Surveillance DHCP
L’écoute DHCP (Dynamic Host Configuration Protocol) améliore la sécurité du réseau en vérifiant les messages DHCP provenant d’appareils non approuvés connectés au routeur, au commutateur ou au pare-feu et empêche les serveurs DHCP non autorisés d’envoyer des paquets DHCPOFFER sur des ports non approuvés.
Prise en charge de la surveillance DHCP
Le protocole DHCP (Dynamic Host Configuration Protocol) est un protocole de gestion réseau utilisé dans les réseaux TCP/IP pour attribuer dynamiquement des adresses IP et d’autres informations de configuration connexes aux périphériques réseau.
Fonctionnement de la surveillance DHCP
Le protocole DHCP (Dynamic Host Configuration Protocol) alloue dynamiquement des adresses IP aux équipements et loue des adresses qui peuvent être réutilisées lorsqu’elles ne sont plus nécessaires. Les hôtes ou les terminaux qui ont besoin d’une adresse IP via DHCP doivent communiquer avec un serveur DHCP sur le réseau local.
L’illustration suivante montre le processus d’écoute DHCP.
DHCP
Dans la topologie, un équipement d’utilisateur final se connecte à un équipement Junos OS (routeur, commutateur ou pare-feu). Le périphérique Junos OS se connecte à la fois au client DHCP et au serveur DHCP. Le périphérique Junos OS configuré en tant qu’agent de relais DHCP fait office d’interface entre les clients DHCP et le serveur DHCP. Ce périphérique Junos OS inspecte les paquets DHCP. Le serveur DHCP attribue des adresses IP aux clients.
La fonction d’écoute DHCP d’un équipement Junos OS effectue les actions suivantes :
- Valide les messages DHCP reçus de sources non fiables et filtre les messages non valides.
- Extrait l’adresse IP louée à chaque client et crée une base de données. La base de données d’écoute DHCP (ou table de liaison) contient des informations sur l’adresse IP, l’adresse MAC et le VLAN de chaque client DHCP.
- Utilise la table de liaison de surveillance DHCP pour valider les requêtes ultérieures provenant d’hôtes non approuvés. En vérifiant que les requêtes DHCP proviennent de sources fiables, l’équipement Juniper peut s’assurer que seules les requêtes DHCP valides sont traitées.
Ainsi, l’espionnage DHCP agit comme un gardien de la sécurité du réseau en gardant une trace des adresses IP valides qu’un serveur DHCP approuvé (un serveur connecté à un port réseau approuvé) attribue aux périphériques réseau en aval.
Surveillance de l’agent de relais DHCPv6
L’agent de relais DHCPv6 améliore l’agent de relais DHCP en fournissant une prise en charge dans un réseau IPv6. L’agent de relais DHCPv6 transmet des messages entre le client DHCPv6 et le serveur DHCPv6, de la même manière que l’agent de relais DHCP prend en charge un réseau IPv4. Dans une topologie à relais multiples qui comporte plusieurs agents de relais DHCPv6 entre le client et le serveur, l’écoute permet aux agents de relais intermédiaires de traiter correctement le trafic unicast du client et de le transmettre au serveur. L’espionnage dans cette topologie implique les actions suivantes :
- L’agent de relais DHCPv6 espionne les paquets DHCPv6 unicast entrants à l’aide d’un filtre avec le port UDP 547, qui est le port serveur UDP DHCPv6, pour chaque table de transfert.
- L’agent de relais DHCPv6 traite ensuite les paquets interceptés par le filtre et les transmet au serveur DHCPv6.
Avantages de la surveillance DHCP
- La surveillance DHCP peut fournir une couche de sécurité supplémentaire en filtrant les adresses IP. Le processus de filtrage évalue le trafic réseau pour autoriser la communication à partir d’adresses IP vérifiées et valides.
- La surveillance DHCP peut empêcher toute activité DHCP non autorisée sur le réseau en filtrant les paquets DHCP qui arrivent sur les mauvais ports ou dont le contenu est incorrect.
Exemple : Configuration de la prise en charge de l’écoute DHCP pour l’agent de relais DHCP
Cet exemple montre comment configurer la prise en charge de l’écoute DHCP pour l’agent de relais DHCP.
Exigences
Configurez l’agent de relais DHCP. Reportez-vous à la section Présentation de l’agent de relais DHCP étendu.
