Certaines requêtes DHCP étant envoyées en broadcast (diffusion sur tout le réseau) , il est possible pour une personne mal intentionnée d’utiliser son propre serveur DHCP afin de diffuser des configurations malicieuses.
En effet, cela est possible en laissant le serveur DHCP pirate répondre plus rapidement aux requêtes DHCP que le serveur DHCP présent sur le réseau, offrant ainsi aux utilisateurs des configurations prédéfinies et destinées à des actions malicieuses (voir schéma ci-dessous).
Le problème est que le serveur DHCP pirate peut définir comme passerelle par défaut sa propre adresse IP dans les configurations réseaux qu’il fournira aux clients DHCP, cela signifie que chaque personne sur le réseau fera transiter ses données en passant par le serveur DHCP pirate au lieu de la passerelle par défaut initialement prévue par l’administrateur réseau.
Le serveur DHCP pirate n’aura donc plus qu’à rediriger tout le flux d’informations provenant des utilisateurs vers la passerelle et vice versa (technique d'attaque MITM: Man-In-The-Middle) et pourra librement détourner des informations confidentielles ou des mots de passe d’utilisateurs.
Il est primordial, lorsque vous souhaitez garantir une sécurité optimale au sein de votre réseau de se prémunir de ce genre d’attaques. C’est la raison pour laquelle le DHCP Snooping a été conçu.
Le principe de fonctionnement du DHCP Snooping est simple. Etant donné que les requêtes DHCP Offer et DHCP ACK peuvent provenir uniquement des serveurs DHCP, il suffit donc de déterminer sur les commutateurs (switchs) les ports autorisés à diffuser ces requêtes.
De cette manière, seuls les ports configurés comme étant des ports de confiance (trusted port), pourrons renvoyer aux postes clients des configurations réseaux.
Comme vous pouvez le voir sur le schéma ci-dessus, toute requête DHCP Offer ou DHCP ACK provenant d’un port qui n’est pas de confiance (untrusted port) se verra supprimée par le commutateur auquel est relié ce serveur.
Le DHCP Snooping permet donc de renforcer considérablement la sécurité d’un réseau en lui permettant de se prémunir des attaques nécessitant l’utilisation d’un serveur DHCP pirate.
Pour activer le DHCP Snooping sur un switch cisco, il faut tout d’abord utiliser la commande : « ip dhcp snooping », ensuite il faut définir les VLAN qui vont devoir être pris en compte par le DHCP Snooping grâce à la commande : « ip dhcp snooping vlan numéro_vlan [numéro_vlan] , il faut ensuite activer l’option 82 du protocole DHCP car le DHCP Snooping en a besoin pour fonctionner. Pour cela il faut utiliser la commande : « ip dhcp snooping information option » et pour finir, il ne reste plus qu’à définir les interfaces qui seront dites de confiance (par défaut aucune interface n’est de confiance) et définir un nombre maximum de requêtes DHCP par seconde qui peuvent être envoyées sur un port, ceci va être possible grâce aux commandes : « ip dhcp snooping trust » et « ip dhcp snooping limit rate nombre ».
Voici un exemple de configuration d’un switch cisco utilisant le DHCP Snooping et ayant définit l’interface fastethernet 0/0 comme étant de confiance :
En effet, cela est possible en laissant le serveur DHCP pirate répondre plus rapidement aux requêtes DHCP que le serveur DHCP présent sur le réseau, offrant ainsi aux utilisateurs des configurations prédéfinies et destinées à des actions malicieuses (voir schéma ci-dessous).
Le serveur DHCP pirate n’aura donc plus qu’à rediriger tout le flux d’informations provenant des utilisateurs vers la passerelle et vice versa (technique d'attaque MITM: Man-In-The-Middle) et pourra librement détourner des informations confidentielles ou des mots de passe d’utilisateurs.
Il est primordial, lorsque vous souhaitez garantir une sécurité optimale au sein de votre réseau de se prémunir de ce genre d’attaques. C’est la raison pour laquelle le DHCP Snooping a été conçu.
Le concept du DHCP Snooping:
Le principe de fonctionnement du DHCP Snooping est simple. Etant donné que les requêtes DHCP Offer et DHCP ACK peuvent provenir uniquement des serveurs DHCP, il suffit donc de déterminer sur les commutateurs (switchs) les ports autorisés à diffuser ces requêtes.
De cette manière, seuls les ports configurés comme étant des ports de confiance (trusted port), pourrons renvoyer aux postes clients des configurations réseaux.
Le DHCP Snooping permet donc de renforcer considérablement la sécurité d’un réseau en lui permettant de se prémunir des attaques nécessitant l’utilisation d’un serveur DHCP pirate.
DHCP snooping par la pratique
Pour activer le DHCP Snooping sur un switch cisco, il faut tout d’abord utiliser la commande : « ip dhcp snooping », ensuite il faut définir les VLAN qui vont devoir être pris en compte par le DHCP Snooping grâce à la commande : « ip dhcp snooping vlan numéro_vlan [numéro_vlan] , il faut ensuite activer l’option 82 du protocole DHCP car le DHCP Snooping en a besoin pour fonctionner. Pour cela il faut utiliser la commande : « ip dhcp snooping information option » et pour finir, il ne reste plus qu’à définir les interfaces qui seront dites de confiance (par défaut aucune interface n’est de confiance) et définir un nombre maximum de requêtes DHCP par seconde qui peuvent être envoyées sur un port, ceci va être possible grâce aux commandes : « ip dhcp snooping trust » et « ip dhcp snooping limit rate nombre ».
Voici un exemple de configuration d’un switch cisco utilisant le DHCP Snooping et ayant définit l’interface fastethernet 0/0 comme étant de confiance :
SW(config)# ip dhcp snooping
SW(config)# ip dhcp snooping vlan 3 15
SW(config)# ip dhcp snooping information option
SW(config)# interface fastethernet0/0
SW(config-if)# ip dhcp snooping trust
SW(config-if)# ip dhcp snooping limit rate 50
Aucun commentaire:
Enregistrer un commentaire