feat: part 1 done

content/04_dhcp.md

@@ -167,4 +167,92 @@ avec un intervalle de 10 secondes à chaque fois.
 
 ![Obtention d'IP chaque 10 secondes](../figs/dhcp_lease_ten_sec.png)
 
-## Protection du service par DHCP snooping
+### Protection du service par DHCP snooping
+
+
+1. Activation du DHCP snooping sur S1
+
+```ciscoIOS
+S1>en
+S1#conf t
+S1(config)#ip dhcp snooping
+S1(config)#ip dhcp snooping vlan 1
+S1(config)#interface GigabitEthernet 0/0
+S1(config-if)#ip dhcp snooping trust
+S1(config-if)#no shut
+```
+
+> Que fait exactement l’opération de DHCP snooping sur le switch ? Comment 
+choisit-on les interfaces qui sont trustées ?
+
+Le mécanisme de DHCP Snooping permet au switch sur lequel il a été configuré
+de "dropper" les paquets DHCP "non-trustés" (tout cela en bon français bien
+évidemment), de sorte à ce que les hôtes reliés au switches ne puissent pas
+obtenir d'offre provenante d'un "serveur" DHCP malveillant.
+
+En ce qui concerne le choix de l'interface trustées, il faut bien évidemment
+autorisé uniquement celle qui est relié à notre serveur DHCP "approuvé".
+
+2. Expliquer le résultat de la commande suivante sur S1
+
+```ciscoIOS
+sh ip dhcp snooping
+```
+
+Cette commande sur le switch S1 permet d'inspecter les interfaces du switches
+sur lesquelles ont été configuré DHCP snooping ainsi que sur quels VLANs cette
+option a été configurée.
+
+Dans "l'output" de la commande, il est aussi spécifié que l'option 82 qui correspond
+au "_relay agent information option_" est activé mais n'est pas disponible sur
+les interfaces non-trustées. L'option 82 est insérée par un relai quand il "forward"
+les informations du clients vers le serveur DHCP distant et vice-versa.
+
+![`sh ip dhcp snooping` sur S1](../figs/sh_dhcp_snooping.png) 
+
+3. Relancer une attaque depuis kali-linux-1. Est-ce que celle-ci est encore 
+effective ? Comment pouvez vous le vérifier.
+
+Non, à présent l'attaque échoue suite à la mise en place du DHCP snooping ainsi
+qu'en marquant l'interface `GigabitEthernet 0/0` comme la seule interface trustée.
+Nous pouvons voir sur la capture d'écran ci-dessus que le seul paquet intercepté
+au moment de l'attaque n'est même pas un paquet provenant de `kali-linux-1` mais
+de H1 qui porte l'IP : `10.9.8.13` qui probablement communiquait avec le serveur
+DHCP afin de renouveler son bail.
+
+![Attaque echouée depuis `kali-linux-1`](../figs/failed_attack_dhcp_snooping.png)
+
+
+4. Expliquer les messages de logs affichés par le switch pendant l’attaque.
+
+Sur la sortie standard du switch S1, le message ci-dessous apparaît. Il nous
+dit que le paquet DHCP va être droppé car l'adresse MAC contenu dans le paquet
+ne correspond pas à l'adresse MAC de l'interface (**chaddr**) utilisée pour
+communiqué avec l'hôte avant qu'il n'obtienne une IP.
+
+
+```ciscoIOS
+*Dec 14 17:34:46.435: %DHCP_SNOOPING-5-DHCP_SNOOPING_MATCH_MAC_FAIL: 
+DHCP_SNOOPING drop message because the chaddr doesn't match source mac, message
+type: DHCPDISCOVER, chaddr: dead.145a.129f, MAC sa: 0c45.0d70.0000
+```
+
+### Bilan et perspectives
+
+1. Expliquez en quoi l’activation de port security et l’activation d’un relai
+sont complémentaires à DHCP snooping
+
+L'activation de port security sur une interface d'un switch va permettre de
+limiter le nombre d'adresses MACs qui peuvent envoyer des paquets sur cette
+interface cependant elle ne pourra pas explicitement filtrer les paquets
+DHCP malveillants.
+
+L'activation d'un relai permettrait de communiquer avec un serveur DHCP distant
+ce qui évite d'avoir un serveur DHCP dans chaque sous-réseau cependant cela ne
+protège aucunement contre les attaques par épuisement de pool.
+
+Par conséquent, port security et une installation de relai sont complémentaires
+à DHCP snooping qui permet de "dropper" des paquets DHCP malveillants et de
+désigner explicitement des interfaces trustées sur un switch.
+
+## Partie 2