Tabla de Contenido
Revisão de Ataque DHCP
O objetivo de um ataque de privação de DHCP é criar um Denial of Service (DoS) para conectar clientes. Os ataques de fome de DHCP requerem uma ferramenta de ataque como o Gobbler. Lembre-se de que os ataques de privação de DHCP podem ser mitigados com eficácia usando a segurança de porta, pois o Gobbler usa um endereço MAC de origem exclusivo para cada solicitação DHCP enviada.
No entanto, atenuar ataques de falsificação de DHCP requer mais proteção. Gobbler pode ser configurado para usar o endereço MAC da interface real como o endereço Ethernet de origem, mas especificar um endereço Ethernet diferente na carga útil do DHCP. Isso tornaria a segurança da porta ineficaz porque o endereço MAC de origem seria legítimo.
Ataques de spoofing de DHCP podem ser mitigados usando DHCP snooping em portas confiáveis.
DHCP Snooping
A espionagem de DHCP não depende de endereços MAC de origem. Em vez disso, a espionagem de DHCP determina se as mensagens de DHCP são de uma fonte confiável ou não confiável configurada administrativamente. Em seguida, ele filtra as mensagens DHCP e limita a taxa do tráfego DHCP de fontes não confiáveis.
Dispositivos sob seu controle administrativo, como switches, roteadores e servidores, são fontes confiáveis. Qualquer dispositivo além do firewall ou fora de sua rede é uma fonte não confiável. Além disso, todas as portas de acesso são geralmente tratadas como fontes não confiáveis. A figura mostra um exemplo de portas confiáveis e não confiáveis.
Observe que o servidor DHCP rouge estaria em uma porta não confiável após a ativação do snooping DHCP. Todas as interfaces são tratadas como não confiáveis por padrão. As interfaces confiáveis são normalmente links de tronco e portas conectadas diretamente a um servidor DHCP legítimo. Essas interfaces devem ser explicitamente configuradas como confiáveis.
É criada uma tabela DHCP que inclui o endereço MAC de origem de um dispositivo em uma porta não confiável e o endereço IP atribuído pelo servidor DHCP a esse dispositivo. O endereço MAC e o endereço IP estão vinculados. Portanto, essa tabela é chamada de tabela de ligação de espionagem de DHCP.
Etapas para implementar DHCP Snooping
Use as seguintes etapas para habilitar a espionagem de DHCP:
Etapa 1. Habilite a detecção de DHCP usando o comando de configuração global ip dhcp snooping.
Etapa 2. Em portas confiáveis, use o comando ip dhcp snooping trust interface configuration.
Etapa 3. Limite o número de mensagens de descoberta de DHCP que podem ser recebidas por segundo em portas não confiáveis usando o comando ip dhcp snooping limit rate interface configuration.
Etapa 4. Habilite a detecção de DHCP por VLAN, ou por um intervalo de VLANs, usando o comando de configuração global ip dhcp snooping vlan.
Exemplo de configuração de DHCP Snooping
A topologia de referência para este exemplo de espionagem de DHCP é mostrada na figura. Observe que F0 / 5 é uma porta não confiável porque se conecta a um PC. F0 / 1 é uma porta confiável porque se conecta ao servidor DHCP.
A seguir está um exemplo de como configurar a detecção de DHCP em S1. Observe como o snooping de DHCP é habilitado pela primeira vez. Então, a interface upstream para o servidor DHCP é explicitamente confiável. Em seguida, o intervalo de portas FastEthernet de F0 / 5 a F0 / 24 não são confiáveis por padrão, portanto, um limite de taxa é definido para seis pacotes por segundo. Finalmente, DHCP snooping está habilitado nas VLANS 5, 10, 50, 51 e 52.
S1(config)# ip dhcp snooping
S1(config)# interface f0/1
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6
S1(config-if)# exit
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end
S1#
Use o comando EXEC privilegiado show ip dhcp snooping para verificar o snooping DHCP e show ip dhcp snooping binding para visualizar os clientes que receberam informações DHCP, conforme mostrado no exemplo.
Nota: o snooping de DHCP também é exigido pela Dynamic ARP Inspection (DAI), que é o próximo tópico
S1# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
5,10,50-52
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id default format: vlan-mod-port
remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
FastEthernet0/1 yes yes unlimited
Custom circuit-ids:
FastEthernet0/5 no no 6
Custom circuit-ids:
FastEthernet0/6 no no 6
Custom circuit-ids:
S1# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:03:47:B5:9F:AD 192.168.10.10 193185 dhcp-snooping 5 FastEthernet0/5
Verificador de sintaxe – Mitigar ataques DHCP
Implemente o rastreamento de DHCP para um switch com base na topologia a seguir e nos requisitos especificados.
No momento, você está conectado ao S1. Habilite o rastreamento de DHCP globalmente para o switch.
S1(config)#ip dhcp snooping
Entre no modo de configuração de interface para g0 / 1 – 2, confie nas interfaces e retorne ao modo de configuração global.
S1(config)#interface range g0/1 - 2
S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#exit
Entre no modo de configuração da interface para f0 / 1 – 24, limite as mensagens DHCP a não mais que 10 por segundo e retorne ao modo de configuração global.
S1(config)#interface range f0/1 - 24
S1(config-if-range)#ip dhcp snooping limit rate 10
S1(config-if-range)#exit
Habilite a detecção de DHCP para VLANs 10,20,30-49.
S1(config)#ip dhcp snooping vlan 10,20,30-49
S1(config)# exit
Digite o comando para verificar a espionagem de DHCP.
S1#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10,20,30-49
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id default format: vlan-mod-port
remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
GigabitEthernet0/1 yes yes unlimited
Custom circuit-ids:
GigabitEthernet0/2 yes yes unlimited
Custom circuit-ids:
FastEthernet0/1 no no 10
Custom circuit-ids:
Digite o comando para verificar as ligações DHCP atuais registradas por DHCP snooping
S1#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:03:47:B5:9F:AD 10.0.0.10 193185 dhcp-snooping 5 FastEthernet0/1
S1#
Você configurou e verificou com êxito o rastreamento de DHCP para o switch.
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.