C'est quoi ?

<la commande>?

DHCP Sécurité Documentation Commutateur Allied Cisco

DHCP Snooping

November 17, 2024
Silhouette De L'homme de Sebastiaan Stam

Dans le monde des réseaux, le protocole DHCP (Dynamic Host Configuration Protocol) joue un rôle essentiel en attribuant automatiquement des adresses IP et des informations réseau aux clients. Cependant, comme tout service critique, il peut devenir une cible pour les cyberattaques, notamment le DHCP Spoofing, qui met en péril la sécurité et la stabilité des infrastructures réseau.

Des solutions comme DHCP Snooping existent pour renforcer la sécurité.

Le DHCP Spoofing ?

Le DHCP Spoofing est une attaque réseau dans laquelle un attaquant introduit un serveur DHCP malveillant sur le réseau. Cela permet de tromper les clients en leur fournissant des informations erronées, compromettant ainsi la sécurité du réseau.

Comment ça fonctionne ?

  1. Attribution d’adresses IP frauduleuses : L'attaquant configure un serveur DHCP non autorisé qui distribue des adresses IP incorrectes ainsi que des paramètres réseau comme une passerelle malveillante pour intercepter le trafic et/ou des adresses DNS pointant vers des serveurs contrôlés par l'attaquant.
  2. Redirection du trafic réseau : Une fois connecté via les informations erronées, le trafic des victimes peut être détourné vers des sites malveillants ou capturé dans une attaque de type Man-in-the-Middle.
  3. Perturbation du réseau : En attribuant des adresses IP non valides ou en épuisant les plages disponibles, l'attaquant peut provoquer des perturbations réseau.

Le DHCP Spoofing est donc une menace sérieuse car il exploite un mécanisme de confiance inhérent au protocole DHCP.

La solution, le DHCP Snooping

Le DHCP Snooping est une fonctionnalité de sécurité réseau intégrée aux équipements réseaux (commutateurs). Il agit comme un gardien, filtrant et surveillant les communications DHCP pour empêcher les attaques telles que le DHCP Spoofing.

Les Fonctionnalités de DHCP Snooping

  1. Filtrage des serveurs non autorisés : Seuls les serveurs DHCP configurés sur des ports fiables (trust) peuvent répondre aux requêtes DHCP des clients. Les réponses DHCP provenant de ports non fiables sont automatiquement rejetées.
  2. Base de données DHCP Snooping : Le commutateur conserve une liste des adresses IP attribuées et des informations associées (adresse MAC, VLAN, port).

Configurer le DHCP Snooping sur les commutateurs

1. Activer le service DHCP Snooping

Sur un commutateur Allied Telesis:

awplus(config)#service dhcp-snooping
awplus(config)#no ip dhcp snooping agent-option

Sur un commutateur Cisco:

cisco(config)#ip dhcp snooping
cisco(config)#no ip dhcp snooping information option

Les commande "no ip dhcp snooping agent-option" et "no ip dhcp snooping information option" désactivent l'option 82 du DHCP Relay sur les ports non fiables. Cette option est souvent utilisée par les relais DHCP, mais elle n'est pas nécessaire pour le DHCP Snooping.

2. Activer le DHCP Snooping sur un VLAN spécifique

Sur un commutateur Allied Telesis:

awplus(config)#interface vlanXXX, vlanYYY, vlanZZZ
awplus(config-if)#ip dhcp snooping

Sur un commutateur Cisco:

cisco(config)#ip dhcp snooping vlan XXX-YYYY

Appliquez le DHCP Snooping sur le/les VLAN où vous souhaitez sécuriser les communications DHCP.

3. Configurer les ports fiables

Les ports fiables (trust) sont ceux où les serveurs DHCP légitimes sont connectés.

Sur un commutateur Allied Telesis et cisco:

switch(config)#interface LePort
switch(config-if)#ip dhcp snooping trust

4. Vérification

Assurez-vous que :

  • Les ports fiables sont bien configurés (ip dhcp snooping trust).
  • Les informations des clients DHCP remontent correctement dans la base de données DHCP Snooping:
switch#sh ip dhcp snooping binding 
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
64:4F:D7:C1:4C:EE   192.168.32.51    33614       dhcp-snooping   360    GigabitEthernet0/8
Total number of bindings: 1

Si le lien de confiance n’est pas configuré correctement, le serveur DHCP ne pourra pas attribuer d’adresses IP aux clients.

Le DHCP Spoofing est une menace sérieuse qui peut compromettre la confidentialité, l’intégrité et la disponibilité de vos données réseau. En activant et configurant correctement DHCP Snooping, vous protégez votre infrastructure contre ce type d'attaques tout en renforçant la résilience de votre réseau.

Politique de confidentialité Copyright @ 2024 cestquoilacommande.com. All Rights Reserved