Le DHCP Snooping pour contrer les attaques DHCP Spoofing

Le DHCP Snooping pour contrer les attaques DHCP Spoofing

Rappel : L’article qui va suivre contient des techniques et méthodes qui peuvent s’avérer être illégales et dangereuses si elles sont utilisées à mauvais escient. Ce tutoriel ne doit en aucun cas être utilisé contre un particulier, une entreprise, une organisation à but non lucratif ou une administration publique de quelconque pays. Je me dédouane de toute responsabilité en cas de problèmes ou d’incidents de quelque nature que ce soit après le visionnage de cet article.

Le DHCP Snooping est une technique permettant d’empêcher de connecter un serveur DHCP indésirable sur un réseau. Celle-ci s’implémente exclusivement sur des switchs.

Le principe consiste à filtrer les requêtes DHCP de type « DHCP OFFER » non autorisées. Pour cela, tous les ports du switch doivent filtrer les requêtes DHCP à l’exception du port correspondant à celui du serveur DHCP légitime du réseau.

Schéma du processus DHCP

En réalité, seul un ou plusieurs ports du commutateur seront autorisés à distribuer une plage d’adresses IP, ce qui évite qu’un potentiel attaquant puisse brancher son propre serveur DHCP sur l’un des autres ports du commutateur…

Dans cet article, la mise en place de la technique DHCP Snooping sera appliquée au commutateur Cisco 2960.

Sur cette image ci-dessus, le serveur DHCP « de confiance’ est connecté sur le port 1 du switch, tandis que le faux serveur DHCP est branché sur le port 2. Notre machine cliente se situe le port 3.

Note : Dans cet article je n’expliquerai pas comment paramétrer un serveur DHCP sur Cisco Packet Tracer.

Configuration

Sur le switch, nous allons rentrer les commandes suivantes :

Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1
# changer de VLAN en fonction de votre configuration
Switch(config)#int fa0/1
Switch(config)#ip dhcp snooping trust # port de confiance pour le DHCP

Rendez-vous sur le PC1, et essayer de configurer les paramètres IP de celui-ci en mode DHCP. Le bon serveur DHCP (fa0/1) va nous répondre.

La commande ci-dessous, nous permet de visualiser l’enregistrement de la Requête DHCP du PC1.

Switch#show ip dhcp snooping binding 

Pour vérifier que le processus DHCP snooping est réellement fonctionnel, débrancher le port fa0/1 du switch, et ressayer de configurer en mode DHCP l’IP de PC1.

Vous voyez que la requête DHCP de PC1 n’aboutit pas, vu que le seul port de confiance pour le DHCP sur ce switch est fa0/1. Le PC1 annonce une erreur de DHCP. « APIPA »

Pour que PC1 retrouve la bonne configuration IP, rebrancher le câble du switch (port fa0/1) vers le serveur DHCP de confiance.

À bientôt 😉

Brlndtech

Geoffrey Sauvageot-Berland

Related Posts

Reverse/Bind shell – Quésaco

Reverse/Bind shell – Quésaco

Tip – Configurer le service RDP facilement pour Ubuntu 22.04

Tip – Configurer le service RDP facilement pour Ubuntu 22.04

Analyser la sécurité de vos images docker avec Trivy (mais pas que !)

Analyser la sécurité de vos images docker avec Trivy (mais pas que !)

Stratégies d’offuscation/contournement de pare-feu et IDS

Stratégies d’offuscation/contournement de pare-feu et IDS

Newsletter

Recevoir une notification de chaque nouvel article par e-mail ?

Rejoignez les 624 autres abonnés
Pour soutenir ce blog ❤️⬇️

Buy Me a Coffee

Catégories