DHCP Snooping mit Cisco

abgelegt unter: Protokolle :: Security

Fast in jedem Netz finden wir heute einen DHCP-Server. DHCP erhöht den Komfort und vereinfacht die Verteilung von IP-Konfigurationen an die Clients. Der RFC 2131 für das Dynamic Host Configuration Protocol stammt aus dem Jahr 1997.

Damals wurde auf Sicherheit im LAN noch kein allzu großer Wert gelegt. DHCP verfügt daher nicht über Sicherheitsmechanismen. DHCP-Server und Client können die Authentizität des Kommunikationspartners nicht überprüfen.

Daher kann ein böswilliger Client, zum Beispiel alle IP-Adressen eines DHCP-Servers allokieren. Weiter Clients erhalten durch diese DoS-Attacke keine IP-Adresse und kommen nicht mehr ins Netz.

Normalerweise wird ein Angreifer auch nicht gehindert, einfach auch DHCP-Discovers zu antworten. Er kann sich als DHCP-Server ausgeben und dem Client eine fehlerhafte IP-Konfiguartion unterschieben. Durch Verteilung eines falschen Default Routers, kann ein Angreifer einen Man-in-the-Middle-Angriff ausführen.

Diese Angriffe lassen sich zum Beispiel mit dem Open Source Tool Yersinia durchführen.

Abwehr von DHCP-Spoofing

Cisco bietet auf seinen Switches ein Feature namens DHCP Snooping an. Ein Switch mit aktiviertem DHCP Snooping, verhindert das Weiterleiten gefälschter DHCP-Packete. Der Switch baut dazu eine DHCP snooping binding table auf. Diese enthält die MAC-Adresse, die IP-Adresse, die Lease Time, den Bindungstyp, die VLAN Numer und die Interface Information des Switches. Die Interface des Switches werden in trustes Interfaces (vertrauenswürdig) und untrusted Interfaces (nicht vertrauenswürdig) eingeteilt.

Konfiguration

DHCP-Snooping wird zuerst gloabl aktiviert. Danach werden die Interface konfiguriert.

switch# conf term
switch(config)# ip dhcp snooping
switch(config)# ip dhcp snooping vlan 10
switch(config)# ip dhcp snooping information option
switch(config)# interface FastEthernet 2/1
switch(config-if)# ip dhcp snooping trust
switch(config-if)# ip dhcp snooping limit rate 100

switch# show ip dhcp snooping
DHCP Snooping is configured on the following VLANs:
    10
Insertion of option 82 information is enabled.
Interface           Trusted        Rate limit (pps)
---------           -------        ----------------
FastEthernet2/1     yes            100
FastEthernet4/2     yes            none
FastEthernet4/1     no             20

Mit dem Kommando show ip dhcp snooping binding kann die Binding Table angezeigt werden. Eine detailierte Anleitung zur Konfiguration von finden Sie im Dokument Configuring DHCP Snooping bei Cisco.

geschrieben am 10.04.2006 von Mirko Kulpa

DHCP Snooping mit Cisco

Abwehr von DHCP-Spoofing

Konfiguration

Site

Kategorien

Archiv

Projekte

Webtools



DHCP Snooping mit Cisco abgelegt unter: Protokolle :: Security Fast in jedem Netz finden wir heute einen DHCP-Server. DHCP erhöht den Komfort und vereinfacht die Verteilung von IP-Konfigurationen an die Clients. Der RFC 2131 für das Dynamic Host Configuration Protocol stammt aus dem Jahr 1997. Damals wurde auf Sicherheit im LAN noch kein allzu großer Wert gelegt. DHCP verfügt daher nicht über Sicherheitsmechanismen. DHCP-Server und Client können die Authentizität des Kommunikationspartners nicht überprüfen. Daher kann ein böswilliger Client, zum Beispiel alle IP-Adressen eines DHCP-Servers allokieren. Weiter Clients erhalten durch diese DoS-Attacke keine IP-Adresse und kommen nicht mehr ins Netz. Normalerweise wird ein Angreifer auch nicht gehindert, einfach auch DHCP-Discovers zu antworten. Er kann sich als DHCP-Server ausgeben und dem Client eine fehlerhafte IP-Konfiguartion unterschieben. Durch Verteilung eines falschen Default Routers, kann ein Angreifer einen Man-in-the-Middle-Angriff ausführen. Diese Angriffe lassen sich zum Beispiel mit dem Open Source Tool Yersinia durchführen. Abwehr von DHCP-Spoofing Cisco bietet auf seinen Switches ein Feature namens DHCP Snooping an. Ein Switch mit aktiviertem DHCP Snooping, verhindert das Weiterleiten gefälschter DHCP-Packete. Der Switch baut dazu eine DHCP snooping binding table auf. Diese enthält die MAC-Adresse, die IP-Adresse, die Lease Time, den Bindungstyp, die VLAN Numer und die Interface Information des Switches. Die Interface des Switches werden in trustes Interfaces (vertrauenswürdig) und untrusted Interfaces (nicht vertrauenswürdig) eingeteilt. Konfiguration DHCP-Snooping wird zuerst gloabl aktiviert. Danach werden die Interface konfiguriert. switch# conf term switch(config)# ip dhcp snooping switch(config)# ip dhcp snooping vlan 10 switch(config)# ip dhcp snooping information option switch(config)# interface FastEthernet 2/1 switch(config-if)# ip dhcp snooping trust switch(config-if)# ip dhcp snooping limit rate 100 switch# show ip dhcp snooping DHCP Snooping is configured on the following VLANs: 10 Insertion of option 82 information is enabled. Interface Trusted Rate limit (pps) --------- ------- ---------------- FastEthernet2/1 yes 100 FastEthernet4/2 yes none FastEthernet4/1 no 20 Mit dem Kommando `show ip dhcp snooping binding` kann die Binding Table angezeigt werden. Eine detailierte Anleitung zur Konfiguration von finden Sie im Dokument Configuring DHCP Snooping bei Cisco. geschrieben am 10.04.2006 von Mirko Kulpa	Site Home Impressum Kategorien Protokolle Tools Techniken Security Hardware Archiv Februar 2008 November 2006 Oktober 2006 Juli 2006 Juni 2006 Mai 2006 April 2006 Projekte Netzwerkservice network lab netzikon RFID-Informationen Webtools DNS Stuff Web-Sniffer