Qu’est-ce que le DHCP Snooping et pourquoi l’utiliser ?

Contenus masquer
1. Qu’est-ce que le DHCP Snooping ?
2. Pourquoi utiliser le DHCP Snooping ?
3. Comment fonctionne le DHCP Snooping ?
4. Configuration du DHCP Snooping sur un commutateur Cisco
5. Conclusion

Qu’est-ce que le DHCP Snooping ?

DHCP Snooping agit comme un pare-feu pour les messages DHCP. Lorsqu’il est activé sur un commutateur, celui-ci distingue les ports de confiance (trusted ports) et les ports non fiables (untrusted ports). Par défaut, tous les ports sont considérés comme non fiables.

  • Les ports de confiance sont ceux connectés aux serveurs DHCP autorisés (généralement les ports uplink vers les serveurs ou routeurs).
  • Les ports non fiables sont ceux connectés aux clients. Sur ces ports, les messages DHCPOFFER ou DHCPACK sont bloqués pour éviter l’intervention d’un serveur DHCP frauduleux.
dhcp snooping

DHCP Snooping maintient également une table de liaison (binding table) qui associe chaque adresse IP attribuée à une adresse MAC, un port et un VLAN. Cette table est essentielle pour d’autres fonctions de sécurité comme IP Source Guard et Dynamic ARP Inspection (DAI).

Pourquoi utiliser le DHCP Snooping ?

DHCP Snooping protège le réseau contre plusieurs attaques et dysfonctionnements :

  • Usurpation DHCP (DHCP spoofing) : un attaquant installe un faux serveur DHCP sur un port client et attribue des adresses IP avec une passerelle erronée, redirigeant ainsi le trafic vers sa machine.
  • Attaques Man-in-the-Middle : en combinant DHCP spoofing et ARP spoofing, un attaquant peut intercepter les communications.
  • Attaques DoS DHCP : en envoyant un grand nombre de requêtes DHCP pour épuiser la plage d’adresses du serveur, rendant impossible l’attribution d’IP aux nouveaux clients.

En activant DHCP Snooping, seuls les ports de confiance sont autorisés à envoyer des réponses DHCP, ce qui bloque l’introduction de serveurs non autorisés.

Comment fonctionne le DHCP Snooping ?

Voici un résumé du fonctionnement :

  1. Le commutateur est configuré pour activer DHCP Snooping sur certains VLANs.
  2. On définit les ports de confiance (trusted) : seuls ces ports peuvent relayer les réponses DHCP (DHCPOFFER, DHCPACK).
  3. Les ports non fiables sont surveillés : seuls les messages clients (DHCPDISCOVER, DHCPREQUEST) sont acceptés.
  4. Le commutateur enregistre dynamiquement les baux DHCP dans une table de liaison.
  5. Si un port non fiable envoie une réponse DHCP, elle est bloquée.

À noter : cette sécurité s’applique aussi bien pour IPv4 que pour IPv6. Dans le cas de DHCPv6, le mécanisme de surveillance peut différer selon l’équipement.

Configuration du DHCP Snooping sur un commutateur Cisco

Voici les étapes de base pour configurer le DHCP Snooping sur un commutateur Cisco :

shema dhcp snooping
  1. Activer le DHCP Snooping globalement :
Switch(config)# ip dhcp snooping
  1. Spécifier les VLANs concernés :
Switch(config)# ip dhcp snooping vlan 10
  1. Configurer les interfaces de confiance (connectées aux serveurs DHCP légitimes) :
Switch(config)# interface FastEthernet0/1
ip dhcp snooping trust
  1. Limiter le taux de trafic DHCP sur les interfaces non fiables (optionnel) :
Switch(config)# interface range FastEthernet0/2 - 24
Switch(config-if-range)# ip dhcp snooping limit rate 15
  1. Vérifier la configuration :
Switch# show ip dhcp snooping
dhcp snooping diagnostic

Ici, on peut voir que le DHCP Snooping est bien activé sur le VLAN 10 et que la configuration est bien appliquée sur chaque interface.

Ces commandes permettent de s’assurer que seules les interfaces de confiance peuvent transmettre des messages DHCP, bloquant ainsi les tentatives d’attaques provenant d’interfaces non fiables Bonnes pratiques pour une mise en œuvre efficace

  • Désactiver l’option 82 si nécessaire : certains serveurs DHCP peuvent ne pas gérer correctement cette option ajoutée par défaut.
  • Sauvegarder régulièrement la table de liaison : pour éviter la perte d’informations en cas de redémarrage du commutateur.
  • Surveiller les logs : afin de détecter toute activité suspecte liée au DHCP.

Conclusion

Le DHCP Snooping est une mesure de sécurité essentielle pour protéger les réseaux contre les attaques liées au protocole DHCP. En filtrant les messages DHCP et en autorisant uniquement ceux provenant de sources fiables, il préserve l’intégrité et la disponibilité du réseau. Son intégration avec d’autres mécanismes de sécurité en fait un outil indispensable pour tout administrateur réseau soucieux de la sécurité de son infrastructure.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Souscrire à notre Newsletter

Ne manquez jamais une mise à jour ! Inscrivez-vous dès maintenant à notre newsletter pour recevoir nos articles quotidiens directement dans votre boîte de réception. 

Restez informé des dernières tendances, astuces et conseils pour sécuriser vos données, optimiser vos appareils et perfectionner vos compétences en programmation. Abonnez-vous et faites partie de notre réseau d’experts et d’enthousiastes en technologie.

Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.
Prénom Nom
Catégories
  • contact@cyberopti.com

mentions légales