Qu’est-ce que le DHCP Snooping et comment ça marche ?

David Labroche
5 min readMay 31, 2021
FS.COM Boutique En Ligne Pour Équipements Réseau. Switch Ethernet Pro. Support Tech Gratuit. Stock Important. Livraison Rapide.
FS.COM Boutique En Ligne Pour Équipements Réseau

Les cyberattaques sont fréquentes. DHCP est devenu un point d’entrée pour les cybercriminels. DHCP simplifie l’adressage IP et la configuration du réseau, mais peut soulever des problèmes de sécurité. Dans cet article, nous allons présenter les termes DHCP et DHCP Snooping (surveillance DHCP) pour vous aider à éviter des attaques DHCP.

Qu’est-ce que le DHCP Snooping ?

DHCP (Dynamic Host Configuration Protocol) est un protocole qui attribue dynamiquement et automatiquement des adresses IP dans un réseau. Vous n’avez pas besoin de configurer les postes qui se connectent. Tout se fait automatiquement et rapidement. Avec moins de contrôles, l’automatisation DHCP pose des problèmes de sécurité. Il y a une solution pour résoudre ce problème : DHCP Snooping.

DHCP Snooping est une technologie de sécurité de couche 2 du modèle OSI intégrée dans le système d’exploitation d’un commutateur réseau capable qui connecte les clients aux serveurs DHCP et supprime le trafic DHCP jugé inacceptable. Il empêche les serveurs DHCP non autorisés qui offrent des adresses IP aux clients DHCP. La fonction DHCP Snooping permet d’effectuer les activités suivantes :

  • Valide les messages DHCP provenant de sources non fiables et filtre les messages invalides.
  • Construit et maintient la base de données de liaison DHCP Snooping, qui contient des informations sur les hôtes non fiables avec des adresses IP louées.
  • Utilise la base de données de liaison DHCP Snooping pour valider les requêtes ultérieures des hôtes non fiables.

Comment fonctionne le DHCP Snooping ?

Avant de voir comment se protéger des attaques DHCP, regardons comment fonctionne le protocole DHCP. Avec le DHCP activé, un équipement réseau sans adresse IP “dialoguera” avec le serveur DHCP en 4 étapes de la manière suivante.

  • DHCP Discovery — Un client DHCP envoie un paquet de diffusion comprenant son nom et son adresse MAC pour trouver un serveur DHCP.
  • DHCP Offer — Un serveur DHCP répond à Discovery avec une offre pour une adresse IP disponible.
  • DHCP Request — Le client DHCP répond ensuite par une DHCP REQUEST pour demander au serveur DHCP l’adresse IP proposée.
  • DHCP Ack — Le serveur DHCP envoie un DHCP ACK pour informer le client qu’il est autorisé à utiliser l’adresse IP demandée qui lui est attribuée.

DHCP Snooping catégorise généralement les interfaces sur le switch en deux catégories : ports “trusted” (de confiance) et “untrusted” (non fiables). Un port autorisé ou fiable, est un port ou une source dont les messages du serveur DHCP sont autorisés. Un port non fiable est un port à partir duquel les messages du serveur DHCP ne sont pas fiables. Si le DHCP snooping est lancé, le message d’offre DHCP ne peut être envoyé que par le port fiable. Sinon, il sera abandonné. Avec ce type de procédé, lorsque le switch FS S3900–24T4S reçoit un « DHCP Discover », il le transmettra uniquement sur les interfaces autorisées. Ce qui empêche donc, les faux DHCP, de recevoir ce type de demande en premier.

Lors de l’étape de confirmation, un tableau de liaison DHCP sera créé en fonction du message DHCP ACK. Il enregistre l’adresse MAC de l’hôte, l’adresse IP louée, la durée de location, le type de liaison, le numéro VLAN et les informations d’interface associées à l’hôte. Si le paquet DHCP successif reçu de la part d’hôtes non fiables ne correspond pas à l’information, il sera abandonné.

Cyberattaques évitées grâce au DHCP Snooping

La menace des attaques qui se servent du DHCP se fait de plus en plus pressante. Nous allons examiner 2 types des attaques DHCP courantes, y compris Spoofing DHCP et DHCP Starvation.

Attaque DHCP Spoofing

DHCP Spoofing (usurpation d’identité DHCP) se produit lorsqu’un attaquant tente de répondre aux demandes DHCP et tente de se faire passer (spoof) pour la passerelle (Gateway) ou le serveur DNS par défaut, ce qui déclenche une attaque de l’homme du milieu (Man In The Middle ou MITM). Avec cela, il est possible qu’ils puissent intercepter le trafic des utilisateurs avant de le rediriger vers la passerelle (Gateway) réelle ou effectuer des DoS (Denial of Service Attack, Attaque par déni de service en français) en inondant le serveur DHCP réel de demandes visant à étouffer les adresses IP des ressources.

Attaque DHCP Starvation

DHCP Starvation (attaque par épuisement de ressources) cible généralement les serveurs DHCP du réseau, dans le but d’inonder le serveur DHCP autorisé de messages de demandes DHCP REQUEST en utilisant des adresses MAC source spoofées. Le serveur DHCP répondra à toutes les demandes, ne sachant pas qu’il s’agit d’une attaque, en lui attribuant les adresses IP disponibles, entraînant l’épuisement du stock DHCP. Les vrais clients ne pourront plus obtenir d’adresse IP : le trafic réseau sera paralysé.

Comment configurer le DHCP Snooping ?

Le DHCP Snooping n’est applicable qu’aux utilisateurs câblés. En tant que fonction de sécurité de la couche d’accès, elle est principalement activée sur tout switch contenant des ports d’accès dans un VLAN géré par DHCP. Lors du déploiement du DHCP Snooping, vous devez configurer les ports fiables (les ports par lesquels les messages légitimes du serveur DHCP seront transmis) avant d’activer le DHCP Snooping sur le VLAN que vous souhaitez protéger.

La configuration DHCP Snooping peut être effectuée dans l’interface CLI (Command Line Interface) et dans le Web GUI (Graphical User Interface). Pour plus de détails sur la configuration DHCP Snooping via CLI, veuillez consulter l’article Configuration DHCP Snooping sur les switchs FS S3900. La configuration du DHCP Snooping via le Web s’effectuent 20 secondes. La vidéo suivante montre comment le configurer sur les switchs FS S5860.

Conclusion

Bien que le DHCP simplifie l’adressage IP, il soulève en même temps des problèmes de sécurité. DHCP Snooping, l’un des mécanismes de protection, peut empêcher les adresses DHCP invalides du serveur DHCP indésirable et peut repousser une attaque qui épuise les ressources et tente d’utiliser toutes les adresses DHCP existantes.

FS propose un portefeuille complet de solutions et de produits de commutation pour les entreprises de toutes tailles, y compris switch PoE+, switch 1G/10G et switch 25G/40G/100G haut de gamme. Tous les switchs FS peuvent exploiter pleinement cette fonction de sécurité pour protéger votre réseau. Pour plus de détails, veuillez nous contacter via fr@fs.com.

À Voir Aussi :

Quelle est la différence entre DHCP et DNS ?

Quelle est la différence entre DHCP et IP statique ?

Quelle est la différence entre DHCP et PPPoE ?

--

--

David Labroche

Je suis nouvelle dans le domaine de la communication optique, mais avoir plein de passion pour cette carrière. Je travaille chez FS.COM.