SID-500

Home » Cisco » Cisco: DHCP Rogue Servers und DHCP Snooping

Cisco: DHCP Rogue Servers und DHCP Snooping

Ohne Netzwerk und Internet geht nichts mehr. Um Netzwerke nutzen zu können braucht es eine IP-Adresse. Und diese kommt meist von einem DHCP Server – egal ob LAN oder WLAN. Und hoffentlich von einem vertrauenswürdigen DHCP Server.

DHCP Clients akzeptieren so ziemlich alle DHCP Offers. Es soll schnell gehen. Doch wer garantiert, dass der Client die korrekte IP Adressierung vom richtigen DHCP Server erhalten hat – und nicht von einem bösen Angreifer, der jeden Traffic mit-sniffern will?

Stellen wir uns folgende Situation vor:

Unbenannt.PNG

Jemand hat – unbemerkt – einen Rogue DHCP Server installiert. Bei einem DHCP Discover von PC0 antwortet der Rogue DHCP Server und bedient den Client. Der Client befindet sich nun in einem anderen Subnetz. Die Bedrohung: Man-in-the-Middle und Denial-of-Service. Die Lösung: DHCP Snooping.

DHCP Snooping bestimmt, welche Switch Ports auf DHCP Requests antworten dürfen. Der Port wird als Trusted Ports konfiguriert. Die Befehle lauteten für Interface FastEthernet 0/3:

ip dhcp snooping 
interface fa0/3
ip dhcp snooping trust

Unbenannt.PNG

Fertig. Allein Port fa0/3 kann auf DHCP Requests mit einem DHCP ACK antworten, was mit

show ip dhcp snooping 

überprüft werden kann:

Unbenannt.PNG

Quelle: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/dhcp.html


2 Comments

  1. Tobi says:

    Würde gerne ein Beispiel für DHCP Snooping in Kombination mit einem zentralen DHCP Server (ip-helper) sehen!

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com