Olá caros,
Um servidor DHCP é necessário quando temos várias maquinas e outros equipamentos IP na rede, no qual o serviço DHCP disponibiliza dinamicamente IP/máscara de rede, default gateway, servidor DNS, entre outras informações para o solicitante, com isso facilitando o trabalho do administrador de rede.
Vamos imaginar o cenário onde um usuário malicioso adiciona um computador na rede com o serviço DHCP Server habilitado. Quando uma máquina qualquer precisar de IP ou expirar o lease time, ela vai enviar pacotes DHCP Request em broadcast, no qual esse “ novo ” Servidor DHCP envia o DHCP Reply com seu próprio IP como default-gateway. Quando a máquina “ enganada ” enviar um pacote para fora da rede, o pacote vai passar pelo falso default-gateway, o PC do atacante, e depois enviado para o destino correto. Será questão de tempo para o ” lease time ” dos outros PCs expirarem e o trafego da sua rede ser inteiramente interceptado. Esse é um ataque muito perigoso do tipo “ man-in-the-middle “, pois com um sniffer o atacante consegue coletar vários dados dos usuários inclusive conversas e senhas.
Para evitar este tipo de ataque, devemos primeiro mapear as portas dos switches que não estão sendo utilizadas, e adicioná-las em uma VLAN separada da rede em produção, ou mantê-las em “ shutdown ‘. Porém o atacante ainda pode utilizar o ponto de rede de uma máquina na VLAN correta. Nos switches Cisco ( 2960, 3560, 3750, 4000, 6000 ) temos um recurso chamado DHCP Snooping, que classifica cada porta como trusted ou untrusted ( confiável ou não confiável ). Os servidores DHCP ficam nas portas trusted, e o restante das portas como untrusted, e o switch intercepta todas as requisições DHCP nas portas untrusted antes de encaminhá-las, caso ele receba um DHCP Reply de uma porta não confiável, esse pacote será descartado.
O serviço DHCP é descrito através da RFC 2131 e um dos principais pontos nesse momento para entender seria visualizar as mensagens que são trocadas quando um cliente solicita endereço para o servidor. Segue abaixo as mensagens trocadas:
O DHCP snooping possui uma base de dados com endereço IP, endereço MAC, lease time, etc. Essa base é utilizada em outras features como DAI (Dynamic ARP Inspection) e o IP Source Guard que serão abortados nos próximos posts do Multihop.
Para habilitar o DHCP Snooping digite o seguinte comando no modo de configuração global:
Switchconfig)#ip dhcp snooping
Agora identifique as VLANs que serão protegidas:
Switch(config)#ip dhcp snooping vlan 100
Switch(config)#ip dhcp snooping vlan 200
Todas as portas do switch ficam no modo untrusted por padrão quando habilitamos o DHCP snooping. Agora vamos configurar as portas onde estão os servidores DHCP da rede como trusted:
Switch#conf t
Switch(config)#interface FastEthernet 0/0
Switch(config-if)#ip dhcp snooping trust
Podemos também configurar um limite de requisições DHCP que passam em uma interface, o rate pode ser um valor de 1 a 2048 pacotes por segundo:
Switch(config)#interface FastEthernet 2/1
Switch(config-if)#ip dhcp snooping limit rate 10
Por padrão é habilitado a opção 82 DHCP, que é descrita na RFC 3046 publicada em janeiro de 2001 ( http://www.rfc-archive.org/getrfc.php?rfc=3046 ). Quando uma requisição DHCP é interceptada em uma porta untrusted, o switch adiciona seu próprio MAC e um identificador da porta de origem no campo option-82, em seguida encaminha para o servidor DHCP. Quando retorna o pacote reply o switch compara o campo option-82 para confirmar que a requisição foi originada de uma porta válida:
Switch(config)#ip dhcp snooping information option
Para verificar as configurações do DHCP Snooping, utilize o comando “show ip dhcp snooping”. Somente portas que estão como trusted ou com rate-limit serão listadas:
Switch # show ip dhcp snooping
DHCP Snooping is configured on the following VLANs:
20 30-40 100 200
Insertion of option 82 information is enabled.
Interface Trusted Rate limit (pps)
--------- ------- ----------------
FastEthernet2/1 yes 10
FastEthernet2/2 yes none
FastEthernet3/1 no 20
Switch #
Com o comando “show ip dhcp snooping binding” conseguimos visualizar as entradas que correspondem as portas untrusted como MAC, lease time, VLAN, etc:
Switch # show ip dhcp snooping binding
MacAddress IP Address Lease (seconds) Type VLAN Interface
----------- ----------- -------------- ----- ---- ----------
0010.01FF.0201 192.168.2.3 1600 dynamic 100 FastEthernet2/1
0010.01FA.1B31 192.168.2.4 1600 dynamic 100 FastEthernet2/2
Switch #
Espero que essas informações possa ajudar em alguma implementação de segurança. 😀
Aguardo comentários.
Fonte:
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/13ew/configuration/guide/dhcp.html
6 comments
Skip to comment form
Parabéns pelo post.Poderia explicar de que forma o dhcpsnooping protege a rede contra os intrusos?Ele possui um cache com os ips e macs “trusted”?se sim,como se faz pra configurar automaticamente,sem a necessidade de “amarrar” o ip ao mac de cada host conhecido da rede.Desculpa minha ignorancia,mas estou começando e cada vez que leio,menos eu sei e mais duvidas tenho,rsrsr.Obrigado rodrigo.
@Marcelo Hudson Muito obrigado Marcelo.
Exatamente. O equipamento irá ter um pool com os endereços, para qual você terá o output conforme o último exemplo do post ( show ip dhcp snooping binding ).
Você não precisa fazer a configuração manual para amarrar o IP/MAC, pois o próprio serviço dhcp vai responder para sua máquina e o seu switch irá armazenar essas informações via ARP ou mac-address.
Em relação a proteção sobre o intruso seria baseado na interfaces trusted configurada em seu equipamento, portanto nenhum servidor DHCP que não esteja em uma porta trusted poderá oferecer endereço IP para sua rede.
Rodrigo, obrigado agora sim entendi e continue com os posts,o que acha de uma serie sobre QOS?Além do que vc já publicou,algo mais hands on,eu adoraria pois é um tema muito vasto e olha que seu post foi indicado pelo Adilson do Netfinders.Faco cursos com o Marco Fillippeti e ele.
Mais uma vez muito obrigado,seu blog já faz parte dos meu favoritos e acompanho todos os dias por novidades.Abs.
@Marcelo Hudson Bacana. Logo teremos mais novidades.
Sobre o QoS temos as video aula com um pouco de ” hands on “, mas como disse o tema é bem extenso, mas tentarei produzir mais conteúdos.
E se o servidor legítimo de dhcp for o próprio switch? Apenas habilitando o snooping na vlan ele vai bloquear os pacotes de servidores ilegítimos e entregar os próprios pacotes?
Tenho vários casos de wi-fi sendo adicionados nas redes sem configuração, o que faz que sejam entregues ips da faixa errada.
Obrigado.
Show!!!