diff --git a/content/04_dhcp.md b/content/04_dhcp.md index 1e992beec65b1d9e26d180d33aba4b561166b65c..2d22423d0b21b374f0414645ead9aa10a5b07368 100644 --- a/content/04_dhcp.md +++ b/content/04_dhcp.md @@ -167,4 +167,92 @@ avec un intervalle de 10 secondes à chaque fois.  -## Protection du service par DHCP snooping +### Protection du service par DHCP snooping + + +1. Activation du DHCP snooping sur S1 + +```ciscoIOS +S1>en +S1#conf t +S1(config)#ip dhcp snooping +S1(config)#ip dhcp snooping vlan 1 +S1(config)#interface GigabitEthernet 0/0 +S1(config-if)#ip dhcp snooping trust +S1(config-if)#no shut +``` + +> Que fait exactement l’opération de DHCP snooping sur le switch ? Comment +choisit-on les interfaces qui sont trustées ? + +Le mécanisme de DHCP Snooping permet au switch sur lequel il a été configuré +de "dropper" les paquets DHCP "non-trustés" (tout cela en bon français bien +évidemment), de sorte à ce que les hôtes reliés au switches ne puissent pas +obtenir d'offre provenante d'un "serveur" DHCP malveillant. + +En ce qui concerne le choix de l'interface trustées, il faut bien évidemment +autorisé uniquement celle qui est relié à notre serveur DHCP "approuvé". + +2. Expliquer le résultat de la commande suivante sur S1 + +```ciscoIOS +sh ip dhcp snooping +``` + +Cette commande sur le switch S1 permet d'inspecter les interfaces du switches +sur lesquelles ont été configuré DHCP snooping ainsi que sur quels VLANs cette +option a été configurée. + +Dans "l'output" de la commande, il est aussi spécifié que l'option 82 qui correspond +au "_relay agent information option_" est activé mais n'est pas disponible sur +les interfaces non-trustées. L'option 82 est insérée par un relai quand il "forward" +les informations du clients vers le serveur DHCP distant et vice-versa. + + + +3. Relancer une attaque depuis kali-linux-1. Est-ce que celle-ci est encore +effective ? Comment pouvez vous le vérifier. + +Non, à présent l'attaque échoue suite à la mise en place du DHCP snooping ainsi +qu'en marquant l'interface `GigabitEthernet 0/0` comme la seule interface trustée. +Nous pouvons voir sur la capture d'écran ci-dessus que le seul paquet intercepté +au moment de l'attaque n'est même pas un paquet provenant de `kali-linux-1` mais +de H1 qui porte l'IP : `10.9.8.13` qui probablement communiquait avec le serveur +DHCP afin de renouveler son bail. + + + + +4. Expliquer les messages de logs affichés par le switch pendant l’attaque. + +Sur la sortie standard du switch S1, le message ci-dessous apparaît. Il nous +dit que le paquet DHCP va être droppé car l'adresse MAC contenu dans le paquet +ne correspond pas à l'adresse MAC de l'interface (**chaddr**) utilisée pour +communiqué avec l'hôte avant qu'il n'obtienne une IP. + + +```ciscoIOS +*Dec 14 17:34:46.435: %DHCP_SNOOPING-5-DHCP_SNOOPING_MATCH_MAC_FAIL: +DHCP_SNOOPING drop message because the chaddr doesn't match source mac, message +type: DHCPDISCOVER, chaddr: dead.145a.129f, MAC sa: 0c45.0d70.0000 +``` + +### Bilan et perspectives + +1. Expliquez en quoi l’activation de port security et l’activation d’un relai +sont complémentaires à DHCP snooping + +L'activation de port security sur une interface d'un switch va permettre de +limiter le nombre d'adresses MACs qui peuvent envoyer des paquets sur cette +interface cependant elle ne pourra pas explicitement filtrer les paquets +DHCP malveillants. + +L'activation d'un relai permettrait de communiquer avec un serveur DHCP distant +ce qui évite d'avoir un serveur DHCP dans chaque sous-réseau cependant cela ne +protège aucunement contre les attaques par épuisement de pool. + +Par conséquent, port security et une installation de relai sont complémentaires +à DHCP snooping qui permet de "dropper" des paquets DHCP malveillants et de +désigner explicitement des interfaces trustées sur un switch. + +## Partie 2 diff --git a/figs/failed_attack_dhcp_snooping.png b/figs/failed_attack_dhcp_snooping.png new file mode 100644 index 0000000000000000000000000000000000000000..646a74e5055ea1c7e38dbf28f8187c0e1ae9624a Binary files /dev/null and b/figs/failed_attack_dhcp_snooping.png differ diff --git a/figs/sh_dhcp_snooping.png b/figs/sh_dhcp_snooping.png new file mode 100644 index 0000000000000000000000000000000000000000..e2bf8011445888896b5f3dd30393d8bd4f171ce9 Binary files /dev/null and b/figs/sh_dhcp_snooping.png differ