Le monde Internet Le code binaire Le modèle OSI Le modèle TCP/IP Le câblage Les adresses MAC La table ARP La table CAM Les domaines de collision Les adresse IP Les adresses IPV4 Les adresses IPV6 Débuter avec CISCO Présentation de la virtualisation Présentation des Wildcard Mask

Les Vlans Les liens Trunk Le routage inter-vlan Le protocole VTP Les VACLs Les Private VLANs Le Spanning-Tree Introduction au FHRP Le protocole HSRP Le protocole VRRP Le protocole GLBP La méthode VSS Etherchannel

Configuration d’un routeur Le routage statique Le routage dynamique Le protocole RIP Le protocole OSPF Le protocole EIGRP Le protocole BGP Le Frame Relay HDLC / PPP Le protocole PPPoE Le metroEthernet Les services CLOUD

Le NAT Le SLA Le protocole DHCP Le protocole NTP Le protocole SNMP Le protocole NetFlow La gestion des logs SPAN / RSPAN / ERSPAN Le protocole CDP / LLDP Les protocoles PPP et HDLC Introduction à la QOS Le Frame-Relay Les Templates SDM Le protocole PPPoE Configuration sécurisée CISCO

Le protocole SSH Les access-lists Le DHCP Snooping Le Dynamic ARP Inspection L’ IP Source guard Le protocole AAA Le port-security Le port-based authentication Le Storm-control Service password-recovery Les ERR-DISABLE

Les tunnels GRE Le protocole IPSec Le DMVPN CBWFQ over GRE Tunneling IPv6 over IPv4

Présentation Introduction au Spanning-Tree Les protocoles le Protocole STP le Protocole RSTP En pratique le Protocole PVST+ le Protocole Rapid-PVST+ le Protocole MST Les options Spanning-Tree Portfast Spanning-Tree BPDUFilter Spanning-Tree BPDUguard Spanning-Tree Root Guard Spanning-Tree Loop Guard Le protocole UDLD

Présentation Le protocole OSPF Les bases Les aires OSPF Le Virtual Link Election du DR et du BDR Les tables OSPF La Neighbors Table La Link State Database La table de routage La Sécurité Authentification OSPF Le LSA Filtering Autres Les types de réseau WAN

Présentation Le protocole EIGRP Les échanges Les paquets EIGRP Stuck in Active Les routeurs Stub Choix de la route Load Balancing EIGRP Metric EIGRP Choix du masque Auto-summary Summarization Sécurité Authentification EIGRP Filtrage EIGRP

Le signal Wifi : Différence entre 2.4Ghz vs 5 Ghz Les différents standards Wifi Installer une borne Wi-Fi MIMO Le BEACON Architecture Wifi: Wi-Fi : Le BSS Lightweight Access Point Les WLC Le Roaming Sécurité : Sécurité Wi-Fi Le WEP Le WPA / WPA2 Le WPA3

Le DHCP Snooping

Article de blog | Finger In The Net

Le DHCP Snooping

Bonjour à tous !

Le but de cet article est de protéger notre architecture au point de vue DHCP. Et ce grâce au DHCP Snooping !

DHCP = Dynamic Host Configuration Protocol
Snooping = Traduction : Espionnage

Chapitre 1

Rappel DHCP

Le protocole DHCP permet d’attribuer dynamiquement une adresse IP à un hôte.
Le DHCP permet à un client qui arrive sur un réseau de demander une configuration réseau dynamique.

Cette configuration va contenir :

Une adresse IP.
Un masque de sous réseau.
Une passerelle par défaut.
Un ou plusieurs serveurs DNS.

Comment cela se passe ?

Le client = DHCP DISCOVER : Salut tout le monde ! J’ai besoin d’une adresse IP !
Le serveur = DHCP OFFER : Salut mec ! Voilà ton adresse IP 😉
Le client = DHCP REQUEST : Merci !!! Je la prends. 😉
Le serveur = DHCP ACK : C’est noté !

NB : Il existe plusieurs cas de figure :

Quand un client demande pour la première fois une adresse IP:

DHCP Discover – Broadcast.
DHCP Offer – Broadcast.
DHCP Request – Broadcast.
DHCP ACK – Broadcast.

Quand notre client possède déjà un bail DHCP mais demande une mise à jour:

DHCP Discover – Broadcast.
DHCP Offer – Unicast.
DHCP Request – Broadcast.
DHCP ACK – Unicast.

