DHCP-Snooping ist eine Netzwerk-Sicherheitsfunktion, die auf Schicht 2 des OSI-Modells abläuft, indem sie nicht vertrauenswürdige DHCP-Nachrichten filtert und eine DHCP-Snooping-Binding-Database aufbaut und pflegt. Dieses Sicherheitsfeature schützt vor sogenannten DHCP-Spoofing, Rogue-DHCP-Servern oder Fehlkonfigurationen.
Es wird auf dem Switch aktiviert, an den der DHCP-Server angeschlossen ist. DHCP-Snooping untersucht alle DHCP-Pakete und unterbindet das Versenden gefälschter DHCP-Informationen. Dazu werden die Switchports in trusted und untrusted Ports eingeteilt.
Ein Angreifer könnte auf DHCP-Discover-Pakete mit eigenen DHCP-Offers reagieren. Einem Client, der eine solche gefälschte Offer annimmt, kann ein neues Default Gateway untergeschoben werden. Bei aktiviertem DHCP-Snooping werden nur DHCP-Offers von trusted Ports vom Switch weitergeleitet. Auf dem Switch werden in einer Datenbank Informationen über Hosts, die eine DHCP-Transaktion erfolgreich abgeschlossen haben, in einer Datenbank gesammelt, die dann von anderen Sicherheitsfunktionen verwendet werden kann (DHCP-Snooping-Binding-Database).
Spezifikation
- RFC – Source Address Validation Improvement (SAVI) Solution for DHCP. Mai 2015 (englisch).