maio 05 2012

DHCP Snooping

Olá caros,

  Um servidor DHCP é necessário quando temos várias maquinas e outros equipamentos IP na rede, no qual o serviço DHCP disponibiliza dinamicamente IP/máscara de rede, default gateway, servidor DNS, entre outras informações para o solicitante, com isso facilitando o trabalho do administrador de rede.

  Vamos imaginar o cenário onde um usuário malicioso adiciona um computador na rede com o serviço DHCP Server habilitado. Quando uma máquina qualquer precisar de IP ou expirar o lease time, ela vai enviar pacotes DHCP Request em broadcast, no qual esse “ novo ” Servidor DHCP envia o DHCP Reply com seu próprio IP como default-gateway. Quando a máquina “ enganada ” enviar um pacote para fora da rede, o pacote vai passar pelo falso default-gateway, o PC do atacante, e depois enviado para o destino correto. Será questão de tempo para o ” lease time ” dos outros PCs expirarem e o trafego da sua rede ser inteiramente interceptado. Esse é um ataque muito perigoso do tipo “ man-in-the-middle “, pois com um sniffer o atacante consegue coletar vários dados dos usuários inclusive conversas e senhas.

  Para evitar este tipo de ataque, devemos primeiro mapear as portas dos switches que não estão sendo utilizadas, e adicioná-las em uma VLAN separada da rede em produção, ou mantê-las em “ shutdown ‘. Porém o atacante ainda pode utilizar o ponto de rede de uma máquina na VLAN correta. Nos switches Cisco ( 2960, 3560, 3750, 4000, 6000 ) temos um recurso chamado DHCP Snooping, que classifica cada porta como trusted ou untrusted ( confiável ou não confiável ). Os servidores DHCP ficam nas portas trusted, e o restante das portas como untrusted, e o switch intercepta todas as requisições DHCP nas portas untrusted antes de encaminhá-las, caso ele receba um DHCP Reply de uma porta não confiável, esse pacote será descartado.

  O serviço DHCP é descrito através da RFC 2131 e um dos principais pontos nesse momento para entender seria visualizar as mensagens que são trocadas quando um cliente solicita endereço para o servidor. Segue abaixo as mensagens trocadas:

  O DHCP snooping possui uma base de dados com endereço IP, endereço MAC, lease time, etc. Essa base é utilizada em outras features como DAI (Dynamic ARP Inspection) e o IP Source Guard que serão abortados nos próximos posts do Multihop.

  Para habilitar o DHCP Snooping digite o seguinte comando no modo de configuração global:

Switchconfig)#ip dhcp snooping

  Agora identifique as VLANs que serão protegidas:

Switch(config)#ip dhcp snooping vlan 100
Switch(config)#ip dhcp snooping vlan 200

 Todas as portas do switch ficam no modo untrusted por padrão quando habilitamos o DHCP snooping. Agora vamos configurar as portas onde estão os servidores DHCP da rede como trusted:

Switch#conf t
Switch(config)#interface FastEthernet 0/0
Switch(config-if)#ip dhcp snooping trust

  Podemos também configurar um limite de requisições DHCP que passam em uma interface, o rate pode ser um valor de 1 a 2048 pacotes por segundo:

Switch(config)#interface FastEthernet 2/1
Switch(config-if)#ip dhcp snooping limit rate 10

  Por padrão é habilitado a opção 82 DHCP, que é descrita na RFC 3046 publicada em janeiro de 2001 ( http://www.rfc-archive.org/getrfc.php?rfc=3046 ). Quando uma requisição DHCP é interceptada em uma porta untrusted, o switch adiciona seu próprio MAC e um identificador da porta de origem no campo option-82, em seguida encaminha para o servidor DHCP. Quando retorna o pacote reply o switch compara o campo option-82 para confirmar que a requisição foi originada de uma porta válida:

Switch(config)#ip dhcp snooping information option

  Para verificar as configurações do DHCP Snooping, utilize o comando “show ip dhcp snooping”. Somente portas que estão como trusted ou com rate-limit serão listadas:

Switch # show ip dhcp snooping
DHCP Snooping is configured on the following VLANs:
20 30-40 100 200
Insertion of option 82 information is enabled.
Interface                    Trusted         Rate limit (pps)
---------                    -------         ----------------
FastEthernet2/1              yes             10
FastEthernet2/2              yes             none
FastEthernet3/1              no              20
Switch #

  Com o comando “show ip dhcp snooping binding” conseguimos visualizar as entradas que correspondem as portas untrusted como MAC, lease time, VLAN, etc:

Switch # show ip dhcp snooping binding
MacAddress        IP Address    Lease (seconds)   Type     VLAN   Interface
-----------       -----------   --------------    -----    ----   ----------
0010.01FF.0201    192.168.2.3   1600              dynamic  100    FastEthernet2/1
0010.01FA.1B31    192.168.2.4   1600              dynamic  100    FastEthernet2/2
Switch #

  Espero que essas informações possa ajudar em alguma implementação de segurança.  😀 

  Aguardo comentários.

Fonte:
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/13ew/configuration/guide/dhcp.html

0
0

Rodrigo Rovere

Trabalho atualmente na Citrix como a Pre-Sales Engineer atuando com projetos voltados para área de Networking ( Citrix ADC, SDWAN e Serviços de Segurança, atuando diretamente com clientes finais e parceiros para um correto entendimento do projeto e ajudar no direcionamento correto das soluções. Sou blogger e conquistado o titulo de vExpert e Cisco Champion, bem como lide do grupo VMUG SP.

Link permanente para este artigo: https://ciscoredes.com.br/2012/05/05/dhcp-snooping/

Posts relacionados

IOS – Configurações de Níveis de Segurança

Protocolo OSPF – parte 3

Protocolo OSPF – parte 5

6 comentários

Pular para o formulário de comentário

    • Marcelo Hudson em 7 de maio de 2012 às 13:55
    • #
    • Responder

    Parabéns pelo post.Poderia explicar de que forma o dhcpsnooping protege a rede contra os intrusos?Ele possui um cache com os ips e macs “trusted”?se sim,como se faz pra configurar automaticamente,sem a necessidade de “amarrar” o ip ao mac de cada host conhecido da rede.Desculpa minha ignorancia,mas estou começando e cada vez que leio,menos eu sei e mais duvidas tenho,rsrsr.Obrigado rodrigo.

    0

    0

  2. @Marcelo Hudson Muito obrigado Marcelo.
    Exatamente. O equipamento irá ter um pool com os endereços, para qual você terá o output conforme o último exemplo do post ( show ip dhcp snooping binding ).
    Você não precisa fazer a configuração manual para amarrar o IP/MAC, pois o próprio serviço dhcp vai responder para sua máquina e o seu switch irá armazenar essas informações via ARP ou mac-address.

    Em relação a proteção sobre o intruso seria baseado na interfaces trusted configurada em seu equipamento, portanto nenhum servidor DHCP que não esteja em uma porta trusted poderá oferecer endereço IP para sua rede.

    0

    0
    • Marcelo Hudson em 8 de maio de 2012 às 01:29
    • #
    • Responder

    Rodrigo, obrigado agora sim entendi e continue com os posts,o que acha de uma serie sobre QOS?Além do que vc já publicou,algo mais hands on,eu adoraria pois é um tema muito vasto e olha que seu post foi indicado pelo Adilson do Netfinders.Faco cursos com o Marco Fillippeti e ele.
    Mais uma vez muito obrigado,seu blog já faz parte dos meu favoritos e acompanho todos os dias por novidades.Abs.

    0

    0

  4. @Marcelo Hudson Bacana. Logo teremos mais novidades.

    Sobre o QoS temos as video aula com um pouco de ” hands on “, mas como disse o tema é bem extenso, mas tentarei produzir mais conteúdos.

    0

    0
    • André em 20 de junho de 2022 às 18:44
    • #
    • Responder

    E se o servidor legítimo de dhcp for o próprio switch? Apenas habilitando o snooping na vlan ele vai bloquear os pacotes de servidores ilegítimos e entregar os próprios pacotes?

    Tenho vários casos de wi-fi sendo adicionados nas redes sem configuração, o que faz que sejam entregues ips da faixa errada.

    Obrigado.

    0

    0
    • Romão em 12 de junho de 2023 às 17:39
    • #
    • Responder

    Show!!!

    0

    0

Deixe um comentário

Seu e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Translate