Segurança em redes locais V:Protegendo-se de DHCP Spoofing usando DHCP Snooping

Na ultima matéria falamos de IP Spoofing.

Um atacante no intuito de conseguir capturar tráfego dentro duma rede interna pode introduzir um servidor DHCP ilegal a seu serviço na rede de tal modo que este também atribua endereços as maquinas clientes. Se a resposta do servidor DHCP do atacante chegar primeiro que a do servidor DHCP legal então o atacante pode induzir a que o tráfego passe por ele. Para mais informações sobre DHCP ler este artigo.

Pela figura acima, nota-se que o atacante tira proveito de estar mais próximo do cliente. A sua resposta ao cliente chega primeiro e claro, ela contem endereços IP e Gateway(GW) que fazem tráfego do cliente passar exactamente pela maquina do atacante.

Os comutadores Cisco possuem uma característica que permite combater ataques deste género: portas untrusted e trusted. Se a porta está no estado trusted ela pode receber respostas DHCP do tipo DHCPOFFER e DHCPACK. Se está no estado untrusted ela nao pode receber respostas DHCP. A porta no estado untrusted é desabilitada se uma resposta DHCP chega nela.

Quem tira partido disso são os comutadores Cisco da linha Catalyst (não consultei em quais versões na sua totalidade) que possuem a tecnologia DHCP Snooping. Para activar o DHCP Snooping, é preciso activa-lo globalmente e depois por interface:

(config)#ip dhcp snooping

Pode também ser activado por VLAN:

(config)#ip dhcp snooping vlan 20-25, 70, 1

Para configurar uma porta em modo trusted é necessário estar em modo de configuração de interface:

(config)#int fa0/0
(config-if)#ip dhcp snooping trust

Nos comutadores Catalyst por defeito se uma porta não for configurada explicitamente como trusted, ela é considerada como untrusted, daí não ser necessário perder muito tempo com configurações.