DHCP Snooping em Switches Cisco

Essa documentação trata sobre a prevenção de ataques de DHCP spoofing em Switches Cisco com suporte ao DHCP Snooping.

Precisamos antes de mais nada, ver como funciona uma requisição DHCP para podermos entender melhor o Spoofing e como o Snooping funciona.

Como funciona uma requisição DHCP?

Em uma resquisição DHCP temos os passos demonstrados abaixo...

Requisição DHCP

Em termos gerais, o PC cliente envia um pacote solicitando um "DHCP" via broadcast para toda a rede em que se encontra. Após essa solicitação ser encaminhada para todos os hosts da rede, o servidor ou servidores DHCP dessa rede irão responder ao Host um pacote DHCP-Offer. Assim que o host recebe esse pacote oferecendo um DHCP, ele encaminha a solicitação para o servidor e terminando o processo todo ele envia para o host um pacote acknowledgment message.

O que é DHCP Spoofing?

Vamos imaginar um cenário onde temos uma rede com um servidor DHCP, e nesse cenário há um usuário malicioso com um computador com serviço de DHCP ativo. Nesse cenário temos um grande problema, o servidor DHCP "intruso" estaria facilmente entregando DHCP para os hosts da rede, criando assim diversos problemas além de em alguns casos perda de conectividade, até mesmo o man-in-the-middle. Nessa Documentação iremos analisar esse cenário e propor a solução para o mesmo.

Ataque Spoofing

O que o DHCP Snooping faz?

A feature snooping basicamente filtra mensagens _dhcp-offer _de origens desconhecidas. Vimos anteriormente que quando um cliente se conecta à rede, ele envia uma mensagem em broadcast para toda a rede procurando um serviço DHCP, então quando temos mais de um servidor DHCP em nossa rede sendo apenas um o servidor "oficial" e o outro sendo um "intruso" (podendo ser desde roteadores caseiros com dhcp ativados como também máquinas infectadas para atacar a rede) o snooping entra em ação filtrando justamente as mensagens dhcp-offer do servidor intruso impedindo assim ataques à rede interna como man-in-the-middle ou em um caso menos pior, a interrupção de serviços quando clientes conectados receberem um dhcp diferente do Oficial da rede.

O snooping trabalha com o sistema de portas Trusted e Untrusted, deixando passar pacotes de DHCP apenas pelas portas Trusteds e impedindo que servidores instrusos atrás de portas untrusteds distribuam dhcp pela rede.

results matching ""

    No results matching ""