quinta-feira, 26 de julho de 2018

DHCP Snooping - Prevenção de servidores DHCP falsos

Hoje vim falar para vocês sobre um problema recorrente e de certa forma bastante comum em redes de computadores de médio a grande porte que é a inserção de servidores DHCP falsos sejam advindos de algum ataque à rede ou através de uma inserção incorreta de algum roteador sem fio conectado em uma das portas onde o DHCP Server esteja ativado. A primeira é mais difícil de identificar e a segunda irá causar transtornos nos usuários da rede pela falta de conectividade.
Contudo há uma forma de prevenir este tipo de problema com a configuração de um recurso chamado DHCP snooping.

Vamos ao cenário!



Nós já conhecemos que o serviço DHCP ou Dynamic Host Configuration Protocol, em português, protocolo de configuração dinâmica de host é um serviço que informa aos dispositivos da rede os parâmetros desta para que o terminal tenha acesso aos recursos da mesma.
Qualquer dispositivo que possui o serviço de DHCP cliente ativo, e ao ingressar na rede inicia o processo de descoberta dos servidores DHCP presente no enlace, ele pode receber uma ou várias ofertas de endereço e escolhe uma delas para o seu uso. O servidor então sinaliza positivamente o seu uso ou não. Lembrando que não é meu proposito entrar em detalhes do funcionamento deste protocolo.
Um problema comum que ocorre é quando alguém sem avisar conecta um roteador wireless em qualquer porta LAN onde o serviço DHCP também está ativo, na mesma rede dos demais computadores, agora temos dois serviços DHCP concorrendo entre si, sendo que somente um possui os parâmetros corretos.
Para prevenir este tipo de situação existe um recurso presente em diversos switchs gerenciáveis como os switches Catalyst da Cisco através de um recurso denominado DHCP Snooping.
Este recurso determina por padrão que todas as portas do switch não são confiáveis para transmitir as mensagens do DHCP, assim basta configurar qual porta é a confiável, a qual está conectado o servidor DHCP ou também pode ser a porta TRUNK que está conectada a outros swicths em cascata.
Este recurso irá direcionar as mensagens de descoberta do DHCP somente para a porta que foi configurada como confiável.

Vou demonstrar na prática como configurar este recurso.




  1. Switch(config)# ip dhcp snooping
  2. Switch(config)# ip dhcp snooping vlan 1
  3. Switch(config)# interface range e0/1 - 10
  4. Switch(config-if-range)# ip dhcp snooping limit rate 5 
  5. Switch(config-if-range)# interface e0/0
  6. Switch(config-if)# ip dhcp snooping trust  
  7. Switch(config-if)# end 
  8. Switch# show ip dhcp snooping
Estes são os comandos que foram digitados na aula em vídeo com exceção das linhas 3 e 4. As linhas 1 e 2 ativam o recurso, respectivamente, de modo geral e especificamente na vlan 1, porém este último comando deve ser repetido em todas as vlans existentes. A linha 3 seleciona de uma vez diversas interfaces e a linha 4 as configura de modo que limita o número de pacotes DHCP por segundo (pps) que uma interface pode receber. A linha 5 seleciona outra interface para que na linha 6 ele seja configurada como confiável. Veja no vídeo acima o funcionamento deste recurso.

Referências: