Logo CCNA Network
Logo CCNA Network
  • CCNA
  • CCNA 1 v7
  • CCNA 2 v7
  • CCNA 3 v7
  • Exames CCNA V7
  • Exame Dump
  • 0
    0
    Seu carrinho está vazio
    Procurar na Loja
Mitigar ataques DHCP
Mitigar ataques DHCP
Blog
·7 min ler·0

Mitigar Ataques DHCP

Tabla de Contenido

  • Revisão de Ataque DHCP
  • DHCP Snooping
  • Etapas para implementar DHCP Snooping
  • Exemplo de configuração de DHCP Snooping
  • Verificador de sintaxe – Mitigar ataques DHCP

Revisão de Ataque DHCP

O objetivo de um ataque de privação de DHCP é criar um Denial of Service (DoS) para conectar clientes. Os ataques de fome de DHCP requerem uma ferramenta de ataque como o Gobbler. Lembre-se de que os ataques de privação de DHCP podem ser mitigados com eficácia usando a segurança de porta, pois o Gobbler usa um endereço MAC de origem exclusivo para cada solicitação DHCP enviada.

No entanto, atenuar ataques de falsificação de DHCP requer mais proteção. Gobbler pode ser configurado para usar o endereço MAC da interface real como o endereço Ethernet de origem, mas especificar um endereço Ethernet diferente na carga útil do DHCP. Isso tornaria a segurança da porta ineficaz porque o endereço MAC de origem seria legítimo.

Ataques de spoofing de DHCP podem ser mitigados usando DHCP snooping em portas confiáveis.

DHCP Snooping

A espionagem de DHCP não depende de endereços MAC de origem. Em vez disso, a espionagem de DHCP determina se as mensagens de DHCP são de uma fonte confiável ou não confiável configurada administrativamente. Em seguida, ele filtra as mensagens DHCP e limita a taxa do tráfego DHCP de fontes não confiáveis.

Dispositivos sob seu controle administrativo, como switches, roteadores e servidores, são fontes confiáveis. Qualquer dispositivo além do firewall ou fora de sua rede é uma fonte não confiável. Além disso, todas as portas de acesso são geralmente tratadas como fontes não confiáveis. A figura mostra um exemplo de portas confiáveis ​​e não confiáveis.

DHCP Snooping

Observe que o servidor DHCP rouge estaria em uma porta não confiável após a ativação do snooping DHCP. Todas as interfaces são tratadas como não confiáveis ​​por padrão. As interfaces confiáveis ​​são normalmente links de tronco e portas conectadas diretamente a um servidor DHCP legítimo. Essas interfaces devem ser explicitamente configuradas como confiáveis.

É criada uma tabela DHCP que inclui o endereço MAC de origem de um dispositivo em uma porta não confiável e o endereço IP atribuído pelo servidor DHCP a esse dispositivo. O endereço MAC e o endereço IP estão vinculados. Portanto, essa tabela é chamada de tabela de ligação de espionagem de DHCP.

Etapas para implementar DHCP Snooping

Use as seguintes etapas para habilitar a espionagem de DHCP:

Etapa 1. Habilite a detecção de DHCP usando o comando de configuração global ip dhcp snooping.

Etapa 2. Em portas confiáveis, use o comando ip dhcp snooping trust interface configuration.

Etapa 3. Limite o número de mensagens de descoberta de DHCP que podem ser recebidas por segundo em portas não confiáveis ​​usando o comando ip dhcp snooping limit rate interface configuration.

Etapa 4. Habilite a detecção de DHCP por VLAN, ou por um intervalo de VLANs, usando o comando de configuração global ip dhcp snooping vlan.

Exemplo de configuração de DHCP Snooping

A topologia de referência para este exemplo de espionagem de DHCP é mostrada na figura. Observe que F0 / 5 é uma porta não confiável porque se conecta a um PC. F0 / 1 é uma porta confiável porque se conecta ao servidor DHCP.

