Le DHCP Snooping pour contrer les attaques DHCP Spoofing

Publié par Geoffrey Sauvageot-Berland le

Rappel : L’article qui va suivre contient des techniques et méthodes qui peuvent s’avérer être illégales et dangereuses si elles sont utilisées à mauvais escient. Ce tutoriel ne doit en aucun cas être utilisé contre un particulier, une entreprise, une organisation à but non lucratif ou une administration publique de quelconque pays. Je me dédouane de toute responsabilité en cas de problèmes ou d’incidents de quelque nature que ce soit après le visionnage de cet article.

Le DHCP Snooping est une technique permettant d’empêcher de connecter un serveur DHCP indésirable sur un réseau. Celle-ci s’implémente exclusivement sur des switchs.

Le principe consiste à filtrer les requêtes DHCP de type « DHCP OFFER » non autorisées. Pour cela, tous les ports du switch doivent filtrer les requêtes DHCP à l’exception du port correspondant à celui du serveur DHCP légitime du réseau.

Schéma du processus DHCP

En réalité, seul un ou plusieurs ports du commutateur seront autorisés à distribuer une plage d’adresses IP, ce qui évite qu’un potentiel attaquant puisse brancher son propre serveur DHCP sur l’un des autres ports du commutateur…

Dans cet article, la mise en place de la technique DHCP Snooping sera appliquée au commutateur Cisco 2960.

Sur cette image ci-dessus, le serveur DHCP « de confiance’ est connecté sur le port 1 du switch, tandis que le faux serveur DHCP est branché sur le port 2. Notre machine cliente se situe le port 3.

Note : Dans cet article je n’expliquerai pas comment paramétrer un serveur DHCP sur Cisco Packet Tracer.

Configuration

Sur le switch, nous allons rentrer les commandes suivantes :

Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1
# changer de VLAN en fonction de votre configuration
Switch(config)#int fa0/1
Switch(config)#ip dhcp snooping trust # port de confiance pour le DHCP

Rendez-vous sur le PC1, et essayer de configurer les paramètres IP de celui-ci en mode DHCP. Le bon serveur DHCP (fa0/1) va nous répondre.

La commande ci-dessous, nous permet de visualiser l’enregistrement de la Requête DHCP du PC1.

Switch#show ip dhcp snooping binding 

Pour vérifier que le processus DHCP snooping est réellement fonctionnel, débrancher le port fa0/1 du switch, et ressayer de configurer en mode DHCP l’IP de PC1.

Vous voyez que la requête DHCP de PC1 n’aboutit pas, vu que le seul port de confiance pour le DHCP sur ce switch est fa0/1. Le PC1 annonce une erreur de DHCP. « APIPA »

Pour que PC1 retrouve la bonne configuration IP, rebrancher le câble du switch (port fa0/1) vers le serveur DHCP de confiance.

À bientôt 😉

Brlndtech


En savoir plus sur Le Guide Du SecOps

Subscribe to get the latest posts sent to your email.


Geoffrey Sauvageot-Berland

Ingénieur diplômé par l’état en Informatique et Cybersécurité. Généraliste, à l'origine administrateur systèmes et réseaux, j’occupe actuellement un poste d’auditeur en sécurité offensive. J’apprécie également la programmation/automatisation. Fondateur du blog : "Le Guide du SecOps", anciennement "Le Guide du SysOps"

En savoir plus sur Le Guide Du SecOps

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continuer la lecture