Pour la suite du cours, nous allons considérer que notre client fait une demande de renouvellement de bail DHCP.

Au sein de notre entreprise, nos clients sont en DHCP.
Pour obtenir une adresse IP, notre client va envoyer un broadcast DHCP DISCOVER.
Ce Broadcast va se propager dans tout notre réseau.

DHCP Discover - Broadcast — DHCP Discover – Broadcast

Lorsque le serveur DHCP reçoit ce DHCP DISCOVER, il va envoyer une trame DHCP OFFER en Unicast afin de fournir une adresse IP au client.

DHCP Offer - Unicast — DHCP Offer – Unicast

Notre client va prendre en compte uniquement le premier serveur DHCP qui lui répond !

Chapitre 2

DHCP SNOOPING vs DHCP SNOOPING

Le DHCP Spoofing consiste à donner de mauvaises informations DHCP à nos clients.

Traduction : Spoofing = Faire des blagues, parodier.

Ces informations peuvent provenir d’une personne mal intentionnée (Pirate) ou d’un client qui à décider de mettre un équipement sur le réseau sans savoir que ce dernier agissait comme serveur DHCP (Box Internet).

Comment cela se passe :

Le PC01 Lance un Broadcast DHCP DISCOVER afin de trouver un serveur DHCP sur le réseau. Le Pirate reçoit ce broadcast avant le serveur DHCP officiel. — Le PC01 lance un Broadcast **DHCP DISCOVER** afin de trouver un serveur DHCP sur le réseau. Le Pirate reçoit ce broadcast avant le serveur DHCP officiel.

Le Pirate répond au DHCP DISCOVER avec un DHCP OFFER. Le serveur DHCP Officiel viens tout juste de recevoir le broadcast émis par le client. — Le Pirate répond au **DHCP DISCOVER** avec un **DHCP OFFER**. Le serveur DHCP officiel vient tout juste de recevoir le broadcast émis par le client.

Notre client reçoit le DHCP OFFER du pirate avant le DHCP OFFER du serveur DHCP Officiel. Notre Client va donc prendre ses informations du Pirate ... — Notre client reçoit le **DHCP OFFER** du pirate avant le **DHCP OFFER** du serveur DHCP officiel. Notre Client va donc prendre ses informations du Pirate …

Comment se protéger du DHCP SPOOFING ? Grâce au DHCP SNOOPING.

Afin de nous protéger du DHCP SPOOFING , nous allons mettre nos ports réseau dans deux types de catégories :

La catégorie TRUST ( Port de confiance )
La catégorie UNTRUST ( Port douteux )

Lorsque nous activons le dhcp snooping , tous nos ports sont considérés comme UNTRUST. Nous allons mettre nos ports d’interconnexion ainsi que nos ports vers nos serveurs en TRUST et laisser tous les ports clients en mode UNTRUST. Que se passe-t-il lorsque notre port se retrouve dans l’un de ces deux états ?

TRUST = Autorise la réception de trame DHCP OFFER sur ce port
UNTRUST = Refuse les trames DHCP OFFER sur ce port

Il faut activer le DHCP Snooping :

Sur tous vos équipements réseau présents dans le domaine de broadcast de vos clients.

Dans cette architecture, nos interfaces Vlans sont sur les switchs de la partie CORE. Le domaine de broadcast de vos clients va jusqu’à la partie CORE.

Nous avons donc :

Le DHCP Snooping activée sur tous les Switchs (L2 et L3) de notre architecture.
Tous nos ports trunk sont en mode TRUST
Tous nos ports vers un serveur DHCP sont en mode TRUST
Les autres ports sont par défaut en mode UNSTRUST.

Dans le cas où vous avez configuré un serveur DHCP sur un Switch, ce dernier émettra ses trames via ses ports Trunk. Tous les ports Trunk de notre architecture sont en mode TRUST donc parfait. 🙂

TRUST = Liens Trunk + Serveurs DHCP / UNTRSUT = le reste de nos interfaces — **TRUST** = Liens Trunk + Serveurs DHCP / **UNTRUST** = le reste de nos interfaces

Chapitre 3

Configuration du dhcp snooping

Une fois activé, le DHCP Snooping considère que tous ses ports sont UNTRUST.
Nous allons passer des ports en TRUST afin de faire fonctionner notre topologie DHCP.

