photo_admin
Auteur : Clément MICHEL
Niveau de difficulté : Confirmés
Licence :
licence

DHCP Snooping : La parade au Spoofing DHCP

Vous avez dit DHCP Spoofing ?

Il s'agit d'usurpation DHCP. Le pirate informatique va tout simplement, au cours de la récupération d'une adresse IP, vous donner de mauvaises informations. Ceci va lui permettre, par exemple, de rediriger tout votre trafic vers sa machine (afin de récupérer des informations sur vous comme vos coordonnées bancaires ou autre) ou encore de rediriger le trafic de centaines de machines sur une seule et même cible (dans le but de rendre non-fonctionnelle cette dernière). Vous l'aurez compris il est très facile de semer la "zizanie" sur un réseau de cette façon...
Mais avant de voir comment se protéger de cette menace regardons comment fonctionne le protocole DHCP.

Résumé sur le fonctionnement du DHCP

DHCP pour Dynamic Host Configuration Protocol.
Il s'agit d'un protocole réseau qui permet d'assigner une adresse IP, un masque de sous-réseau ou encore une passerelle par défaut à des équipements informatiques (ordinateurs, imprimantes, télécopieurs...).
Voici le détail du processus de récupération d'une adresse IP via un service DHCP :

  1. Votre ordinateur envoi un DHCP Discover. Comme ce dernier n'a pas encore d'adresse IP, il envoie une trame de type broadcast (= diffusion) avec comme adresse MAC de destination FF:FF:FF:FF:FF:FF afin d'obtenir la liste des serveurs DHCP disponibles
  2. Les serveurs DHCP présent sur le réseau répondent avec un DHCP Offer, offrant ainsi une configuration IP à votre ordinateur
  3. Votre ordinateur précisera à tous les serveurs DHCP celui qu'il aura choisi et enverra un DHCP Request
  4. Le serveur DHCP choisi confirme à votre ordinateur que sa requête est bien prise en compte via un DHCP Ack

dhcp

Vous voyez, ci-dessous, l'ajout d'un serveur DHCP Pirate. Lors du DHCP Discover de votre ordinateur celui-ci répond également ce qui le rend éligible entant que serveur, il pourrait donc fournir des données faussées à votre machine.

dhcp_spoofing

Le Principe du DHCP Snooping

Afin d'empêcher le DHCP Spoofing, l'idée est de préciser où trouver les bons serveurs DHCP. Pour cela, nous allons travailler sur le switch (= commutateur) et préciser sur quelles interfaces trouver les serveurs DHCP authentiques. Sur l'exemple vu un peu plus haut on peut voir que le serveur DHCP est raccordé au port fa 0/24 du switch. L'idée est de spécifier que cette interface est un port dit "trusted" (= port de confiance). Ainsi, les ports "trusted" pourront emmètre des requêtes DHCP Offer et DHCP Ack alors que l'équipement du pirate informatique ne sera pas sur une interface de confiance (= unstrusted). Ses requêtes seront alors ignorées.
Ce procédé est appelé DHCP Snooping (= surveillance DHCP).

Mise en place sur des équipements CISCO

Le DHCP Snooping peut fonctionner de manière globale sur l'ensemble du switch (et donc sur l'ensemble de ses ports) mais aussi dans un VLAN particulier.
Voici la marche à suivre pour la mise en place sur des équipements de type CISCO :

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan X
Switch(config)# ip dhcp snooping information option
Switch(config)# interface fastethernet0/24
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate X
  1. Mise en place du DHCP Snooping sur le switch (de façon globale)
  2. Mise en place du DHCP Snooping sur un VLAN en particulier
  3. Activation de l'option 82 (plus d'informations)
  4. On sélectionne l'interface fa 0/24 pour la configurer
  5. On déclare le port en tant qu'interface de confiance
  6. Permet de définir le maximum de requêtes que l'interface traitera (en seconde)

Quelques conseils en sécurité

Afin de garantir la sécurité sur votre réseau et éviter ce genre d'attaques voici quelques conseils :

  • Restreindre le nombre d'adresses MAC autorisées par interface sur vos switch
  • Désactiver les interfaces non utilisées sur vos équipements (afin d'éviter que n'importe qui puisse se raccorder sur votre réseau)
  • Assigner des adresses IP fixes sur vos serveurs
  • Si vous êtes sur un réseau à petite échelle, mettre l'ensemble du parc en IP fixe
  • Différencier les services DHCP (un dédié pour les clients Wifi, un pour le réseau classique...)