DHCP Snooping :: Cisco Switch sicher einrichten
Ein normaler DHCP-Server ist anfällig für viele Arten von Angriffen.
Ein Angreifer kann kann über viele DHCP-Discovers den IP-Pool des Servers verbrauchen.
Andere Clients erhalten dann keine IP-Adresse mehr. Über DHCP-Release kann ein Angreifer benutzte IP-Adressen
als frei melden. Für MITM- oder DoS-Attacken kann ein Angreifer selber einen DHCP-Server im Netz betreiben (rogue DHCP Server).
Mittels DHCP-Snooping kann ein Cisco-Switch diese Angriffe verhindern.
DHCP Snooping einrichten
DHCP-Snooping wird global aktiviert.
Zusätzlich müssen die VLANs eingestellt werden, für die DHCP-Snooping durchgeführt werden soll.
Das dritte Kommando sorgt (wenn gewünscht) für die automatische Reaktivierung eines Interfaces nach dem error disabled:
ip dhcp snooping
ip dhcp snooping vlan 1-100
errdisable recovery cause dhcp-rate-limit
Danach können die Interface in trusted und untrusted unterteilt werden.
Zusätzlich bietet Cisco die Möglichkeit, ein Rate Limit für jedes Interface zu setzen.
Die folgenden Interface-Kommandos setzen das Interface FastEthernet0/1 auf untrusted und erlauben 20 DHCP-Packete pro Sekunde.
GigabitEthernet0/1 ist der Uplink in Richtung DHCP-Server und daher trusted.
interface FastEthernet0/1
description Edge Port
no ip dhcp snooping trust
ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/1
description Uplink zum DHCP-Server
ip dhcp snooping trust
Im Log sieht das Ansprechen von DHCP-Snooping etwas so aus:
02:19:11: DHCPSN: Found ingress pkt on Fa0/1 VLAN 1
02:19:11: DHCP_SNOOPING: exceeded rate limit 20pps on Fa0/1
Trojaner installiert Rogue DHCP Server
Ende 2008 sind erste Trojaner aufgetaucht, die bösartige DHCP-Server einrichten.
Eine Variante der Malware DNSChanger installiert einen Treiber Ndisprot.sys als DHCP-Server.
Ein so infizierter PC verteilt an alle Stationen im LAN eine IP-Konfiguration, die
DNS-Server der Angreifer enthält. Zum Beispiel werden die 85.255.112.36 und 85.255.112.41
als DNS-Server eingetragen. Diese Server stehen in Odessa (Ukraine).
DHCP-Snooping verhindert diese Art von Angriffen wirkungsvoll. Der Switchport des
infizierten Clients wird sofort deaktiviert.
network lab Empfehlung
Aktivieren Sie DHCP-Snooping auf allen Edge Ports.
Inhalt
- Grundlagen
- Spanning Tree / BPDU-Guard
- Cisco Discovery Protocol (CDP)
- Trunking DTP / ISL / dot1q
- DHCP Snooping
- Dynamic ARP Inspection (DAI)
- Storm Control
- Port Security
- Beispielkonfigurationen
|