"Pourquoi je ne peux pas accéder au réseau même si mon ordinateur portable a acquis dynamiquement l'adresse IP?" Avez-vous déjà rencontré ce problème dans votre quotidien ? Avez-vous soupçonné l'authenticité de l'adresse IP? Qu'il s'agisse du serveur DHCP autorisé? Si ce n'est pas le cas, comment éviter que cela ne se produise? Dans cet article, nous allons présenter le terme DHCP Snooping pour aider les utilisateurs à éviter les adresses IP illégales.
Le DHCP (Dynamic Host Configuration Protocol) Snooping est une technologie de sécurité de couche 2 incorporée dans le système d'exploitation d'un commutateur réseau capable qui supprime le trafic DHCP jugé inacceptable. il empêche les serveurs DHCP non autorisés qui offrent des adresses IP aux clients DHCP. La fonction DHCP Snooping permet d'effectuer les activités suivantes :
Pour comprendre comment fonctionne le DHCP Snooping, nous devons comprendre le mécanisme de fonctionnement du DHCP (Dynamic Host Configuration Protocol). Avec le DHCP activé, un dispositif réseau sans adresse IP "dialoguera" avec le serveur DHCP en 4 étapes de la manière suivante.
DHCP Snooping catégorise généralement les interfaces sur le commutateur en deux catégories: ports fiables et non fiables, comme le montre la Figure 2. Un port autorisé ou fiable, est un port ou une source dont les messages du serveur DHCP sont autorisés. Un port non fiable est un port à partir duquel les messages du serveur DHCP ne sont pas fiables. Si le DHCP snooping est lancé, le message d'offre DHCP ne peut être envoyé que par le port fiable. Sinon, il sera abandonnée.
Lors de l'étape de confirmation, un tableau de liaison DHCP sera créé en fonction du message DHCP ACK. Il enregistre l'adresse MAC de l'hôte, l'adresse IP louée, la durée de location, le type de liaison, le numéro VLAN et les informations d'interface associées à l'hôte, comme le montre la Figure 3. Si le paquet DHCP successif reçu de la part d'hôtes non fiables ne correspond pas à l'information, il sera abandonné.
|
MAC Address | IP Address | Lease(sec) | Type | VLAN | Interface |
Entry 1 | e4-54-e8-9d-ab-42 | 10.32.96.19 | 2673 | dhcp-snooping | 10 | Eth 1/23 |
Entry 2 |
|
|
|
|
|
|
Entry 3 |
|
|
|
|
|
|
... |
|
|
|
|
|
|
L'usurpation d'identité DHCP (DHCP Spoofing Attack) se produit lorsqu'un attaquant tente de répondre aux demandes DHCP et tente de se faire passer (spoof) pour la passerelle (Gateway) ou le serveur DNS par défaut, ce qui déclenche une attaque de l’homme du milieu (Man In The Middle ou MITM). Avec cela, il est possible qu'ils puissent intercepter le trafic des utilisateurs avant de le rediriger vers la passerelle (Gateway) réelle ou effectuer des DoS (Denial of Service Attack) en inondant le serveur DHCP réel de demandes visant à étouffer les adresses IP des ressources.
L'attaque “DHCP Starvation Attack” cible généralement les serveurs DHCP du réseau, dans le but d'inonder le serveur DHCP autorisé de messages de demandes DHCP REQUEST en utilisant des adresses MAC source spoofées. Le serveur DHCP répondra à toutes les demandes, ne sachant pas qu'il s'agit d'une attaque, en lui attribuant les adresses IP disponibles, entraînant l'épuisement du stock DHCP.
Le DHCP Snooping n'est applicable qu'aux utilisateurs câblés. En tant que fonction de sécurité de la couche d'accès, elle est principalement activée sur tout commutateur contenant des ports d'accès dans un VLAN géré par DHCP. Lors du déploiement du DHCP Snooping, vous devez configurer les ports fiables (les ports par lesquels les messages légitimes du serveur DHCP seront transmis) avant d'activer le DHCP Snooping sur le VLAN que vous souhaitez protéger. Ceci peut être effectué aussi bien dans l'interface CLI (Command Line Interface) que dans le GUI (Graphical User Interface). Les commandes CLI sont présentées dans Configuration DHCP Snooping sur les commutateurs FS de la série S3900.
Bien que le DHCP simplifie l'adressage IP, il soulève en même temps des problèmes de sécurité. Pour répondre à ces problèmes, le DHCP Snooping, qui est l’un des mécanismes de protection, peut empêcher les adresses DHCP invalides du serveur DHCP indésirable et peut repousser une attaque qui épuise les ressources et tente d'utiliser toutes les adresses DHCP existantes. Les commutateurs Gigabit administrables empilables de FS de la série S3900 peuvent exploiter pleinement cette fonction pour protéger votre réseau.