Skip to content

Part 1 - DHCP Snooping

1. DHCP snooping

A. Intro

Rogue DHCP

Une sécu qu'on active sur les "switches d'accès" : c'est à dire ceux où les clients du réseau sont branchés.

Dans notre topologie c'est donc sw2, sw3 et sw4.

Note

Rien sur sw1 donc : c'est un "core switch".
Ca sous-entend qu'aucun client n'est branché là, uniquement d'autres équipements réseau.

La conf est simple à mettre en place :

  • on active DHCP snooping sur ces switches

    • tous les ports passent en untrusted
    • c'est à dire qu'une trame DHCP serveur reçue sur ce port sera jetée
    • genre un DHCP offer

  • on configure explicitement les ports où sont reçues des trames DHCP comme trusted

    • ces ports sont les seuls où des trames DHCP serveur peuvent être reçues
    • tous les ports entre les équipements réseau doivent être en trusted aussi (genre entre les switches par exemple)

B. Setup

Conf à faire sur les switches.

Mettre en place du DHCP snooping dans la topologie

  • configuration à faire sur les switches
  • j'ai po mis dans le mémo, faites votre recherche !
Example

Ca va se faire en activant DHCP snooping pour les bons VLANs :

ip dhcp snooping
ip dhcp snooping vlan 10,20,30
Puis en mettant en trust l'interface qui pointe vers le serveur DHCP. 
interface ethernet0/0
ip dhcp snooping trust
Comme indiqué en intro il faudra aussi trust les ports qui pointent vers d'autres équipements réseau.

C. Proof or lie

Prouvez que ça fonctionne

  • les clients légitimes peuvent toujours utiliser DHCP normalement

  • introduisez une machine attaquante dans la topologie

    • récupérez un accès réseau avec le serveur DHCP du réseau
    • lancez un rogue DHCP server
    • constatez que vous ne pouvez pas répondre aux clients en tant que Rogue DHCP server

Maintenant que la base DHCP snooping existe sur les switches, on peut mettre en place du DAI