O recurso do DHCP Snooping serve para mitigar servidores DHCP (Dynamic Host Configuration Protocol) falsos.
O processo de solicitação de IP:
Etapa 01: O clinte DHCP inunda a rede com pacotes broadcast para toda a rede na busca por servidores locais que possam atender à requisição através de uma mensagem DHCPDISCOVER;
Etapa 02: Quando algum servidor que esteja executando o serviço DHCP recebe essa mensagem, ele responde com uma nova mensagem unicast ao solicitante (DHCPOFFER) com a oferta dos parâmetros de configuração
Etapa 03: O cliente aceita essa oferta e envia uma mensagem de requisição (DHCPREQUEST) dos parâmetros definitivos
Etapa 04: O servidor confirma (DHCPACK) e envia os parâmetros para que o cliente possam configurar seus endereços de rede.
Uma forma de um Attacker ganhar acesso ao trafego da rede é (spoof) fraudar a identidade de um servidor de DHCP válido.
DHCP spoofing device replica as requisições do client DHCP
Os intrusos oferecem um ip address e informações que definem o intruso como o defautl gateway na rede. Nesse caso os clientes encaminham pacotes para o dispositivo do atacante. Esse metódo de ataque é conhecido como "man-in-the-middle" ataque.
Uma tabeda de DHCP binding é construida por ports untrusted. Cada entrada contém o MAC Address, IP Address, Lease Time, Binding type, Vlan number e a port ID.
Untrusted access port não enviam DHCP respostas como DHCPOFFER, DHCPACK e DHCPNAK
Para previnir um DHCP spoofing, o servidor DHCP deve criar uma entrada estática de ARP o qual não pode ser atualizada por um pacote de ARP dinamico.
Três etapas para configuração do DHCP Snooping:
- Configurar DHCP Snooping Globalmente
- Configurar DHCP Snooping na interface
- Configurar DHCP Snooping na VLAN ou range de VLANs
Switch(config)#ip dhcp snooping (habilita DHCP Snooping globalmente)
Switch(config)#ip dhcp snooping vlan [number] (habilita DHCP Snooping na vlan)
Switch(config)#ip dhcp snooping information option (habilita DHCP Option 82)
Switch(config-if)#ip dhcp snooping trust (habilita a interface como trust or untrust)
Switch(config-if)#ip dhcp snooping limit rate (configura numeros de pacote DHCP por segundo - PPS)
Switch# show dhcp snooping (verificar a configuração)
Switch# show dhcp snooping binding (verificar a configuração)
DHCP Snooping Database contem (UNTRUSTED HOSTS WITH LEASED IP ADDRESS)
DHCP Options:
Option 43 = Usado para informar os Access Points para informar onde encontra-se o WLC
Option 69 = Usado para informar aos clietnes qual servidor SMTP esta em uso
Option 70 = Usado para informar aos clientes qual servidor POP3 esta em uso
Option 150 = Usado pelos Telefones IP o qual busca informação no Servidor TFTP para fazer download da configuração.
Nenhum comentário:
Postar um comentário
Deixe seu comentário!