Revisão de Ataque DHCP

O objetivo de um ataque de privação de DHCP é criar um Denial of Service (DoS) para conectar clientes. Os ataques de fome de DHCP requerem uma ferramenta de ataque como o Gobbler. Lembre-se de que os ataques de privação de DHCP podem ser mitigados com eficácia usando a segurança de porta, pois o Gobbler usa um endereço MAC de origem exclusivo para cada solicitação DHCP enviada.

No entanto, atenuar ataques de falsificação de DHCP requer mais proteção. Gobbler pode ser configurado para usar o endereço MAC da interface real como o endereço Ethernet de origem, mas especificar um endereço Ethernet diferente na carga útil do DHCP. Isso tornaria a segurança da porta ineficaz porque o endereço MAC de origem seria legítimo.

Ataques de spoofing de DHCP podem ser mitigados usando DHCP snooping em portas confiáveis.

DHCP Snooping

A espionagem de DHCP não depende de endereços MAC de origem. Em vez disso, a espionagem de DHCP determina se as mensagens de DHCP são de uma fonte confiável ou não confiável configurada administrativamente. Em seguida, ele filtra as mensagens DHCP e limita a taxa do tráfego DHCP de fontes não confiáveis.

Dispositivos sob seu controle administrativo, como switches, roteadores e servidores, são fontes confiáveis. Qualquer dispositivo além do firewall ou fora de sua rede é uma fonte não confiável. Além disso, todas as portas de acesso são geralmente tratadas como fontes não confiáveis. A figura mostra um exemplo de portas confiáveis ​​e não confiáveis.

Observe que o servidor DHCP rouge estaria em uma porta não confiável após a ativação do snooping DHCP. Todas as interfaces são tratadas como não confiáveis ​​por padrão. As interfaces confiáveis ​​são normalmente links de tronco e portas conectadas diretamente a um servidor DHCP legítimo. Essas interfaces devem ser explicitamente configuradas como confiáveis.

É criada uma tabela DHCP que inclui o endereço MAC de origem de um dispositivo em uma porta não confiável e o endereço IP atribuído pelo servidor DHCP a esse dispositivo. O endereço MAC e o endereço IP estão vinculados. Portanto, essa tabela é chamada de tabela de ligação de espionagem de DHCP.

Etapas para implementar DHCP Snooping

Use as seguintes etapas para habilitar a espionagem de DHCP:

Etapa 1. Habilite a detecção de DHCP usando o comando de configuração global ip dhcp snooping.

Etapa 2. Em portas confiáveis, use o comando ip dhcp snooping trust interface configuration.

Etapa 3. Limite o número de mensagens de descoberta de DHCP que podem ser recebidas por segundo em portas não confiáveis ​​usando o comando ip dhcp snooping limit rate interface configuration.

Etapa 4. Habilite a detecção de DHCP por VLAN, ou por um intervalo de VLANs, usando o comando de configuração global ip dhcp snooping vlan.

Exemplo de configuração de DHCP Snooping

A topologia de referência para este exemplo de espionagem de DHCP é mostrada na figura. Observe que F0 / 5 é uma porta não confiável porque se conecta a um PC. F0 / 1 é uma porta confiável porque se conecta ao servidor DHCP.

A seguir está um exemplo de como configurar a detecção de DHCP em S1. Observe como o snooping de DHCP é habilitado pela primeira vez. Então, a interface upstream para o servidor DHCP é explicitamente confiável. Em seguida, o intervalo de portas FastEthernet de F0 / 5 a F0 / 24 não são confiáveis por padrão, portanto, um limite de taxa é definido para seis pacotes por segundo. Finalmente, DHCP snooping está habilitado nas VLANS 5, 10, 50, 51 e 52.

S1(config)# ip dhcp snooping
S1(config)# interface f0/1
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6  
S1(config-if)# exit
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end
S1#

Use o comando EXEC privilegiado show ip dhcp snooping para verificar o snooping DHCP e show ip dhcp snooping binding para visualizar os clientes que receberam informações DHCP, conforme mostrado no exemplo.

Nota: o snooping de DHCP também é exigido pela Dynamic ARP Inspection (DAI), que é o próximo tópico

S1# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
5,10,50-52
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------   
FastEthernet0/1            yes        yes             unlimited
  Custom circuit-ids:
FastEthernet0/5            no         no              6         
  Custom circuit-ids:
FastEthernet0/6            no         no              6         
  Custom circuit-ids:
S1# show ip dhcp snooping binding
MacAddress         IpAddress       Lease(sec) Type          VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:03:47:B5:9F:AD  192.168.10.10   193185     dhcp-snooping 5    FastEthernet0/5

Verificador de sintaxe – Mitigar ataques DHCP

Implemente o rastreamento de DHCP para um switch com base na topologia a seguir e nos requisitos especificados.

No momento, você está conectado ao S1. Habilite o rastreamento de DHCP globalmente para o switch.

S1(config)#ip dhcp snooping

Entre no modo de configuração de interface para g0 / 1 – 2, confie nas interfaces e retorne ao modo de configuração global.

S1(config)#interface range g0/1 - 2
S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#exit

Entre no modo de configuração da interface para f0 / 1 – 24, limite as mensagens DHCP a não mais que 10 por segundo e retorne ao modo de configuração global.

S1(config)#interface range f0/1 - 24
S1(config-if-range)#ip dhcp snooping limit rate 10
S1(config-if-range)#exit

Habilite a detecção de DHCP para VLANs 10,20,30-49.

S1(config)#ip dhcp snooping vlan 10,20,30-49
S1(config)# exit

Digite o comando para verificar a espionagem de DHCP.

S1#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10,20,30-49
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------   
GigabitEthernet0/1         yes        yes             unlimited
  Custom circuit-ids:
GigabitEthernet0/2         yes        yes             unlimited
  Custom circuit-ids:
FastEthernet0/1            no         no              10         
  Custom circuit-ids:

Digite o comando para verificar as ligações DHCP atuais registradas por DHCP snooping

S1#show ip dhcp snooping binding
MacAddress         IpAddress       Lease(sec) Type          VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:03:47:B5:9F:AD  10.0.0.10       193185     dhcp-snooping 5    FastEthernet0/1
S1#

Você configurou e verificou com êxito o rastreamento de DHCP para o switch.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.