segunda-feira, 21 de novembro de 2016

DHCP Snooping

O recurso do DHCP Snooping serve para mitigar servidores DHCP (Dynamic Host Configuration Protocol) falsos.

O processo de solicitação de IP:



Etapa 01: O clinte DHCP inunda a rede com pacotes broadcast para toda a rede na busca por servidores locais que possam atender à requisição através de uma mensagem DHCPDISCOVER;
Etapa 02: Quando algum servidor que esteja executando o serviço DHCP recebe essa mensagem, ele responde com uma nova mensagem unicast ao solicitante (DHCPOFFER) com a oferta dos parâmetros de configuração
Etapa 03: O cliente aceita essa oferta e envia uma mensagem de requisição (DHCPREQUEST) dos parâmetros definitivos
Etapa 04: O servidor confirma (DHCPACK) e envia os parâmetros para que o cliente possam configurar seus endereços de rede.

Uma forma de um Attacker ganhar acesso ao trafego da rede é (spoof) fraudar a identidade de um servidor de DHCP válido.

DHCP spoofing device replica as requisições do client DHCP

Os intrusos oferecem um ip address e informações que definem o intruso como o defautl gateway na rede. Nesse caso os clientes encaminham pacotes para o dispositivo do atacante. Esse metódo de ataque é conhecido como "man-in-the-middle" ataque.

Uma tabeda de DHCP binding é construida por ports untrusted. Cada entrada contém o MAC Address, IP Address, Lease Time, Binding type, Vlan number e a port ID.

Untrusted access port não enviam DHCP respostas como DHCPOFFER, DHCPACK e DHCPNAK

Para previnir um DHCP spoofing, o servidor DHCP deve criar uma entrada estática de ARP o qual não pode ser atualizada por um pacote de ARP dinamico.

Três etapas para configuração do DHCP Snooping:
  1. Configurar DHCP Snooping Globalmente
  2. Configurar DHCP Snooping na interface
  3. Configurar DHCP Snooping na VLAN ou range de VLANs
Exemplos de configuração:

Switch(config)#ip dhcp snooping  (habilita DHCP Snooping globalmente)
Switch(config)#ip dhcp snooping vlan [number] (habilita DHCP Snooping na vlan)
Switch(config)#ip dhcp snooping information option (habilita DHCP Option 82)
Switch(config-if)#ip dhcp snooping trust (habilita a interface como trust or untrust)
Switch(config-if)#ip dhcp snooping limit rate (configura numeros de pacote DHCP por segundo - PPS)
Switch# show dhcp snooping (verificar a configuração)

Switch# show dhcp snooping binding (verificar a configuração)

OBS.: DHCP Snooping previne ataques de DHCP Spoofing

DHCP Snooping Database contem (UNTRUSTED HOSTS WITH LEASED IP ADDRESS)

DHCP Options:

Option 43 = Usado para informar os Access Points para informar onde encontra-se o WLC
Option 69 = Usado para informar aos clietnes qual servidor SMTP esta em uso
Option 70 = Usado para informar aos clientes qual servidor POP3 esta em uso
Option 150 = Usado pelos Telefones IP o qual busca informação no Servidor TFTP para fazer download da configuração.

Nenhum comentário:

Postar um comentário

Deixe seu comentário!