Aperçu
Dans cet exemple, vous configurez la prise en charge de l’écoute DHCP pour l’agent de relais DHCP en effectuant les opérations suivantes :
Remplacez la configuration de surveillance DHCP par défaut et activez la prise en charge de la surveillance DHCP pour les interfaces du groupe frankfurt.
Configurez l’agent de relais DHCP pour qu’il transfère les paquets espionnés vers les interfaces configurées uniquement.
Configuration
Procédure
Procédure étape par étape
Pour configurer la prise en charge du relais DHCP pour la surveillance DHCP :
Spécifiez que vous souhaitez configurer l’agent de relais DHCP.
[edit] user@host# edit forwarding-options dhcp-relay
Spécifiez le groupe nommé d’interfaces sur lesquelles la surveillance DHCP est prise en charge.
[edit forwarding-options dhcp-relay] user@host# edit group frankfurt
Spécifiez les interfaces que vous souhaitez inclure dans le groupe. L’agent de relais DHCP les considère comme des interfaces configurées lorsqu’il détermine s’il faut transférer ou abandonner le trafic.
[edit forwarding-options dhcp-relay group frankfurt] user@host# set interface fe-1/0/1.3 upto fe-1/0/1.9
Indiquez que vous souhaitez remplacer la configuration par défaut du groupe.
[edit forwarding-options dhcp-relay group frankfurt] user@host# edit overrides
Activez la prise en charge de l’écoute DHCP pour le groupe.
[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# set allow-snooped-clients
Revenez au niveau hiérarchique pour configurer l’action de transfert et spécifier que l’agent
[edit forwarding-options dhcp-relay]de relais DHCP transfère les paquets espionnés sur les interfaces configurées uniquement :[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# up 2
Activez le transfert de paquets snoopé DHCP pour l’agent de relais DHCP.
[edit forwarding-options dhcp-relay] user@host# edit forward-snooped-clients
Spécifiez que les paquets espionnés ne sont transférés que sur les interfaces configurées (les interfaces du groupe
frankfurt).[edit forwarding-options dhcp-relay forward-snooped-clients] user@host# set configured-interfaces
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show forwarding-options commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour la corriger. La sortie suivante montre également une plage d’interfaces configurées dans le groupe de Francfort.
[edit]
user@host# show forwarding-options
dhcp-relay {
forward-snooped-clients configured-interfaces;
group frankfurt {
overrides {
allow-snooped-clients;
}
interface fe-1/0/1.3 {
upto fe-1/0/1.9;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Activer la surveillance DHCP
Sur un équipement Junos OS, la fonction de surveillance DHCP est automatiquement activée lorsque vous configurez la sécurité DHCP, le relais DHCP ou les paramètres du serveur DHCP pour un VLAN ou une instance de routage spécifique.
Notez que sur un équipement Junos OS, vous ne pouvez pas configurer la surveillance DHCP en tant que fonctionnalité indépendante.
Junos OS active l’écoute DHCP sur un commutateur, un routeur ou un pare-feu lorsque vous configurez l’une ou l’ensemble des fonctionnalités suivantes :
- Options de relais DHCP ou de serveur local DHCP aux niveaux hiérarchiques suivants :
- Instruction
dhcp-relayau niveau de la[edit forwarding-options]hiérarchie ou[edit routing-instances routing-instance-name forwarding-options] - Instruction
dhcp-local-serverau niveau de la[edit system services]hiérarchie ou[edit routing-instances routing-instance-name system services]Note:Lorsque vous configurez le relais DHCP, utilisez l’instruction
forward-only, sauf si vous avez besoin d’une gestion des abonnés ou d’une classe de service (CoS). Laforward-onlyconfiguration transfère les paquets clients DHCP spécifiés, sans créer de session d’abonné.
- Instruction
-
La sécurité DHCP sur un VLAN spécifique active la surveillance DHCP pour ce VLAN :
Instruction dhcp-security au niveau de la
[edit vlans vlan-name forwarding-options]hiérarchie des commutateurs. - Instruction
dhcp-securityau niveau de la[edit bridge-domains bridge-domain-name forwarding-options dhcp-security]hiérarchie des routeurs. -
Vous pouvez configurer le serveur local DHCP pour qu’il transfère ou supprime les paquets espionnés pour toutes les interfaces, uniquement les interfaces configurées ou uniquement les interfaces non configurées. Pour plus d’informations , reportez-vous à la section Configuration de la prise en charge du transfert de paquets snoopés DHCP pour le serveur local DHCP .
Transfert de paquets espionnés DHCP pour l’agent de relais DHCP
Vous pouvez affiner davantage le contrôle sur le comportement d’écoute DHCP à l’aide de l’instruction forward-snooped-clients .
