Le DHCP Snooping pour contrer les attaques DHCP Spoofing

Publié par Geoffrey Sauvageot-Berland le

Rappel : L’article qui va suivre contient des techniques et méthodes qui peuvent s’avérer être illégales et dangereuses si elles sont utilisées à mauvais escient. Ce tutoriel ne doit en aucun cas être utilisé contre un particulier, une entreprise, une organisation à but non lucratif ou une administration publique de quelconque pays. Je me dédouane de toute responsabilité en cas de problèmes ou d’incidents de quelque nature que ce soit après le visionnage de cet article.

Le DHCP Snooping est une technique permettant d’empêcher de connecter un serveur DHCP indésirable sur un réseau. Celle-ci s’implémente exclusivement sur des switchs.

Le principe consiste à filtrer les requêtes DHCP de type « DHCP OFFER » non autorisées. Pour cela, tous les ports du switch doivent filtrer les requêtes DHCP à l’exception du port correspondant à celui du serveur DHCP légitime du réseau.

View post on imgur.com
Schéma du processus DHCP

En réalité, seul un ou plusieurs ports du commutateur seront autorisés à distribuer une plage d’adresses IP, ce qui évite qu’un potentiel attaquant puisse brancher son propre serveur DHCP sur l’un des autres ports du commutateur…

Dans cet article, la mise en place de la technique DHCP Snooping sera appliquée au commutateur Cisco 2960.

View post on imgur.com

Sur cette image ci-dessus, le serveur DHCP « de confiance’ est connecté sur le port 1 du switch, tandis que le faux serveur DHCP est branché sur le port 2. Notre machine cliente se situe le port 3.

Note : Dans cet article je n’expliquerai pas comment paramétrer un serveur DHCP sur Cisco Packet Tracer.

Configuration

Sur le switch, nous allons rentrer les commandes suivantes : 

Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1
# changer de VLAN en fonction de votre configuration
Switch(config)#int fa0/1
Switch(config)#ip dhcp snooping trust # port de confiance pour le DHCP

Rendez-vous sur le PC1, et essayer de configurer les paramètres IP de celui-ci en mode DHCP. Le bon serveur DHCP (fa0/1) va nous répondre.

View post on imgur.com

La commande ci-dessous, nous permet de visualiser l’enregistrement de la Requête DHCP du PC1.

Switch#show ip dhcp snooping binding
View post on imgur.com

Pour vérifier que le processus DHCP snooping est réellement fonctionnel, débrancher le port fa0/1 du switch, et ressayer de configurer en mode DHCP l’IP de PC1.

View post on imgur.com
Vous voyez que la requête DHCP de PC1 n’aboutit pas, vu que le seul port de confiance pour le DHCP sur ce switch est fa0/1. Le PC1 annonce une erreur de DHCP. « APIPA »

Pour que PC1 retrouve la bonne configuration IP, rebrancher le câble du switch (port fa0/1) vers le serveur DHCP de confiance.

À bientôt 😉

Brlndtech

En savoir plus sur LGDS • Le Guide Du SecOps

Subscribe to get the latest posts sent to your email.

Catégories : CiscoCybersécuritéNetworksSysAdmin

Geoffrey Sauvageot-Berland

Ingénieur diplômé par l’état en Informatique et Cybersécurité. Généraliste, à l'origine administrateur systèmes et réseaux, j’occupe actuellement un poste d’auditeur en sécurité offensive. J’apprécie également la programmation/automatisation. Fondateur du blog : "Le Guide du SecOps", anciennement "Le Guide du SysOps"

Articles similaires

Cybersécurité

VM-Password-Extractor : Tenter de retrouver le mot de passe de VM chiffrés (VMWare/VirtualBox)

Certains d’entre vous l’ignorent peut-être, mais il est possible de chiffrer des machines virtuelles à l’aide de VMware Workstation ou de VirtualBox. Dans cet article, je vous propose de découvrir le fonctionnement de mon outil Lire la suite…

Cybersécurité

Avez-vous activé un contrôle d’accès pour vos clusters de stockage GlusterFS ?

GlusterFS, système de stockage multimodal, consolide les fichiers de plusieurs serveurs en un seul système unifié, garantissant ainsi la tolérance aux pannes dès que trois hôtes sont « glusterisés » au minimum. Pourquoi est-ce crucial ? Pour Lire la suite…

Cybersécurité

Tester la sécurité d’une API : Un Guide Pratique

Rappel : L’article qui va suivre contient des techniques et méthodes qui peuvent s’avérer être illégales et dangereuses si elles sont utilisées à mauvais escient. Ce tutoriel ne doit en aucun cas être utilisé contre Lire la suite…

En savoir plus sur LGDS • Le Guide Du SecOps

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture