<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>IP on Cisco Redes</title>
        <link>https://ciscoredes.com.br/tags/ip/</link>
        <description>Recent content in IP on Cisco Redes</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>pt-br</language>
        <lastBuildDate>Sat, 05 May 2012 00:00:00 +0000</lastBuildDate><atom:link href="https://ciscoredes.com.br/tags/ip/index.xml" rel="self" type="application/rss+xml" /><item>
            <title>DHCP Snooping</title>
            <link>https://ciscoredes.com.br/2012/05/05/dhcp-snooping/</link>
            <pubDate>Sat, 05 May 2012 00:00:00 +0000</pubDate>
            <guid>https://ciscoredes.com.br/2012/05/05/dhcp-snooping/</guid>
            <description>&lt;img src=&#34;https://ciscoredes.com.br/wp-content/uploads/2012/05/DHCP_status.png&#34; alt=&#34;Featured image of post DHCP Snooping&#34; /&gt;&lt;p&gt;Olá caros,&lt;/p&gt;&#xA;&lt;p&gt;  Um servidor DHCP é necessário quando temos várias maquinas e outros equipamentos IP na rede, no qual o serviço DHCP disponibiliza dinamicamente IP/máscara de rede, default gateway, servidor DNS, entre outras informações para o solicitante, com isso facilitando o trabalho do administrador de rede.&lt;/p&gt;&#xA;&lt;p&gt;  Vamos imaginar o cenário onde um usuário malicioso adiciona um computador na rede com o serviço DHCP Server habilitado. Quando uma máquina qualquer precisar de IP ou expirar o lease time, ela vai enviar pacotes DHCP Request em broadcast, no qual esse “ &lt;strong&gt;novo&lt;/strong&gt; ” Servidor DHCP envia o DHCP Reply com seu próprio IP como default-gateway. Quando a máquina “ &lt;strong&gt;enganada&lt;/strong&gt; ” enviar um pacote para fora da rede, o pacote vai passar pelo falso default-gateway, o PC do atacante, e depois enviado para o destino correto. Será questão de tempo para o ” lease time ” dos outros PCs expirarem e o trafego da sua rede ser inteiramente interceptado. Esse é um ataque muito perigoso do tipo “ &lt;strong&gt;man-in-the-middle&lt;/strong&gt; “, pois com um sniffer o atacante consegue coletar vários dados dos usuários inclusive conversas e senhas.&lt;/p&gt;&#xA;&lt;p&gt;  Para evitar este tipo de ataque, devemos primeiro mapear as portas dos switches que não estão sendo utilizadas, e adicioná-las em uma VLAN separada da rede em produção, ou mantê-las em “ &lt;strong&gt;shutdown&lt;/strong&gt; ‘. Porém o atacante ainda pode utilizar o ponto de rede de uma máquina na VLAN correta. Nos switches Cisco ( 2960, 3560, 3750, 4000, 6000 ) temos um recurso chamado &lt;strong&gt;DHCP Snooping&lt;/strong&gt;, que classifica cada porta como trusted ou untrusted ( confiável ou não confiável ). Os servidores DHCP ficam nas portas trusted, e o restante das portas como untrusted, e o switch intercepta todas as requisições DHCP nas portas untrusted antes de encaminhá-las, caso ele receba um DHCP Reply de uma porta não confiável, esse pacote será descartado.&lt;/p&gt;&#xA;&lt;p&gt;  O serviço DHCP é descrito através da &lt;a class=&#34;link&#34; href=&#34;http://www.ietf.org/rfc/rfc2131.txt&#34;  title=&#34;RFC 2131&#34;&#xA;     target=&#34;_blank&#34; rel=&#34;noopener&#34;&#xA;    &gt;RFC 2131&lt;/a&gt; e um dos principais pontos nesse momento para entender seria visualizar as mensagens que são trocadas quando um cliente solicita endereço para o servidor. Segue abaixo as mensagens trocadas:&lt;/p&gt;&#xA;&lt;p&gt;&lt;figure&gt;&#xA;    &lt;img src=&#34;https://ciscoredes.com.br/wp-content/uploads/2012/05/DHCP_status.png&#34; alt=&#34;&#34; loading=&#34;lazy&#34;&gt;&lt;/figure&gt;&#xA;&lt;/p&gt;&#xA;&lt;p&gt;  O DHCP snooping possui uma base de dados com endereço IP, endereço MAC, lease time, etc. Essa base é utilizada em outras features como DAI (Dynamic ARP Inspection) e o IP Source Guard que serão abortados nos próximos posts do Multihop.&lt;/p&gt;&#xA;&lt;p&gt;  Para habilitar o DHCP Snooping digite o seguinte comando no modo de configuração global:&lt;/p&gt;&#xA;&#xA;    &lt;blockquote&gt;&#xA;        &lt;p&gt;&lt;code&gt;Switchconfig)#ip dhcp snooping&lt;/code&gt;&lt;/p&gt;&#xA;&#xA;    &lt;/blockquote&gt;&#xA;&lt;p&gt;  Agora identifique as VLANs que serão protegidas:&lt;/p&gt;&#xA;&#xA;    &lt;blockquote&gt;&#xA;        &lt;p&gt;&lt;code&gt;Switch(config)#ip dhcp snooping vlan 100\ Switch(config)#ip dhcp snooping vlan 200&lt;/code&gt;&lt;/p&gt;&#xA;&#xA;    &lt;/blockquote&gt;&#xA;&lt;p&gt; Todas as portas do switch ficam no modo untrusted por padrão quando habilitamos o DHCP snooping. Agora vamos configurar as portas onde estão os servidores DHCP da rede como trusted:&lt;/p&gt;&#xA;&#xA;    &lt;blockquote&gt;&#xA;        &lt;p&gt;&lt;code&gt;Switch#conf t\ Switch(config)#interface FastEthernet 0/0\ Switch(config-if)#ip dhcp snooping trust&lt;/code&gt;&lt;/p&gt;&#xA;&#xA;    &lt;/blockquote&gt;&#xA;&lt;p&gt;  Podemos também configurar um limite de requisições DHCP que passam em uma interface, o rate pode ser um valor de 1 a 2048 pacotes por segundo:&lt;/p&gt;&#xA;&#xA;    &lt;blockquote&gt;&#xA;        &lt;p&gt;&lt;code&gt;Switch(config)#interface FastEthernet 2/1\ Switch(config-if)#ip dhcp snooping limit rate 10&lt;/code&gt;&lt;/p&gt;&#xA;&#xA;    &lt;/blockquote&gt;&#xA;&lt;p&gt;  Por padrão é habilitado a opção 82 DHCP, que é descrita na RFC 3046 publicada em janeiro de 2001 ( &lt;a class=&#34;link&#34; href=&#34;http://www.rfc-archive.org/getrfc.php?rfc=3046&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;&#xA;    &gt;http://www.rfc-archive.org/getrfc.php?rfc=3046&lt;/a&gt; ). Quando uma requisição DHCP é interceptada em uma porta untrusted, o switch adiciona seu próprio MAC e um identificador da porta de origem no campo option-82, em seguida encaminha para o servidor DHCP. Quando retorna o pacote reply o switch compara o campo option-82 para confirmar que a requisição foi originada de uma porta válida:&lt;/p&gt;&#xA;&#xA;    &lt;blockquote&gt;&#xA;        &lt;p&gt;&lt;code&gt;Switch(config)#ip dhcp snooping information option&lt;/code&gt;&lt;/p&gt;&#xA;&#xA;    &lt;/blockquote&gt;&#xA;&lt;p&gt;  Para verificar as configurações do DHCP Snooping, utilize o comando “&lt;strong&gt;show ip dhcp snooping&lt;/strong&gt;”. Somente portas que estão como trusted ou com rate-limit serão listadas:&lt;/p&gt;&#xA;&#xA;    &lt;blockquote&gt;&#xA;        &lt;p&gt;&lt;code&gt;Switch # show ip dhcp snooping\ DHCP Snooping is configured on the following VLANs:\ 20 30-40 100 200\ Insertion of option 82 information is enabled.\ Interface                    Trusted         Rate limit (pps)\ ---------                    -------         ----------------\ FastEthernet2/1              yes             10\ FastEthernet2/2              yes             none\ FastEthernet3/1              no              20\ Switch #&lt;/code&gt;&lt;/p&gt;&#xA;&#xA;    &lt;/blockquote&gt;&#xA;&lt;p&gt;  Com o comando “&lt;strong&gt;show ip dhcp snooping binding&lt;/strong&gt;” conseguimos visualizar as entradas que correspondem as portas untrusted como MAC, lease time, VLAN, etc:&lt;/p&gt;&#xA;&#xA;    &lt;blockquote&gt;&#xA;        &lt;p&gt;&lt;code&gt;Switch # show ip dhcp snooping binding\ MacAddress        IP Address    Lease (seconds)   Type     VLAN   Interface\ -----------       -----------   --------------    -----    ----   ----------\ 0010.01FF.0201    192.168.2.3   1600              dynamic  100    FastEthernet2/1\ 0010.01FA.1B31    192.168.2.4   1600              dynamic  100    FastEthernet2/2\ Switch #&lt;/code&gt;&lt;/p&gt;&#xA;&#xA;    &lt;/blockquote&gt;&#xA;&lt;p&gt;  Espero que essas informações possa ajudar em alguma implementação de segurança.  😀 &lt;/p&gt;&#xA;&lt;p&gt;  Aguardo comentários.&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;Fonte:&lt;/strong&gt;&lt;br&gt;&#xA;&lt;a class=&#34;link&#34; href=&#34;http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/13ew/configuration/guide/dhcp.html&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;&#xA;    &gt;http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/13ew/configuration/guide/dhcp.html&lt;/a&gt;&lt;/p&gt;&#xA;</description>
        </item></channel>
</rss>
