Naar inhoud springen

DHCP-snooping

Uit Wikipedia, de vrije encyclopedie

DHCP-snooping is een netwerktechniek, die wordt gebruikt om een local area network te beveiligen tegen ongeauthoriseerde DHCP-servers.

Een hacker die toegang heeft tot een netwerk, heeft de mogelijkheid een eigen DHCP-server aan te koppelen die zelf ip-adressen uitdeelt aan client-pc's die zich aanmelden op het netwerk en daarmee hun netwerkverkeer te onderscheppen en te gebruiken voor illegale doeleinden. Met DHCP-snooping wordt een vertrouwde of onvertrouwde status toegekend aan een switchpoort. Hierdoor wordt het mogelijk dat enkel de voor de netwerkbeheerder bekende DHCP-servers op vertrouwde switchpoorten ip-adressen uitgeven. Een illegale DHCP-server, die op een willekeurige host achter een onvertrouwde switchpoort is aangesloten, kan geen adres meer toekennen.

DHCP-snooping bouwt een database voor alle clients die op een onvertrouwde poort zijn aangesloten. In deze database worden dynamisch voor iedere poort het MAC-adres, ip-adres, de DHCP-lease-tijd, het DHCP-bindingtype en het VLAN opgeslagen.

DHCP-snooping valideert ieder DHCP-netwerkpakket (DHCPOFFER, DHCPACK, DHCPNAK, of DHCPLEASEQUERY), dat van een DHCP-server op een onvertrouwde interface binnenkomt. Het is mogelijk om meer opties te configureren, waarmee extra beveiliging kan worden gerealiseerd.

De DHCP-snooping database wordt ook voor andere beveiligingstechnieken gebruikt, zoals ARP-inspection en IP source guard.