DHCP Snooping — это технология сетевой безопасности, предназначенная для защиты от атак, связанных с протоколом DHCP (Dynamic Host Configuration Protocol). Она реализуется на коммутаторах уровня L2 и играет ключевую роль в предотвращении угроз, таких как поддельные DHCP-серверы или перехват трафика.
Для чего нужен DHCP Snooping?
Основные угрозы, которые она устраняет:
1. Поддельные DHCP-серверы
Злоумышленник может развернуть неавторизованный DHCP-сервер, чтобы раздавать клиентам ложные настройки (например, указать себя как шлюз по умолчанию). Это позволяет перехватывать трафик (атака MITM — «человек посередине»).
2. DHCP Starvation
Атака, при которой злоумышленник отправляет множество запросов на аренду IP-адресов, исчерпывая пул доступных адресов и вызывая отказ в обслуживании.
3. Перенаправление трафика
Ложные DHCP-ответы могут направлять клиентов на вредоносные DNS-серверы или шлюзы.
Как работает DHCP Snooping?
1. Разделение портов на доверенные и ненадежные
- Доверенные порты (trusted): Порт, к которому подключен легитимный DHCP-сервер. Через него разрешены все DHCP-сообщения — на доверенных портах проверка входящих DHCP-сообщений проводиться не буде
- Ненадежные порты (untrusted): Порт, подключенный к клиентам. На таких портах коммутатор блокирует DHCP-ответы от непроверенных источников.
2. Фильтрация DHCP-сообщений
Коммутатор проверяет все входящие DHCP-пакеты на недоверенных портах.
- На ненадежных портах разрешены только запросы от клиентов (DHCPDISCOVER, DHCPREQUEST).
Недоверенный порт будет отбрасывать DHCP-сообщения в следующих случаях
- Если получены сообщения DHCPOFFER, DHCPACK и DHCPNAK.
- Если в поле Relay Agent IP address DHCP-сообщения указан адрес отличный от 0.0.0.0 или имеется опция 82.
- При несовпадении МАС-адреса источника в заголовке Ethernet с МАС-адресом клиента, указанным в поле Client MAC address сообщения DHCP, если администратором была настроена проверка МАС-адреса.
- Если от узла, для которого имеется запись в таблице привязки DHCP Snooping, получены сообщения DHCPRELEASE, DHCPDECLINE, но номер порта, который их принял, отличается от номера порта, указанного в таблице.
Ответы от серверов (DHCPOFFER, DHCPACK) на ненадежных портах блокируются. Это предотвращает работу поддельных DHCP-серверов.
3. Построение Binding Table
Коммутатор создает таблицу соответствий (DHCP Snooping Binding Database), где хранит информацию о клиентах:
- MAC-адрес клиента.
- Выделенный IP-адрес.
- VLAN, срок аренды адреса и порт подключения.
Эта таблица используется другими технологиями безопасности (например, Dynamic ARP Inspection или IP Source Guard).
Преимущества технологии
- Защита от MITM-атак: Блокировка поддельных DHCP-серверов предотвращает перехват трафика.
- Предотвращение DHCP Starvation: Анализ DHCP-запросов помогает выявлять аномальную активность.
- Улучшение контроля сети: Binding Table позволяет отслеживать легитимные устройства и их IP-адреса.
- База для других механизмов безопасности: Данные DHCP Snooping используются в Dynamic ARP Inspection (DAI) и IP Source Guard для проверки подлинности ARP-запросов и IP-адресов.
Пример настройки
На коммутаторе D-Link со стандартным CLI:
Активировать функцию DHCP Snooping глобально на коммутаторе
Switch# configure terminal
Switch(config)# ip dhcp snooping
Включить функцию DHCP Snooping в VLAN:
Switch(config)# ip dhcp snooping vlan 1
Настроить доверенный порт, к которому подключен DHCP-сервер:
Switch(config)# interface ethernet 1/0/23
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# exit
Указать максимальное количество записей в таблице DHCP Snooping на порт:
Switch(config)# interface range ethernet 1/0/1-22
Switch(config-if-range)# ip dhcp snooping limit entries 1
Функция DHCP Snooping может использоваться совместно с функциями Dynamic ARP Inspection (DAI) и IP Source Guard для защиты от атак IP/ARP Spoofing.
Ограничения
- Требует ручной настройки доверенных портов.
- Не защищает от всех видов атак (например, нужна дополнительно настройка DAI для защиты от ARP-спуфинга).