source Gard + D.A.I

Bonne continuation.

KayouMT
Invité
KayouMT

Félicitations ! C’est rare de voir, en français, un article dans un domaine aussi avancé. En bon étudiant CCNP, je vais lire tous tes articles. Mes commentaires sur cet article : 1 – Il y a 4 switchs sur les schémas ; ça serait utile de les identifier (exemple : SW1, SW2, SW3, SW4). 2 – Dire précisément les switchs dans lesquelles le DHCP SNOOPING est appliqué. 3 – Expliquer le résultat de la commande « show ip dhcp snooping binding ». De quelle switch il s’agit ? Les interfaces correspondent à quels liens ? 4 – Est-ce que la solution expliquée… Read more »

KayouMT
Invité
KayouMT

Bonjour Noël. J’ai vu que tu as fait beaucoup de modifications depuis hier. C’est excellent ! Ça me permet de poser des questions intéressantes. 1 – Le « DHCP OFFER », il me semble avoir lu dans certains livres qu’il est envoyé en mode « Broadcast » (et non « Unicast »). Ça serait utile de le vérifier. 2 – L’idée de mettre l’architecture Campus (Access, Distribution, Core) est excellente ; mais, ça amène des questions. Est-ce que dans la réalité on peut avoir des liens « Trunk » entre les niveaux Distribution et Core ? Est-ce-que du Level2 Routing peut-être utilisé dans l’ensemble de la hiérarchie Campus… Read more »

KayouMT
Invité
KayouMT

Toutes mes félicitations ! La qualité de l’article s’est beaucoup améliorée en un laps de temps. Mes questions te motivent ; moi, ça me donne une formation CCNP de façon gratuite. Derniers petits commentaires très basiques : 1 – SW02# show ip dhcp snooping binding SW02 n’est pas supposée d’apprendre quelque chose par les interfaces Fa 0/3 et Fa 0/4, selon moi. La ligne « Total number of bindings: » affiche 2, alors que le résultat montre 4 lignes, selon moi. 2 – Il faudrait revoir le paragraphe qui commence par « SW03 ne connait pas les postes PC01 et PC02 !!! ». Je… Read more »

KayouMT
Invité
KayouMT

Merci beaucoup pour ta grande disponibilité, Noel.

Pour revenir à mes deux dernières questions.

1 – Il y a quand-même une chose curieuse concernant la commende ci-dessous :
SW02# show ip dhcp snooping binding

Le résultat fait référence aux interfaces fa0/3 et fa0/4. Ça peut laisser penser que ces interfaces appartiennent à SW02 ; or, elles appartiennent à SW03.

2- Si possible, j’aimerais bien savoir quel serait le résultat de la commande « SW03# show ip dhcp snooping binding », si on reboote les 3 switchs.

KayouMT
Invité
KayouMT

Oui, comprends que c’est beaucoup d’efforts pour écrire ce genre d’articles. Il faut prendre le temps qu’il faut pour faire un travail de qualité. Entre temps, je vais lire les autres articles du site.

Pour en revenir au reboot des 3 switchs. Ça serait intéressant que je le teste. Je m’en étais tenu à ta phrase au sujet de la commande [ip dhcp snooping database].

« Il faut donc trouver une solution afin de sauvegarder cette base de donnée et de pouvoir la recharger en cas de redémarrage. »

kayoumt
Invité
kayoumt

Si j’ai bien compris, si la base de données a été sauvegardée par [ip dhcp snooping database], elle va être chargée intégralement si on reboot le switch ?

KayouMT
Invité
KayouMT

Merci pour les réponses ! J’aurai l’occasion de pratiquer tous ces concepts. J’ai un lab bien équipé chez moi : 2 switchs 3750E (avec Stackwise), 1 switch 2960, avec aussi GNS3 et PacketTracer.

Mouna
Invité
Mouna

Je suis tombée sur votre site, en faisant une recherche sur Google! Je confirme, c’est rare de trouver un blog Cisco en français de cette qualité!

Merci de partager vos connaissances avec nous 🙂