2day > KnowHow > Cisco > DHCP Snooping

DHCP Snooping

Ein normaler DHCP-Server ist anfällig für viele Arten von Angriffen. Ein Angreifer kann kann über viele DHCP-Discovers den IP-Pool des Servers verbrauchen. Andere Clients erhalten dann keine IP-Adresse mehr. Über DHCP-Release kann ein Angreifer benutzte IP-Adressen als frei melden. Für MITM- oder DoS-Attacken kann ein Angreifer selber einen DHCP-Server im Netz betreiben (rogue DHCP Server).

Mittels DHCP-Snooping kann ein Cisco-Switch diese Angriffe verhindern.

DHCP-Snooping wird global aktiviert und pro vorhandenes VLANs wenn gewünscht eingerichtet.



ip dhcp snooping
ip dhcp snooping vlan 10,20,99
errdisable recovery cause dhcp-rate-limit

(Dieses Kommando sorgt (wenn gewünscht) für die automatische Reaktivierung eines Interfaces nach dem error disabled)

Die Interface solltenin trusted und untrusted unterteilt werden.
Option, Limite für jedes Interface setzen

Annahme am Abteilungsswitch x kann am Port 12 ein Endgerät unbekannter Herkunft angeschlossen werden, somit sollte hier Annahme auf nicht vertrauenswürdig (untrusted) getroffen werden. Die folgenden Interface-Kommandos setzen das Interface FastEthernet0/12 auf untrusted und lassen maximal 10 DHCP-Packete pro Sekunde zu. GigabitEthernet0/1 ist der Uplink Port in Richtung des zentralen Switches, an welchem die Serverinfratruktur hängen kann und somit auch Herkunft des DHCP-Servers = vertrauenswürdig (trusted).

interface FastEthernet0/12
 description Public Edge Port
 no ip dhcp snooping trust
 ip dhcp snooping limit rate 10
!
interface GigabitEthernet0/1
 description UPLK
 ip dhcp snooping trust

_____________________________________________________
Trojaner installieren Rogue DHCP Server

Ende 2008 sind erste Trojaner aufgetaucht, die bösartige DHCP-Server einrichten. Eine Variante der Malware DNSChanger installiert einen Treiber Ndisprot.sys als DHCP-Server. Ein so infizierter PC verteilt an alle Stationen im LAN eine IP-Konfiguration, die DNS-Server der Angreifer enthält. Zum Beispiel werden die 85.255.112.36 und 85.255.112.41 als DNS-Server eingetragen. Diese Server stehen in Odessa (Ukraine).

DHCP-Snooping verhindert diese Art von Angriffen wirkungsvoll. Der Switchport des infizierten Clients wird sofort deaktiviert.

Im Log sieht das Ansprechen von DHCP-Snooping etwas so aus:

02:19:11: DHCPSN: Found ingress pkt on Fa0/1 VLAN 1
02:19:11: DHCP_SNOOPING: exceeded rate limit 20pps on Fa0/1

_______________________________________________________

2day Technik 4 Events