DHCP

 

  • Qu’est-ce qu’un serveur DHCP?

DHCP ( ou Dynamic Host Configuration Protocol ) est un protocole réseau dont le but est de permettre la configuration automatique de paramètres IP d’un matériel informatique (adresse IP, masque de sous-réseau, passerelle…).

Un DHCP est utilisé en règle général pour configurer tous les postes informatiques sans avoir à intervenir manuellement sur chaque. Par exemple, dans le cadre d’une entreprise, plutôt que de devoir configurer chaque PC 1 à 1, on fait en sorte de mettre en place un protocole DHCP afin que chacun puisse obtenir une adresse qui lui permettra de se connecter automatiquement au réseau de l’entreprise. Il est possible de faire un bail d’une durée correspondant au besoin de l’utilisateur ou de la volonté de l’entreprise. Si l’on configure un bail pour une durée de 8h, alors l’utilisateur pourra rester connecté au réseau pendant cette durée. A la fin de cette période, le bail devra être renouvelé si l’utilisateur doit continuer à accéder au réseau ou sera levé.

 

  • Problème du DHCP Spoofing

Qu’est-ce que le DHCP Spoofing? Il s’agit d’une usurpation du serveur DHCP d’un réseau. Un serveur pirate arrive à se connecter au réseau et à se faire passer pour le serveur DHCP d’une entreprise par exemple. Lorsqu’un utilisateur va envoyer une requête DHCP pour obtenir une adresse IP, le serveur pirate répondra à la place du serveur DHCP et enverra de mauvaises informations. Cela lui permettra de récupérer toutes les informations que l’utilisateur victime entrera, y compris tous ses logs (identifiants, coordonnées bancaires, …) ou encore rediriger le trafic de centaines de machines vers cet utilisateur et le rendre son PC non-fonctionnel.

Il existe une solution qui permet d’empêcher toute mise en place de serveur DHCP Spoofing : le DHCP Snooping.

 

 

  • Qu’est-ce qu’un DHCP Snooping (Surveillance DHCP)?

L’idée derrière la mise en place d’un DHCP Snooping est d’éviter qu’un serveur pirate vienne s’introduire sur le réseau et envoie de fausses informations aux utilisateurs lorsqu’ils font une requête DHCP. L’idée est de préciser où se trouve les bons serveurs DHCP. L’utilisation d’un commutateur (ou switch) sera nécessaire afin de préciser sur quelles interfaces se trouvent les serveurs DHCP authentiques. Par exemple, dans l’exemple ci-dessus, on peut voir que le serveur DHCP est relié à l’interface fa 0/24 du commutateur. Il faudra configurer cette interface afin de faire en sorte que le port soit dit “Trusted” (Port de confiance). Le but de cette commande est d’autoriser uniquement les ports “Trusted” d’émettre des requêtes DHCP Offer ainsi que des DHCP Acknowledgement, tandis que les requêtes des ports “Untrusted” seront ignorées.

 

 

  • Exemple de configuration de Switch

 

  • Schéma Visio :

Les machines clients auront leurs informations réseau configuré en mode “automatique” et obtiendront une adresse qui correspondra à l’adressage qui aura été mit sur le serveur DHCP.

L’obtention de l’adresse se fera de la manière suivante :

  1. Un ordinateur sans adresse IP diffuse en broadcast une requête DHCP DISCOVER qui contiendra l’adresse MAC du PC. Cette requête atteindra le serveur DHCP. Pour que la requête DHCP DISCOVER puisse fonctionner, il faut que le PC soit équipé d’une carte réseau.
  2. Le serveur reçoit la requête du client, et, si il existe encore des adresses IP libre sur la plage d’adresse disponible, enverra une requête DHCP OFFER en direction du client, qu’il arrivera à déterminer à l’aide de l’adresse MAC que le PC client a envoyé lors de la requête Discover. La requête DHCP Offer contiendra l’adresse IP du serveur, ainsi que l’adresse IP et le masque de sous-réseau que le serveur DHCP lui propose. Il est possible que le serveur proposent plusieurs adresses IP au client.
  3. Le client retiendra la première offre qui parvient jusqu’à lui et diffusera sur le réseau une requête DHCP REQUEST, qui contiendra l’adresse IP du serveur ainsi que l’adresse que le client aura retenu. Le but étant l’assignation de cette adresse, l’envoi des valeurs des paramètres, et indiquer les différentes adresses qui n’ont pas été retenues.
  4. Le serveur DHCP élabore une requête DHCP ACKNOWLEDGEMENT qui aura pour but d’assigner l’adresse IP, le masque de sous-réseau, une passerelle et la durée de bail du client.

 

 

  • Avantages :

L’avantage le plus intéressant serait l’énorme gain de temps économisé puisque l’on évite de devoir modifier manuellement tous les postes présents sur le réseau.

Il ne pourra pas y avoir de potentiel conflit d’IP en cas d’erreur, puisque les adresses sont ajoutées automatiquement.

Possibilité d’ajouter un bail qui permettra de déterminer un temps pendant lequel l’hôte peut utiliser une configuration IP. Lors de l’expiration de bail, l’adresse IP est libérée automatiquement et pourra être attribué à un autre PC qui se connectera au réseau.

 

 

  • Inconvénients :

Possibilité d’accéder au réseau et s’y connecter si il n’est pas sécurisé.

Une requête Broadcast enverra des informations sur tous les ports du réseau et risque de le surcharger.