DHCP-Snooping

DHCP-Snooping ist eine Netzwerk-Sicherheitsfunktion, die auf Schicht 2 des OSI-Modells abläuft, indem sie nicht vertrauenswürdige DHCP-Nachrichten filtert und eine DHCP-Snooping-Binding-Database aufbaut und pflegt. Dieses Sicherheitsfeature schützt vor sogenannten DHCP-Spoofing, Rogue-DHCP-Servern oder Fehlkonfigurationen.

Es wird auf dem Switch aktiviert, an den der DHCP-Server angeschlossen ist. DHCP-Snooping untersucht alle DHCP-Pakete und unterbindet das Versenden gefälschter DHCP-Informationen. Dazu werden die Switchports in trusted und untrusted Ports eingeteilt.

Ein Angreifer könnte auf DHCP-Discover-Pakete mit eigenen DHCP-Offers reagieren. Einem Client, der eine solche gefälschte Offer annimmt, kann ein neues Default Gateway untergeschoben werden. Bei aktiviertem DHCP-Snooping werden nur DHCP-Offers von trusted Ports vom Switch weitergeleitet. Auf dem Switch werden in einer Datenbank Informationen über Hosts, die eine DHCP-Transaktion erfolgreich abgeschlossen haben, in einer Datenbank gesammelt, die dann von anderen Sicherheitsfunktionen verwendet werden kann (DHCP-Snooping-Binding-Database).

Spezifikation[Bearbeiten | Quelltext bearbeiten]

• RFC 7513 – Source Address Validation Improvement (SAVI) Solution for DHCP. Mai 2015 (englisch).

Weblinks[Bearbeiten | Quelltext bearbeiten]

• DHCP-Snooping: Mehr Sicherheit für Ihr Netzwerk. ionos.de
• Anleitung zum Einrichten von DHCP Snooping. nwlab.net
• Cisco Konfiguration Guide IOS 12.2 – DHCP Snooping. cisco.com
• Cisco Konfiguration Guide IOS 15.0 – DHCP Snooping. cisco.com