Le DHCP Snooping est une technique permettant d’empêcher de connecter un serveur DHCP indésirable sur un réseau. Celle-ci s’implémente exclusivement sur des switchs.

Le principe consiste à filtrer les requêtes DHCP de type « DHCP OFFER » non autorisées. Pour cela, tous les ports du switch doivent filtrer les requêtes DHCP à l’exception du port correspondant à celui du serveur DHCP légitime du réseau.

Schéma du processus DHCP

En réalité, seul un ou plusieurs ports du commutateur seront autorisés à distribuer une plage d’adresses IP, ce qui évite qu’un potentiel attaquant puisse brancher son propre serveur DHCP sur l’un des autres ports du commutateur…

Dans cet article, la mise en place de la technique DHCP Snooping sera appliquée au commutateur Cisco 2960.

Sur cette image ci-dessus, le serveur DHCP « de confiance’ est connecté sur le port 1 du switch, tandis que le faux serveur DHCP est branché sur le port 2. Notre machine cliente se situe le port 3.

Note : Dans cet article je n’expliquerai pas comment paramétrer un serveur DHCP sur Cisco Packet Tracer.

Configuration

Sur le switch, nous allons rentrer les commandes suivantes :

Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1
# changer de VLAN en fonction de votre configuration
Switch(config)#int fa0/1
Switch(config)#ip dhcp snooping trust # port de confiance pour le DHCP

Rendez-vous sur le PC1, et essayer de configurer les paramètres IP de celui-ci en mode DHCP. Le bon serveur DHCP (fa0/1) va nous répondre.

La commande ci-dessous, nous permet de visualiser l’enregistrement de la Requête DHCP du PC1.

Switch#show ip dhcp snooping binding 

Pour vérifier que le processus DHCP snooping est réellement fonctionnel, débrancher le port fa0/1 du switch, et ressayer de configurer en mode DHCP l’IP de PC1.

Vous voyez que la requête DHCP de PC1 n’aboutit pas, vu que le seul port de confiance pour le DHCP sur ce switch est fa0/1. Le PC1 annonce une erreur de DHCP. « APIPA »

Pour que PC1 retrouve la bonne configuration IP, rebrancher le câble du switch (port fa0/1) vers le serveur DHCP de confiance.

À bientôt 😉

Brlndtech


0 commentaire

Laisser un commentaire