AccueilCCNADHCP Snooping : Protéger le réseau contre les serveurs pirates

DHCP Snooping : Protéger le réseau contre les serveurs pirates

0
1651

Le DHCP Snoo­ping est une fonc­tion­na­li­té de sécu­ri­té de couche 2 qui agit comme un pare-feu entre les ser­veurs DHCP non approu­vés et les hôtes du réseau. Son rôle prin­ci­pal est de fil­trer les mes­sages DHCP jugés dan­ge­reux et de main­te­nir une base de don­nées de liai­son pour sécu­ri­ser l’in­fra­struc­ture de commutation.

Fonctionnement : Trusted vs Untrusted Ports

Le com­mu­ta­teur clas­si­fie les inter­faces en deux caté­go­ries distinctes :

  • Trus­ted Ports (Ports de confiance) : Ces ports sont connec­tés à des ser­veurs DHCP légi­times ou à d’autres com­mu­ta­teurs de liai­son mon­tante. Les mes­sages de réponse DHCP (DHCPOFFER, DHCPACK) sont auto­ri­sés à tran­si­ter par ces interfaces.
  • Untrus­ted Ports (Ports non approu­vés) : Ces ports cor­res­pondent géné­ra­le­ment aux accès uti­li­sa­teurs. Si un mes­sage de réponse DHCP pro­vient d’un port non approu­vé, il est immé­dia­te­ment blo­qué, empê­chant ain­si l’in­tro­duc­tion d’un ser­veur DHCP pirate sur le réseau.

La base de données DHCP Snooping Binding

Lors­qu’un client obtient une adresse IP via un échange DHCP légi­time sur un port non approu­vé, le switch enre­gistre les infor­ma­tions dans une table de liai­son. Cette base de don­nées contient :

  • L’a­dresse MAC du client.
  • L’a­dresse IP attribuée.
  • La durée du bail (Lease time).
  • Le type de liaison.
  • L’i­den­ti­fiant du VLAN et l’in­ter­face phy­sique associée.

Ces don­nées sont essen­tielles pour d’autres méca­nismes de sécu­ri­té tels que l’IP Source Guard et le Dyna­mic ARP Ins­pec­tion (DAI).

Configuration sur Cisco IOS

L’ac­ti­va­tion du DHCP Snoo­ping néces­site d’a­bord une acti­va­tion glo­bale, puis une appli­ca­tion spé­ci­fique aux VLANs concer­nés. Par défaut, tous les ports sont consi­dé­rés comme « untrusted ».

Acti­va­tion glo­bale et par VLAN :

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10,20

Défi­ni­tion d’une inter­face de confiance (vers le ser­veur DHCP) :

Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ip dhcp snooping trust

Limi­ta­tion du taux de paquets DHCP pour évi­ter les attaques par déni de ser­vice (DoS) sur les ports utilisateurs :

Switch(config-if)# ip dhcp snooping limit rate 10

Bénéfices contre les attaques Man-in-the-Middle

En blo­quant les ser­veurs DHCP illé­gi­times, le DHCP Snoo­ping empêche les atta­quants de détour­ner le tra­fic des clients en se fai­sant pas­ser pour la pas­se­relle par défaut. Il pro­tège éga­le­ment contre l’é­pui­se­ment des adresses IP (DHCP Star­va­tion) lors­qu’il est com­bi­né à des limites de taux sur les inter­faces d’accès.

Article précédent
La Qualité de Service (QoS) : Prioriser les flux critiques dans les réseaux convergents

Les plus populaires

Voir plus

©2024 Réussir son CCNA — reussirsonccna.fr. Tous droits réservés.
Mentions légales