Nous allons donc :

Activer le DHCP Snooping
Passer en TRUST les ports d’interconnexions
Passer en TRUST les ports de nos serveurs DHCP

SW01(config)# ip dhcp snooping
SW01(config)# ip dhcp snooping vlan 10

SW01(config)# interface GigaBitEthernet 0/1
SW01(config-if)# description VERS_SW02
SW01(config-if)# switchport mode trunk
SW01(config-if)# ip dhcp snooping trust

SW01(config)# interface FastEthernet 0/1 
SW01(config-if)# description SERVEUR_DHCP 
SW01(config-if)# switchport mode access
SW01(config-if)# switchport access vlan 10
SW01(config-if)# ip dhcp snooping trust

ip dhcp snooping = Activation du DHCP Snooping sur l’équipement.
ip dhcp snooping trust = L’interface devient TRUST.
ip dhcp snooping limit rate = nombre max de trames DHCP par seconde.

Attention !! Une interface Vlan reste une interface ! Il faudra donc mettre nos interface Vlan également en TRUST , surtout si nous utilisons un ip helper-address !

SW02(config)# ip dhcp snooping
SW02(config)# ip dhcp snooping vlan 10

SW02(config)# interface GigaBitEthernet 0/1
SW02(config-if)# description VERS_SW01
SW02(config-if)# switchport mode trunk
SW02(config-if)# ip dhcp snooping trust

SW02(config)# interface range FastEthernet 0/1 - 2
SW02(config-if)# description CLIENTS 
SW02(config-if)# switchport mode access
SW02(config-if)# switchport access vlan 10

– ip dhcp snooping = Activation du DHCP Snooping sur l’équipement.
– ip dhcp snooping trust = L’interface devient TRUST.
– ip dhcp snooping limit rate = nombre max de trames DHCP par seconde.

Attention !! Une interface Vlan reste une interface ! Il faudra donc mettre nos interface Vlan également en TRUST , surtout si nous utilisons un ip helper-address !

Chapitre 4

Vérification de la configuration

SW01# show ip dhcp snooping
 Switch DHCP snooping is enabled
 DHCP snooping is configured on following VLANs:
 10
 Insertion of option 82 is enabled
 Option 82 on untrusted port is not allowed
 Verification of hwaddr field is enabled
 Interface               Trusted Rate limit (pps)
 ----------------------- ------- ----------------
 GigabitEthernet0/1        yes      unlimited
 FastEthernet0/1           yes      unlimited

SW02# show ip dhcp snooping
 Switch DHCP snooping is enabled
 DHCP snooping is configured on following VLANs:
 10
 Insertion of option 82 is enabled
 Option 82 on untrusted port is not allowed
 Verification of hwaddr field is enabled
 Interface               Trusted Rate limit (pps)
 ----------------------- ------- ----------------
 GigabitEthernet0/1        yes      unlimited
 FastEthernet0/1           no       unlimited
 FastEthernet0/2           no       unlimited

Le DHCP Snooping va maintenir une base de données contenant :

L’adresse MAC de nos clients.
L’adresse IP de nos clients.
La durée du bail DHCP.
Le Vlan.
L’interface physique correspondante.
Le mode d’apprentissage ( via DHCP-Snooping ou via une entrée statique )

Chaque équipement actif utilisant le DHCP Snooping mettra à jour cette base de donnée :

SW01# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC01       192.168.1.1      86400       dhcp-snooping  10    Gi0/1
 @MAC02       192.168.1.2      86400       dhcp-snooping  10    Gi0/1
 Total number of bindings: 2

SW02# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC01       192.168.1.1      86400       dhcp-snooping  10    Fa0/1
 @MAC02       192.168.1.2      86400       dhcp-snooping  10    Fa0/2
 Total number of bindings: 2

Imaginons que nous rajoutons le switch SW03 ainsi que les PC03 et 04 sur notre architecture existante :

SW01# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC01       192.168.1.1      86400       dhcp-snooping  10    Gi0/1
 @MAC02       192.168.1.2      86400       dhcp-snooping  10    Gi0/1
 @MAC03       192.168.1.3      86400       dhcp-snooping  10    Gi0/2
 @MAC04       192.168.1.4      86400       dhcp-snooping  10    Gi0/2
 Total number of bindings: 4

