Segurança em redes locais V:Protegendo-se de DHCP Spoofing usando DHCP Snooping

Na ultima matéria falamos de IP Spoofing.

Um atacante no intuito de conseguir capturar tráfego dentro duma rede interna pode introduzir um servidor DHCP ilegal a seu serviço na rede de tal modo que este também atribua endereços as maquinas clientes. Se a resposta do servidor DHCP do atacante chegar primeiro que a do servidor DHCP legal então o atacante pode induzir a que o tráfego passe por ele. Para mais informações sobre DHCP ler este artigo.

Pela figura acima, nota-se que o atacante tira proveito de estar mais próximo do cliente. A sua resposta ao cliente chega primeiro e claro, ela contem endereços IP e Gateway(GW) que fazem tráfego do cliente passar exactamente pela maquina do atacante.

Os comutadores Cisco possuem uma característica que permite combater ataques deste género: portas untrusted e trusted. Se a porta está no estado trusted ela pode receber respostas DHCP do tipo DHCPOFFER e DHCPACK. Se está no estado untrusted ela nao pode receber respostas DHCP. A porta no estado untrusted é desabilitada se uma resposta DHCP chega nela.

Quem tira partido disso são os comutadores Cisco da linha Catalyst (não consultei em quais versões na sua totalidade) que possuem a tecnologia DHCP Snooping. Para activar o DHCP Snooping, é preciso activa-lo globalmente e depois por interface:

(config)#ip dhcp snooping

Pode também ser activado por VLAN:

(config)#ip dhcp snooping vlan 20-25, 70, 1

Para configurar uma porta em modo trusted é necessário estar em modo de configuração de interface:

(config)#int fa0/0
(config-if)#ip dhcp snooping trust

Nos comutadores Catalyst por defeito se uma porta não for configurada explicitamente como trusted, ela é considerada como untrusted, daí não ser necessário perder muito tempo com configurações.

3 pensamentos sobre “Segurança em redes locais V:Protegendo-se de DHCP Spoofing usando DHCP Snooping

  1. Pingback: Tweets that mention Segurança em redes locais V:Protegendo-se de DHCP Spoofing usando DHCP Snooping « Switching News Network Angola (SNN Angola) -- Topsy.com

  2. Pingback: Segurança em redes locais VI: Protegendo-se contra CAM Table Overflow « Switching News Network Angola (SNN Angola)

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s