Exemplo de configuração de DHCP Snooping

A seguir está um exemplo de como configurar a detecção de DHCP em S1. Observe como o snooping de DHCP é habilitado pela primeira vez. Então, a interface upstream para o servidor DHCP é explicitamente confiável. Em seguida, o intervalo de portas FastEthernet de F0 / 5 a F0 / 24 não são confiáveis por padrão, portanto, um limite de taxa é definido para seis pacotes por segundo. Finalmente, DHCP snooping está habilitado nas VLANS 5, 10, 50, 51 e 52.

S1(config)# ip dhcp snooping
S1(config)# interface f0/1
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6  
S1(config-if)# exit
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end
S1#

Use o comando EXEC privilegiado show ip dhcp snooping para verificar o snooping DHCP e show ip dhcp snooping binding para visualizar os clientes que receberam informações DHCP, conforme mostrado no exemplo.

Nota: o snooping de DHCP também é exigido pela Dynamic ARP Inspection (DAI), que é o próximo tópico

S1# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
5,10,50-52
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------   
FastEthernet0/1            yes        yes             unlimited
  Custom circuit-ids:
FastEthernet0/5            no         no              6         
  Custom circuit-ids:
FastEthernet0/6            no         no              6         
  Custom circuit-ids:
S1# show ip dhcp snooping binding
MacAddress         IpAddress       Lease(sec) Type          VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:03:47:B5:9F:AD  192.168.10.10   193185     dhcp-snooping 5    FastEthernet0/5

Verificador de sintaxe – Mitigar ataques DHCP

Implemente o rastreamento de DHCP para um switch com base na topologia a seguir e nos requisitos especificados.

O Verificador de sintaxe atenua ataques DHCP

No momento, você está conectado ao S1. Habilite o rastreamento de DHCP globalmente para o switch.

S1(config)#ip dhcp snooping

Entre no modo de configuração de interface para g0 / 1 – 2, confie nas interfaces e retorne ao modo de configuração global.

S1(config)#interface range g0/1 - 2
S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#exit

Entre no modo de configuração da interface para f0 / 1 – 24, limite as mensagens DHCP a não mais que 10 por segundo e retorne ao modo de configuração global.

S1(config)#interface range f0/1 - 24
S1(config-if-range)#ip dhcp snooping limit rate 10
S1(config-if-range)#exit

Habilite a detecção de DHCP para VLANs 10,20,30-49.

S1(config)#ip dhcp snooping vlan 10,20,30-49
S1(config)# exit

Digite o comando para verificar a espionagem de DHCP.

S1#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10,20,30-49
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------   
GigabitEthernet0/1         yes        yes             unlimited
  Custom circuit-ids:
GigabitEthernet0/2         yes        yes             unlimited
  Custom circuit-ids:
FastEthernet0/1            no         no              10         
  Custom circuit-ids:

Digite o comando para verificar as ligações DHCP atuais registradas por DHCP snooping

S1#show ip dhcp snooping binding
MacAddress         IpAddress       Lease(sec) Type          VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:03:47:B5:9F:AD  10.0.0.10       193185     dhcp-snooping 5    FastEthernet0/1
S1#

Você configurou e verificou com êxito o rastreamento de DHCP para o switch.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.

Tags
Configuração de Segurança do Switch
0 0 0 0
Dante Network
O meu objectivo é ensinar-vos sobre a certificação Cisco CCNA 200-301 sem palavras enfadonhas. A melhor maneira de aprender é aprender por si próprio e tentei tornar este blog o mais informativo possível - continue a ler para mais informações!

Deixe uma resposta Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Sobre o CCNA Network

O blog CCNA.Network é uma plataforma para ensinar ccna 200-301. Ideal para pessoas que querem passar nos seus exames ccna.

Aprender CCNA 200-301. CCNA Routing & Switching: Aclamada formação de certificação Cisco. Preparar para o exame CCNA 200-301. Obtenha um acesso livre agora!