SW02# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC01       192.168.1.1      86400       dhcp-snooping  10    Fa0/1
 @MAC02       192.168.1.2      86400       dhcp-snooping  10    Fa0/2
 @MAC03       192.168.1.3      86400       dhcp-snooping  10    Gi0/1
 @MAC04       192.168.1.4      86400       dhcp-snooping  10    Gi0/1
 Total number of bindings: 4

SW03# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC03       192.168.1.3      86400       dhcp-snooping  10    Fa0/3
 @MAC04       192.168.1.4      86400       dhcp-snooping  10    Fa0/4
 Total number of bindings: 2

Vous ne remarquez rien ?

SW03 ne connait pas les postes PC01 et PC02 !!! Pourquoi ? Car il n’existait pas lorsque ces postes ont reçu leurs baux DHCP !!! Il va falloir qu’il le renouvelle pour avoir cette information !

Lorsque notre switch redémarre (volontairement ou non), il va perdre sa table DHCP snoonping avec toutes ses entrées !!! Il faut donc trouver une solution afin de sauvegarder cette base de données et de pouvoir la recharger en cas de redémarrage.

Switch(config)# ip dhcp snooping database [ flash | ftp | http | rcp | ftp ]

Chapitre 5

Conclusion

Le DHCP Snooping :

Protège votre topologie DHCP.
Est à activer sur tous les équipements pour ne pas avoir de faille de sécurité.
Lors de l’activation, part du principe que toutes vos interfaces sont en mode UNTRUSTED.
Créer une base de donnée DHCP SNOOPING DATABASE.

Le DHCP Snooping sert de base pour l’IP Source guard et le Dynamic ARP Inspection. Je vous donne donc rendez-vous sur l’article IP Source guard !!!

Merci de votre attention

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

CURSUS DE FORMATION

Administrateur Réseau

Les bases du réseau

La Partie Switching

La Partie Routing

Les Services

La Sécurité

Les VPNs

Le Spanning Tree

Présentation

Introduction au Spanning-Tree

Les protocoles

En pratique

Les options

Le protocole OSPF

Présentation

Le protocole OSPF

Les bases

Les tables OSPF

La Sécurité

Autres

Les types de réseau WAN

Le protocole EIGRP

Présentation

Le protocole EIGRP

Les échanges

Choix de la route

Choix du masque

Auto-summary
Summarization

Sécurité

Les réseaux Wi-Fi

Le signal Wifi :

Architecture Wifi:

Sécurité :

Formation
CCNA 200-301

Découvrir la formation

Le DHCP Snooping

Article de blog | Finger In The Net

Rappel DHCP

En théorie

En pratique

DHCP SNOOPING vs DHCP SNOOPING

Le DHCP Spoofing

Le DHCP Snooping

Où mettre en place le DHCP Snooping ?

Configuration du dhcp snooping

Scénario

Configuration du SWITCH 1

Configuration du SWITCH 2

Vérification de la configuration

Vérification de nos interfaces TRUST et UNTRUST

Vérification de la database DHCP Snooping

Agent DHCP Snooping

Conclusion

Sur le même thème

Noël NICOLAS

Auteur de l'article

Eric JOUFFRILLON

Co-auteur de l'article

Formation
CCNA 200-301

Les bases du réseau

La partie Switching

La partie ROUTING

Les services

La sécurité

Les VPNs

Spanning-Tree

Le DHCP Snooping

Article de blog | Finger In The Net

Rappel DHCP

En théorie

En pratique

DHCP SNOOPING vs DHCP SNOOPING

Le DHCP Spoofing

Le DHCP Snooping

Où mettre en place le DHCP Snooping ?

Configuration du dhcp snooping

Scénario

Configuration du SWITCH 1

Configuration du SWITCH 2

Vérification de la configuration

Vérification de nos interfaces TRUST et UNTRUST

Vérification de la database DHCP Snooping

Agent DHCP Snooping

Conclusion

Sur le même thème

Noël NICOLAS

Auteur de l'article

Eric JOUFFRILLON

Co-auteur de l'article

FormationCCNA 200-301

Les bases du réseau

La partie Switching

La partie ROUTING

Les services

La sécurité

Les VPNs

Spanning-Tree

Formation
CCNA 200-301