Le DHCP snooping, se prémunir des attaques DHCP spoofing

Qu’est ce qu’une attaque DHCP spoofing ?

C’est une attaque de type « man in the middle » qui consiste à usurper le service DHCP. L’attaquant en se faisant passer pour un DHCP légitime va fournir ainsi aux clients des informations erronées comme par exemple des mauvais serveurs DNS ou une mauvaise passerelle.

 

Fonctionnement du service DHCP

1. Le client envoie en broadcast sur le réseau une requête DHCP DISCOVER pour trouver les serveurs DHCP disponibles (diffusion via l’adresse MAC de destination FF:FF:FF:FF:FF:FF).

2. Le serveur DHCP ayant répondu en premier renvoie une requête DHCP OFFER pour fournir les informations au client ( c’est à cette étape qu’un DHCP pirate peut répondre au client à la place d’un serveur légitime).

3. Le client renvoie une requête DHCP REQUEST pour signaler aux autres serveurs DHCP qu’il a déjà choisi un serveur.

4. Le serveur DHCP choisi confirme au client avec un DHCP ACK.

 

Capture

 

Un contournement, le DHCP snooping

Pour que ce type d’attaque fonctionne il faut que le pirate ait un accès au réseau pour usurper le service DHCP donc à un des équipements réseau. En activant la fonction DHCP snooping sur tous les équipements réseau seuls les ports mis en tant que ports de confiance pourront émettre des requêtes de type DHCP OFFER et ACK, les autres seront bloqués.

 

Configuration sur les équipements CISCO

On active le DHCP snooping dans la configuration générale :

switch(config)#ip dhcp snooping

A partir de ce moment là tous les ports du switch sont considérés en tant que ports « untrust ».

 

Pour configurer un port en tant que port de confiance, faire comme suit :

switch(config)#interface fa0/1
switch(config-if)#ip dhcp snooping trust
switch(config-if)#ip dhcp snooping limit rate 100 (on limite à 100 requêtes/seconde)

 

Si vous voulez afficher la table avec les adresses IP fournies aux clients (MAC) ainsi que les leases :

switch#show ip dhcp snooping binding

 

Configuration sur les équipements HP (ou 3COM)

Comme sous CISCO on active la fonction en configuration générale :

<switch>system-view
[switch]dhcp-snooping

 

Puis on configure le port :

[switch]interface g0/1
[switch-gigabitethernet0/1]dhcp-snooping trust
[switch-gigabitethernet0/1]dhcp-snooping rate-limit 100 (on limite à 100 requêtes/seconde)

 

Affichage de la table des adresses IP :

[switch]display dhcp-snooping binding database

 

Pour aller plus loin

Pensez que d’autres services que le service DHCP peuvent émettre des requêtes DHCP, c’est notamment le cas des serveurs SCCM (serveurs de télé-déploiement Windows) donc si vous activez le DHCP snooping il ne faut pas oublier de mettre aussi les ports raccordant ce type de serveur en tant que ports de confiance.

Par sécurité séparez les sous-réseaux grâce aux VLANs pour limiter les domaines de diffusion de broadcast et utilisez des relais DHCP pour indiquer aux différents sous-réseaux les serveurs DHCP élligibles (ip helper-adress sous CISCO ou dhcp relay server-group sous HP).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *