Ohne Netzwerk und Internet geht nichts mehr. Um Netzwerke nutzen zu können braucht es eine IP-Adresse. Und diese kommt meist von einem DHCP Server – egal ob LAN oder WLAN. Und hoffentlich von einem vertrauenswürdigen DHCP Server.
DHCP Clients akzeptieren so ziemlich alle DHCP Offers. Es soll schnell gehen. Doch wer garantiert, dass der Client die korrekte IP Adressierung vom richtigen DHCP Server erhalten hat – und nicht von einem bösen Angreifer, der jeden Traffic mit-sniffern will?
Stellen wir uns folgende Situation vor:
Jemand hat – unbemerkt – einen Rogue DHCP Server installiert. Bei einem DHCP Discover von PC0 antwortet der Rogue DHCP Server und bedient den Client. Der Client befindet sich nun in einem anderen Subnetz. Die Bedrohung: Man-in-the-Middle und Denial-of-Service. Die Lösung: DHCP Snooping.
DHCP Snooping bestimmt, welche Switch Ports auf DHCP Requests antworten dürfen. Der Port wird als Trusted Ports konfiguriert. Die Befehle lauteten für Interface FastEthernet 0/3:
ip dhcp snooping interface fa0/3 ip dhcp snooping trust
Fertig. Allein Port fa0/3 kann auf DHCP Requests mit einem DHCP ACK antworten, was mit
show ip dhcp snooping
überprüft werden kann:
Categories: Cisco, Cyber Security
My name is Patrick Gruenauer. From Austria.
SID-500.COM 
Würde gerne ein Beispiel für DHCP Snooping in Kombination mit einem zentralen DHCP Server (ip-helper) sehen!
LikeLike
Hallo! Für komplexe Szenarien empfehle ich: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/snoodhcp.html
Lg
LikeLike