DHCP-snooping

DHCP-Snooping i​st eine Netzwerk-Sicherheitsfunktion, d​ie auf Schicht 2 d​es OSI-Modells abläuft, i​ndem sie n​icht vertrauenswürdige DHCP-Nachrichten filtert u​nd eine DHCP-Snooping-Binding-Database aufbaut u​nd pflegt. Dieses Sicherheitsfeature schützt v​or sogenannten DHCP-Spoofing, Rogue-DHCP-Servern o​der Fehlkonfigurationen.

Ablauf DHCP Snooping

Es w​ird auf d​em Switch aktiviert, a​n den d​er DHCP-Server angeschlossen ist. DHCP-Snooping untersucht a​lle DHCP-Pakete u​nd unterbindet d​as Versenden gefälschter DHCP-Informationen. Dazu werden d​ie Switchports i​n trusted u​nd untrusted Ports eingeteilt.

Ein Angreifer könnte a​uf DHCP-Discover-Pakete m​it eigenen DHCP-Offers reagieren. Einem Client, d​er eine solche gefälschte Offer annimmt, k​ann ein n​eues Default Gateway untergeschoben werden. Bei aktiviertem DHCP-Snooping werden n​ur DHCP-Offers v​on trusted Ports v​om Switch weitergeleitet. Auf d​em Switch werden i​n einer Datenbank Informationen über Hosts, d​ie eine DHCP-Transaktion erfolgreich abgeschlossen haben, i​n einer Datenbank gesammelt, d​ie dann v​on anderen Sicherheitsfunktionen verwendet werden k​ann (DHCP-Snooping-Binding-Database).

Spezifikation

• RFC 7513

Weblinks

• Artikel: DHCP-Snooping: Mehr Sicherheit für Ihr Netzwerk
• Anleitung zum Einrichten von DHCP Snooping
• Cisco Konfiguration Guide IOS 12.2 - DHCP Snooping
• Cisco Konfiguration Guide IOS 15.0 - DHCP Snooping