Le DHCP Spoofing/Snooping

Qu’est ce qu’une attaque DHCP spoofing ?

C’est une attaque de type « man in the middle » qui consiste à se faire passer pour le/un vrai DHCP du réseau pour fournir aux clients des informations erronées comme par exemple des mauvais serveurs DNS ou une mauvaise passerelle.

dhcp_pirate

Solution de protection : le DHCP Snooping.

Vu que n’importe qui est autorisé a émettre des  requêtes DHCP OFFER et ACK, nous allons autoriser seulement certains ports sur le Switch à pouvoir les émettre.
Tous les les port seront configurer de base en « Untrust » et seul les « ports de confiance(Trust) » pourront émettre des requêtes DHCP OFFER et ACK, ainsi, la machine pirate du schéma ci-dessus, n’étant pas sur un port de confiance, ne pourra pas émettre de DHCP OFFER et ACK.

Exemple de configuration d’un switch(CISCO).

1. Switch(config)# ip dhcp snooping
2. Switch(config)# ip dhcp snooping vlan 3 15
3. Switch(config)# ip dhcp snooping information option
4. Switch(config)# int fa0/1
5. Switch(config-if)# ip dhcp snooping trust
6. Switch(config-if)# ip dhcp snooping limit rate 50

1. On active le DHCP Snooping sur le Switch.
2. On définit sur quels VLAN le DHCP Snooping s’appliquera. (Si on a des Vlans).
3. On active l’option 82 du protocole DHCP car le DHCP Snooping en a besoin.
4-5. On configure l’interface de confiance (Celle qui émettra les requêtes du vrai DHCP).
6. On définit le nombre de requête maximal par seconde autorisé.

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *