Rappel : L’article qui va suivre contient des techniques et méthodes qui peuvent s’avérer être illégales et dangereuses si elles sont utilisées à mauvais escient. Ce tutoriel ne doit en aucun cas être utilisé contre un particulier, une entreprise, une organisation à but non lucratif ou une administration publique de quelconque pays. Je me dédouane de toute responsabilité en cas de problèmes ou d’incidents de quelque nature que ce soit après le visionnage de cet article.
Le DHCP Snooping est une technique permettant d’empêcher de connecter un serveur DHCP indésirable sur un réseau. Celle-ci s’implémente exclusivement sur des switchs.
Le principe consiste à filtrer les requêtes DHCP de type « DHCP OFFER » non autorisées. Pour cela, tous les ports du switch doivent filtrer les requêtes DHCP à l’exception du port correspondant à celui du serveur DHCP légitime du réseau.
En réalité, seul un ou plusieurs ports du commutateur seront autorisés à distribuer une plage d’adresses IP, ce qui évite qu’un potentiel attaquant puisse brancher son propre serveur DHCP sur l’un des autres ports du commutateur…
Dans cet article, la mise en place de la technique DHCP Snooping sera appliquée au commutateur Cisco 2960.
Sur cette image ci-dessus, le serveur DHCP « de confiance’ est connecté sur le port 1 du switch, tandis que le faux serveur DHCP est branché sur le port 2. Notre machine cliente se situe le port 3.
Note : Dans cet article je n’expliquerai pas comment paramétrer un serveur DHCP sur Cisco Packet Tracer.
Configuration
Sur le switch, nous allons rentrer les commandes suivantes :
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1
# changer de VLAN en fonction de votre configuration
Switch(config)#int fa0/1
Switch(config)#ip dhcp snooping trust # port de confiance pour le DHCP
Rendez-vous sur le PC1, et essayer de configurer les paramètres IP de celui-ci en mode DHCP. Le bon serveur DHCP (fa0/1) va nous répondre.
La commande ci-dessous, nous permet de visualiser l’enregistrement de la Requête DHCP du PC1.
Switch#show ip dhcp snooping binding Pour vérifier que le processus DHCP snooping est réellement fonctionnel, débrancher le port fa0/1 du switch, et ressayer de configurer en mode DHCP l’IP de PC1.
Pour que PC1 retrouve la bonne configuration IP, rebrancher le câble du switch (port fa0/1) vers le serveur DHCP de confiance.
À bientôt 😉
Brlndtech
