DHCP-Snooping ist eine Netzwerk-Sicherheitsfunktion, die auf Schicht 2 des OSI-Modells abläuft, indem sie nicht vertrauenswürdige DHCP-Nachrichten filtert und eine DHCP-Snooping-Binding-Database aufbaut und pflegt. Dieses Sicherheitsfeature schützt vor sogenannten DHCP-Spoofing, Rogue-DHCP-Servern oder Fehlkonfigurationen.

Es wird auf dem Switch aktiviert, an den der DHCP-Server angeschlossen ist. DHCP-Snooping untersucht alle DHCP-Pakete und unterbindet das Versenden gefälschter DHCP-Informationen. Dazu werden die Switchports in trusted und untrusted Ports eingeteilt.

Ein Angreifer könnte auf DHCP-Discover-Pakete mit eigenen DHCP-Offers reagieren. Einem Client, der eine solche gefälschte Offer annimmt, kann ein neues Default Gateway untergeschoben werden. Bei aktiviertem DHCP-Snooping werden nur DHCP-Offers von trusted Ports vom Switch weitergeleitet. Auf dem Switch werden in einer Datenbank Informationen über Hosts, die eine DHCP-Transaktion erfolgreich abgeschlossen haben, in einer Datenbank gesammelt, die dann von anderen Sicherheitsfunktionen verwendet werden kann (DHCP-Snooping-Binding-Database).

Spezifikation

  • RFC 7513 Source Address Validation Improvement (SAVI) Solution for DHCP. Mai 2015 (englisch).
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.