Vous pouvez utiliser l’instruction forward-snooped-clients pour décider si le trafic surveillé doit être transféré ou abandonné en fonction de la configuration de l’interface.
- Pour évaluer le trafic espionné et décider ultérieurement de transférer ou de supprimer le trafic, configurez l’instruction
forward-snooped-clientsau niveau de la[edit forwarding-options dhcp-relayhiérarchie ].Vous pouvez définir cette
forward-snooped-clientsoption pour les scénarios suivants :- Toutes les interfaces : applique l’action à toutes les interfaces.
- Interfaces configurées : applique l’action uniquement aux interfaces configurées dans le cadre d’un groupe d’interfaces.
- Interfaces non configurées : applique l’action uniquement aux interfaces qui ne font pas partie d’un groupe d’interfaces.
- Pour transférer ou supprimer les paquets en attente, configurez
allow-snooped-clientsouno-allow-snooped-clients, respectivement, avec l’optionforward-snooped-clients.- Lorsque vous configurez
allow-snooped-clients, les paquets espionnés sont transférés si un abonné valide leur est associé. - Lorsque vous configurez
no-allow-snooped-clients, les paquets espionnés sont abandonnés même si un abonné valide leur est associé.
- Lorsque vous configurez
Pour en savoir plus sur l’action que l’appareil effectue sur les paquets espionnés DHCP en fonction de la combinaison de allow-snooped-clients ou no-allow-snooped-clients avec forward-snooped-clients, reportez-vous aux Tableaux 1 et 2.
Le tableau 1 montre l’action que l’équipement effectue sur les paquets espionnés par l’agent de relais DHCP lorsque vous configurez allow-snooped-clients avec forward-snooped-clients l’option.
| La configuration s’applique à |
Action sur les interfaces configurées |
Action sur les interfaces non configurées |
|---|---|---|
| Toutes les interfaces |
Transmis |
Transmis |
| Interfaces configurées |
Transmis |
Tomber |
| Interfaces non configurées |
Les paquets DHCP espionnés créent des entrées d’abonné dans la base de données de surveillance DHCP. |
Transmis |
| Pas de configuration |
Les paquets DHCP espionnés créent des entrées d’abonné dans la base de données de surveillance DHCP. |
Tomber |
Le Tableau 2 montre l’action que le périphérique effectue sur les paquets espionnés par l’agent de relais DHCP lors de la configuration no-allow-snooped-clients avec forward-snooped-clients.
| La configuration s’applique à |
Action sur les interfaces configurées |
Action sur les interfaces non configurées |
|---|---|---|
| Toutes les interfaces |
Tomber | Transmis |
| Interfaces configurées |
Tomber | Tomber |
| Interfaces non configurées |
Tomber | Transmis |
| Pas de configuration |
Tomber | Tomber |
Lors de la surveillance de l’agent de relais DHCP, l’équipement s’appuie sur sa configuration globale pour décider de transférer ou de rejeter les paquets BOOTREPLY. De plus, lors d’un renouvellement de bail, un paquet BOOTPREQUEST peut être unicast directement sur le serveur DHCP, et ce paquet est également sujet à l’espionnage.
Le tableau 3 montre l’action que l’appareil effectue sur les paquets espionnés BOOTREPLY .
| Action sur l’état de la configuration | |
|---|---|
forward-snooped-clients non configuré |
Paquets espionnés BOOTREPLY abandonnés si le client n’est pas trouvé |
forward-snooped-clients configuré |
Paquets espionnés BOOTREPLY transférés si le client n’est pas trouvé |
Dans la configuration par défaut et dans les configurations utilisant l’instruction forward-snooped-clients , l’équipement transfère tout le trafic DHCP sur le plan de contrôle matériel vers le plan de routage de l’instance de routage pour intercepter les paquets DHCP.
Vous pouvez utiliser l’option no-snoop pour désactiver le filtre d’écoute pour le trafic DHCP.
Lorsque vous configurez cette no-snoop option, le trafic DHCP est acheminé vers le plan de contrôle matériel, mais contourne le plan de routage, ce qui évite toute interception à cet endroit.
Configuration de surveillance DHCP
Exemple de configuration du transfert de paquets espionné DHCP
Nous vous recommandons de lire le Guide de l’utilisateur DHCP et d’utiliser un laboratoire sur lequel les options de traçage DHCP sont activées pour vérifier et comprendre la configuration.