Sécurité du commutateur : gestion et implémentation

Sécurité des ports de commutateur

La surveillance DHCP est une fonction de Cisco Catalyst qui détermine quels ports du commutateur sont en mesure de répondre aux requêtes DHCP. Les ports sont identifiés comme étant fiables et non fiables. Les ports fiables peuvent obtenir tous les messages DHCP, y compris les paquets des offres et des accusés de réception DHCP. Les ports non fiables peuvent uniquement obtenir les demandes. Les ports fiables hébergent un serveur DHCP ou peuvent offrir une liaison montante vers le serveur DHCP. Si un périphérique non autorisé sur un port non fiable tente d'envoyer un paquet d'offre DHCP sur le réseau, le port est arrêté. Vous pouvez associer cette fonction aux options DHCP dans lesquelles des informations concernant le commutateur, notamment l'ID de port de la requête DHCP, peuvent être incluses dans le paquet de requêtes DHCP.

Comme illustré aux Figures 1 et 2, les ports non fiables sont les ports autres que ceux configurés explicitement comme fiables. Une table de liaison DHCP est construite pour les ports non fiables. Chaque entrée contient une adresse MAC cliente, une adresse IP, une durée de bail, un type de liaison, un numéro de VLAN et un ID de port enregistrés à mesure que les clients soumettent des requêtes DHCP. La table sert ensuite à filtrer le trafic DHCP qui suit. Du point de vue de la surveillance DHCP, les ports d'accès non fiables ne doivent envoyer aucun message de serveur DHCP.

La procédure ci-après illustre la manière de configurer la surveillance DHCP sur un commutateur Cisco Catalyst 2960 :

Étape 1. Activez la surveillance DHCP à l'aide de la commande de mode de configuration globale ip dhcp snooping.

Étape 2. Activez la surveillance DHCP pour des VLAN spécifiques au moyen de la commande ip dhcp snooping vlan nombre.

Étape 3. Au niveau de l'interface, définissez les ports comme étant fiables en définissant les ports fiables avec la commande ip dhcp snooping trust.

Étape 4. (Facultatif) Pour limiter la fréquence à laquelle un pirate peut perpétuellement transmettre de fausses requêtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcp snooping limit rate fréquence.