Company

  • CCNA
  • Contactar
  • Sobre nós

Sections

  • Exame Dump
  • Versão Espanhol
  • Versão Inglês

Misc

  • Política de Cookies
  • Política de Privacidade
  • Termos e Condições
Logo CCNA Network
© Copyright CCNA-200-301 Criado Com ♥ por CCNA Network
Logo CCNA Network
  • Início
  • Blog
  • CCNA 1
  • CCNA 2
  • CCNA 3
  • Exames CCNA V7
  • Exame Dump
Comece a digitar para ver os resultados
Conceitos de segurança de rede Networking Hoje Endereçamento IPv4 Endereçamento IPv6 Configuração básica de switch e dispositivo final
Ver todos os resultados
Close

Buy me a cup of coffee

A ridiculous amount of coffee was consumed in the process of building this project. Add some fuel if you'd like to keep me going!

 
Cookies (testemunhos de conexão) Tal como a maioria dos grandes sítios Web, para que o nosso sítio possa funcionar corretamente, instalamos pontualmente no seu computador ou dispositivo móvel pequenos ficheiros denominados cookies ou testemunhos de conexão. Ler mais
Aceitar
Cookie Configurações
Configurações da caixa de cookies
Configurações da caixa de cookies

Configurações de privacidade

Decida quais os cookies que deseja permitir.O utilizador pode alterar estas configurações em qualquer momento. No entanto, por vezes pode obter visualizações ou resultados indisponíveis. Para obter informações sobre como excluir os cookies, consulte a função de ajuda do seu navegador.SAIBA MAIS SOBRE OS COOKIES QUE USAMOS.

Abaixo selecione uma das opções:

  • Block all
  • Essential
  • Functionality
  • Analytics
  • Advertising

Este site irá

  • Essencial: Lembrar configuração de permissão de cookies
  • Essencial: Permitir cookies de sessão
  • Essencial: Guarda informações inseridas em formulários de contacto, newsletter e outras formas em todas as páginas
  • Essencial: Acompanhe o que você insere no carrinho de compras
  • Essencial: Autenticar que você está logado em sua conta de usuário
  • Essencial: Lembre-se da versão do idioma que você selecionou

Este site não irá

  • Lembrar os seus detalhes de login
  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país
  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos
  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site irá

  • Essencial: Lembrar configuração de permissão de cookies
  • Essencial: Permitir cookies de sessão
  • Essencial: Guarda informações inseridas em formulários de contacto, newsletter e outras formas em todas as páginas
  • Essencial: Acompanhe o que você insere no carrinho de compras
  • Essencial: Autenticar que você está logado em sua conta de usuário
  • Essencial: Lembre-se da versão do idioma que você selecionou
  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país

Este site não irá

  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos
  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site irá

  • Essencial: Lembrar configuração de permissão de cookies
  • Essencial: Permitir cookies de sessão
  • Essencial: Guarda informações inseridas em formulários de contacto, newsletter e outras formas em todas as páginas
  • Essencial: Acompanhe o que você insere no carrinho de compras
  • Essencial: Autenticar que você está logado em sua conta de usuário
  • Essencial: Lembre-se da versão do idioma que você selecionou
  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país
  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos

Este site não irá

  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site irá

  • Funcionalidade: Lembrar configurações das redes sociais
  • Funcionalidade: Lembrar a região e país
  • Analytics: Acompanha as páginas visitadas e a interacção realizada
  • Analytics: Acompanha a localização e região com base no número de IP
  • Analytics: Acompanha o tempo gasto em cada página
  • Analytics: Aumentar a qualidade dos dados de estatísticos
  • Publicidade: Personalizar a informação sobre a publicidade dos seus interesses, com base no conteúdo que visitou anteriormente. (atualmente não usamos segmentação ou segmentação de cookies)
  • Publicidade: Guardar informações pessoais e identificáveis, tais como nome e localização

Este site não irá

  • Lembrar os seus detalhes de login
Guardar & Fechar