Qu'est-ce que le DHCP Snooping et comment ça marche ?
Howard
Traducteur David
Les cyberattaques sont fréquentes. DHCP est devenu un point d’entrée pour les cybercriminels. DHCP simplifie l'adressage IP et la configuration du réseau, mais peut aussi créer des problèmes de sécurité. Dans cet article, nous allons présenter les termes DHCP et DHCP Snooping (surveillance DHCP) pour vous aider à éviter des attaques DHCP.
Qu'est-ce que le DHCP Snooping ?
DHCP (Dynamic Host Configuration Protocol) est un protocole qui attribue dynamiquement et automatiquement des adresses IP dans un réseau. Pas besoin de configurer les terminaux connectés. Tout se fait automatiquement et rapidement. Avec moins de contrôles, l'automatisation DHCP pose des problèmes de sécurité. Il y a une solution pour résoudre ce problème : DHCP Snooping.
DHCP Snooping est une technologie de sécurité de couche 2 du modèle OSI intégrée dans le système d'exploitation d'un commutateur réseau capable qui connecte les clients aux serveurs DHCP et supprime le trafic DHCP jugé inacceptable. Il empêche les serveurs DHCP non autorisés de distribuer des adresses IP aux clients DHCP. La fonction DHCP Snooping permet d'effectuer les actions suivantes :
-
Valide les messages DHCP provenant de sources non fiables et filtre les messages invalides.
-
Construit et maintient la base de données de liaison DHCP Snooping, qui contient des informations sur les hôtes non fiables avec des adresses IP louées.
-
Utilise la base de données de liaison DHCP Snooping pour valider les requêtes ultérieures des hôtes non fiables.
Comment fonctionne le DHCP Snooping ?
Avant de déterminer les moyens de se protéger des attaques DHCP, examinons le fonctionnement du protocole DHCP. Avec le DHCP activé, un équipement réseau sans adresse IP "dialoguera" avec le serveur DHCP en 4 étapes de la manière suivante.
-
DHCP Discovery - Un client DHCP envoie un paquet de diffusion comprenant son nom et son adresse MAC pour trouver un serveur DHCP.
-
DHCP Offer - Un serveur DHCP répond au DHCP Discovery avec une offre pour une adresse IP disponible.
-
DHCP Request - Le client DHCP répond ensuite par une DHCP REQUEST pour demander au serveur DHCP l'adresse IP proposée.
-
DHCP Ack - Le serveur DHCP envoie un DHCP ACK pour informer le client qu'il est autorisé à utiliser l'adresse IP demandée qui lui est attribuée.
DHCP Snooping catégorise généralement les interfaces sur le switch en deux catégories : ports "trusted" (de confiance) et "untrusted" (non fiables). Un port autorisé ou fiable, est un port ou une source dont les messages du serveur DHCP sont autorisés. Un port non fiable est un port à partir duquel les messages du serveur DHCP ne sont pas approuvés. Si le DHCP snooping est lancé, le message d'offre DHCP ne peut être envoyé que par le port fiable. Sinon, il sera abandonné. Avec ce type de procédé, lorsque le switch FS S3900-24T4S reçoit un « DHCP Discover », celui-ci le transmettra uniquement sur les interfaces autorisées. Cela empêche les faux DHCP de recevoir ce type de demande en premier.
Lors de l'étape de confirmation, un tableau de liaison DHCP est créé en fonction du message DHCP ACK. Il enregistre l'adresse MAC de l'hôte, l'adresse IP louée, la durée de location, le type de liaison, le numéro VLAN et les informations d'interface associées à l'hôte. Si le paquet DHCP successif reçu de la part d'hôtes non fiables ne correspond pas à l'information, il sera abandonné.
|
|
MAC Address | IP Address | Lease(sec) | Type | VLAN | Interface |
| Entry 1 | e4-54-e8-9d-ab-42 | 10.32.96.19 | 2673 | dhcp-snooping | 10 | Eth 1/23 |
| Entry 2 |
|
|
|
|
|
|
| Entry 3 |
|
|
|
|
|
|
| ... |
|
|
|
|
|
|
Cyberattaques évitées grâce au DHCP Snooping
Les menaces d’attaques DHCP sont de plus en plus nombreuses. Nous allons examiner 2 types d’attaques DHCP courantes, Spoofing DHCP et DHCP Starvation.
Attaque DHCP Spoofing
DHCP Spoofing (usurpation d'identité DHCP) se produit lorsqu'un attaquant tente de répondre aux demandes DHCP et tente de se faire passer (spoof) pour la passerelle (Gateway) ou le serveur DNS par défaut, ce qui déclenche une attaque de l’homme du milieu (Man In The Middle ou MITM). Il est donc possible qu'ils puissent intercepter le trafic des utilisateurs avant de le rediriger vers la passerelle (Gateway) réelle ou effectuer des DoS (Denial of Service Attack, Attaque par déni de service en français) en inondant le serveur DHCP réel de demandes visant à étouffer les ressources en adresses IP.
Attaque DHCP Starvation
DHCP Starvation (attaque par épuisement de ressources) cible généralement les serveurs DHCP du réseau, dans le but d'inonder le serveur DHCP autorisé de messages de demandes DHCP REQUEST en utilisant des adresses MAC source spoofées. Le serveur DHCP répondra à toutes les demandes, sans savoir qu'il s'agit d'une attaque, en lui attribuant les adresses IP disponibles, entraînant ainsi l'épuisement du stock DHCP. Les vrais clients ne pourront plus obtenir d'adresse IP : le trafic réseau sera paralysé.
Comment configurer le DHCP Snooping ?
Le DHCP Snooping n'est applicable qu'aux utilisateurs câblés. En tant que fonction de sécurité de la couche d'accès, elle est principalement activée sur tout switch contenant des ports d'accès dans un VLAN géré par DHCP. Il est nécessaire de configurer les ports fiables (les ports par lesquels les messages légitimes du serveur DHCP seront transmis) avant d'activer le DHCP Snooping sur le VLAN que vous souhaitez protéger.
La configuration DHCP Snooping peut être effectuée à travers l'interface CLI (Command Line Interface) ou le Web GUI (Graphical User Interface). Pour plus de détails sur la configuration DHCP Snooping via CLI, veuillez consulter l'article Configuration DHCP Snooping sur les switchs FS S3900. La configuration du DHCP Snooping via l’interface Web s'effectuent en 20 secondes. La vidéo suivante montre comment le configurer sur les switchs FS S5860.
Conclusion
Bien que le protocole DHCP simplifie l'adressage IP, il pose en même temps des problèmes de sécurité. Pour répondre à ces problèmes, DHCP Snooping, l’un des mécanismes de protection, peut empêcher les adresses DHCP invalides du serveur DHCP indésirable et peut repousser une attaque d’épuisement des ressources qui tenterait d'utiliser toutes les adresses DHCP existantes.
FS propose une gamme complète de solutions et de produits de commutation pour les entreprises de toutes tailles, y compris switch PoE+, switch 1G/10G et switch 25G/40G/100G de dernière génération. Tous les switchs FS peuvent exploiter pleinement cette fonction de sécurité pour protéger votre réseau. Pour plus de détails, veuillez nous contacter via fr@fs.com.
Article connexe :
Quelle est la différence entre DHCP et DNS ?