Le DHCP Spoofing

[Slectionn
ez la date]

Prsentation :
Je vous met un petit rappel sur le DHCP :

DHCP pour
Dynamic Host Configuration
Protocol.
Il s'agit d'un protocole rseau qui permet d'assigner une adresse IP, un masque de sous-rseau ou
encore une passerelle par dfaut des quipements informatiques (ordinateurs, imprimantes,
tlcopieurs...).
Voici le processus de rcupration d'une adresse IP via un service DHCP :

1.

DHCP Discover : Votre ordinateur envoi un DHCP Discover. Comme ce dernier n'a pas encore
d'adresse IP, il envoie une trame de type broadcast (= diffusion) avec comme adresse MAC de
destination FF:FF:FF:FF:FF:FF afin d'obtenir la liste des serveurs DHCP disponibles

2.

DHCP Offer : Les serveurs DHCP prsent sur le rseau rpondent avec un DHCP Offer, offrant ainsi une
configuration IP votre ordinateur

3.

DHCP Request : Votre ordinateur prcisera tous les serveurs DHCP celui qu'il aura choisi et enverra
un DHCP Request

4.

DHCP Ack : Le serveur DHCP choisi confirme votre ordinateur que sa requte est bien prise en
compte via un DHCP Ack

Voici un exemple de rcupration dadresse via un serveur DHCP :

Le DHCP Spoofing

[Slectionn
ez la date]

Le DHCP Spoofing :

Il s'agit d'usurpation DHCP. Le pirate informatique va tout simplement, au cours de la rcupration

d'une adresse IP, vous donner de mauvaises informations. Il va par exemple rediriger le trafic vers sa
machine pour rcuprer des informations (ex : coordonnes bancaires)

Le DHCP Snoofing (=surveillance rseau) :

Cest La parade au Spoofing, l'ide est de prciser o trouver les bons serveurs DHCP. Pour cela on prcise sur
le switch (= commutateur) sur quelles interfaces trouver les serveurs DHCP authentiques.
Sur l'exemple vu un peu plus haut on peut voir que le serveur DHCP est raccord au port fa 0/24 du switch.
L'ide est de spcifier que cette interface est un port dit "trusted" (= port de confiance). Ainsi, les ports
"trusted" pourront emmtre des requtes DHCP Offer et DHCP Ack alors que l'quipement du pirate
informatique ne sera pas sur une interface de confiance (= unstrusted). Ses requtes seront alors ignores.

Mise en place sur des quipements CISCO :

Le DHCP Snooping peut fonctionner de manire globale sur l'ensemble du switch (et donc sur
l'ensemble de ses ports) mais aussi dans un VLAN particulier.
Voici les tapes suivre pour la mise en place sur des quipements de type CISCO :

Switch(config)# ip dhcp snooping

Switch(config)# ip dhcp snooping vlan X
Switch(config)# ip dhcp snooping information option
Switch(config)# interface fastethernet0/24
Switch(config-if)# ip dhcp snooping trust

Le DHCP Spoofing

[Slectionn
ez la date]
Switch(config-if)# ip dhcp snooping limit rate X
1.
2.
3.
4.
5.
6.

Mise en place du DHCP Snooping sur le switch (de faon globale)

Mise en place du DHCP Snooping sur un VLAN en particulier
Activation de l'option 82
On slectionne l'interface fa 0/24 pour la configurer
On dclare le port en tant qu'interface de confiance
Permet de dfinir le maximum de requtes que l'interface traitera (en seconde)

Conseils de scurit
Pour garantir la scurit sur votre rseau et viter ce genre d'attaques, voici quelques conseils :

Restreindre le nombre d'adresses MAC autorises par interface sur vos switch
Dsactiver les interfaces non utilises sur vos quipements (afin d'viter que n'importe qui puisse se
raccorder sur votre rseau)
Assigner des adresses IP fixes sur vos serveurs
Si vous tes sur un rseau petite chelle, mettre l'ensemble du parc en IP fixe
Diffrencier les services DHCP (un ddi pour les clients Wifi, un pour le rseau classique...)

Conclusion : Afin de contrer les attaques dun pirate qui voudrait rediriger les requtes vers sa machine (DHCP
spoofing), il est utile dutiliser le DHCP Snooping qui permet dattribuer un port dit trusted (= port de
confiance) est de nautoriser que celui-ci envoyer des requtes.