Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Know How

DHCP Snooping :: Cisco Switch sicher einrichten

Ein normaler DHCP-Server ist anfällig für viele Arten von Angriffen. Ein Angreifer kann kann über viele DHCP-Discovers den IP-Pool des Servers verbrauchen. Andere Clients erhalten dann keine IP-Adresse mehr. Über DHCP-Release kann ein Angreifer benutzte IP-Adressen als frei melden. Für MITM- oder DoS-Attacken kann ein Angreifer selber einen DHCP-Server im Netz betreiben (rogue DHCP Server).

Mittels DHCP-Snooping kann ein Cisco-Switch diese Angriffe verhindern.

DHCP Snooping einrichten

DHCP-Snooping wird global aktiviert. Zusätzlich müssen die VLANs eingestellt werden, für die DHCP-Snooping durchgeführt werden soll. Das dritte Kommando sorgt (wenn gewünscht) für die automatische Reaktivierung eines Interfaces nach dem error disabled: 

ip dhcp snooping
ip dhcp snooping vlan 1-100
errdisable recovery cause dhcp-rate-limit

Danach können die Interface in trusted und untrusted unterteilt werden. Zusätzlich bietet Cisco die Möglichkeit, ein Rate Limit für jedes Interface zu setzen. Die folgenden Interface-Kommandos setzen das Interface FastEthernet0/1 auf untrusted und erlauben 20 DHCP-Packete pro Sekunde. GigabitEthernet0/1 ist der Uplink in Richtung DHCP-Server und daher trusted. 

interface FastEthernet0/1
 description Edge Port
 no ip dhcp snooping trust
 ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/1
 description Uplink zum DHCP-Server
 ip dhcp snooping trust

Im Log sieht das Ansprechen von DHCP-Snooping etwas so aus: 

02:19:11: DHCPSN: Found ingress pkt on Fa0/1 VLAN 1
02:19:11: DHCP_SNOOPING: exceeded rate limit 20pps on Fa0/1

Trojaner installiert Rogue DHCP Server

Ende 2008 sind erste Trojaner aufgetaucht, die bösartige DHCP-Server einrichten. Eine Variante der Malware DNSChanger installiert einen Treiber Ndisprot.sys als DHCP-Server. Ein so infizierter PC verteilt an alle Stationen im LAN eine IP-Konfiguration, die DNS-Server der Angreifer enthält. Zum Beispiel werden die 85.255.112.36 und 85.255.112.41 als DNS-Server eingetragen. Diese Server stehen in Odessa (Ukraine).

DHCP-Snooping verhindert diese Art von Angriffen wirkungsvoll. Der Switchport des infizierten Clients wird sofort deaktiviert.

network lab Empfehlung

Aktivieren Sie DHCP-Snooping auf allen Edge Ports.

 

Inhalt

  1. Grundlagen
  2. Spanning Tree / BPDU-Guard
  3. Cisco Discovery Protocol (CDP)
  4. Trunking DTP / ISL / dot1q
  5. DHCP Snooping
  6. Dynamic ARP Inspection (DAI)
  7. Storm Control
  8. Port Security
  9. Beispielkonfigurationen

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012