Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre et utiliser des serveurs DHCP approuvés

Comprendre les ports et les serveurs DHCP approuvés et non approuvés

Les serveurs DHCP fournissent des adresses IP et d’autres informations de configuration aux clients DHCP du réseau. L’utilisation de ports approuvés pour le serveur DHCP protège contre l’envoi de baux par les serveurs DHCP non autorisés.

Les ports non approuvés interrompent le trafic des serveurs DHCP pour empêcher les serveurs non autorisés de fournir des informations de configuration aux clients.

Par défaut, tous les ports trunk sont approuvés pour DHCP et tous les ports d’accès ne sont pas approuvés.

Vous pouvez configurer un remplacement du comportement par défaut pour définir un port trunk comme non approuvé, ce qui bloque tous les messages entrants du serveur DHCP à partir de cette interface. Ceci est utile pour empêcher une attaque de serveur DHCP non autorisé, dans laquelle un attaquant a introduit un serveur non autorisé dans le réseau. Les informations fournies aux clients DHCP par ce serveur sont susceptibles de perturber leur accès au réseau. Le serveur non autorisé peut également s’attribuer lui-même en tant que périphérique de passerelle par défaut pour le réseau. Un attaquant peut alors renifler le trafic réseau et perpétrer une attaque de l’intercepteur, c’est-à-dire qu’il détourne le trafic destiné à un périphérique réseau légitime vers un périphérique de son choix.

Vous pouvez également configurer un port d’accès comme étant approuvé. Si vous attachez un serveur DHCP à un port d’accès, vous devez configurer le port comme étant approuvé. Avant de le faire, assurez-vous que le serveur est physiquement sécurisé, c’est-à-dire que l’accès au serveur est surveillé et contrôlé.

Activation d’un serveur DHCP de confiance (ELS)

Note:

Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software).

Vous pouvez configurer n’importe quelle interface sur un commutateur qui se connecte à un serveur DHCP en tant qu’interface sécurisée (port). La configuration d’un serveur DHCP sur une interface sécurisée protège contre les serveurs DHCP non autorisés qui envoient des baux.

Par défaut, toutes les interfaces d’accès ne sont pas approuvées et toutes les interfaces trunk sont approuvées. Toutefois, vous pouvez remplacer le paramètre par défaut pour les interfaces d’accès en configurant un groupe d’interfaces d’accès au sein d’un VLAN, en spécifiant qu’une interface appartient à ce groupe, puis en configurant le groupe comme étant approuvé.

Avant de pouvoir configurer un serveur DHCP approuvé, vous devez configurer un VLAN. Reportez-vous à la section Configuration des VLAN pour commutateurs EX Series avec prise en charge ELS (procédure CLI).

Pour configurer une interface d’accès non approuvée en tant qu’interface sécurisée pour un serveur DHCP à l’aide de l’interface de ligne de commande :

  1. Configurez un groupe au sein d’un VLAN avec une interface d’accès spécifique :
  2. Configurez ce groupe de manière à trusted ce que l’interface spécifiée contenue dans le groupe devienne une interface sécurisée :

Activation d’un serveur DHCP de confiance (non-ELS)

Vous pouvez vous protéger contre les serveurs DHCP non autorisés qui envoient des baux malveillants sur votre réseau en utilisant des serveurs et des ports DHCP approuvés. Par défaut, pour DHCP, tous les ports trunk sont approuvés et tous les ports d’accès ne le sont pas. Et vous ne pouvez configurer le serveur DHCP que sur une interface ; c’est-à-dire que l’utilisation d’un VLAN n’est pas prise en charge.

Les ports approuvés permettent aux serveurs DHCP de fournir des adresses IP et d’autres informations aux appareils qui en font la demande. Les ports non approuvés interrompent le trafic des serveurs DHCP pour empêcher les serveurs non autorisés de fournir des informations de configuration aux clients.

Pour configurer un port afin d’héberger un serveur DHCP, entrez la commande suivante à partir de l’interface de ligne de commande Junos :

où l’interface, GE-0/0/8 est une interface fiable et physiquement sécurisée qui est valide pour votre réseau.

Voir aussi

Activation d’un serveur DHCP approuvé (routeurs MX Series)

Vous pouvez configurer n’importe quelle interface sur un équipement de commutation qui se connecte à un serveur DHCP en tant qu’interface sécurisée (port). La configuration d’un serveur DHCP sur une interface sécurisée protège contre les serveurs DHCP non autorisés qui envoient des baux.

Par défaut, toutes les interfaces d’accès ne sont pas approuvées et toutes les interfaces trunk sont approuvées. Toutefois, vous pouvez remplacer le paramètre par défaut pour les interfaces d’accès en configurant un groupe d’interfaces d’accès au sein d’un domaine de pont, en spécifiant qu’une interface appartient à ce groupe, puis en configurant le groupe comme approuvé.

Avant de pouvoir configurer un serveur DHCP approuvé, vous devez configurer un domaine de pont.

Pour configurer une interface d’accès non approuvée en tant qu’interface sécurisée pour un serveur DHCP à l’aide de l’interface de ligne de commande :

  1. Configurez un groupe au sein d’un domaine de pont avec une interface d’accès spécifique :

  2. Configurez ce groupe de manière à trusted ce que l’interface spécifiée contenue dans le groupe devienne une interface sécurisée :

Vérification du bon fonctionnement d’un serveur DHCP approuvé

But

Vérifiez qu’un serveur approuvé DHCP fonctionne sur le commutateur. Découvrez ce qui se passe lorsque le serveur DHCP est approuvé, puis non approuvé.

Action

Envoyez des requêtes DHCP à partir de périphériques réseau (ici des clients DHCP) connectés au commutateur.

Affichez les informations de surveillance DHCP lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur est approuvée. La sortie suivante se produit lorsque les requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IP et les baux :

Signification

Lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur a été définie sur approuvée, la sortie (voir l’exemple précédent) affiche, pour chaque adresse MAC, l’adresse IP attribuée et la durée du bail, c’est-à-dire le temps, en secondes, restant avant l’expiration du bail.

Si le serveur DHCP avait été configuré comme non approuvé, aucune entrée n’aurait été ajoutée à la base de données d’écoute DHCP et rien n’aurait été affiché dans la sortie de la show dhcp snooping binding commande.

Voir aussi

Configuration d’une interface trunk comme non fiable pour la sécurité DHCP (procédure CLI)

Avant de pouvoir configurer un groupe d’interfaces, vous devez configurer un VLAN. Reportez-vous à la section Configuration des VLAN pour commutateurs EX Series avec prise en charge ELS (procédure CLI).

Les interfaces jonction non approuvées prennent en charge les fonctionnalités de sécurité DHCP suivantes lorsqu’elles sont activées sur le VLAN :

  • Surveillance DHCP et DHCPv6

  • Inspection ARP dynamique

  • Inspection de découverte des voisins IPv6

Pour configurer une interface jonction comme non approuvée, vous devez configurer un groupe d’interfaces au sein d’un VLAN, ajouter l’interface jonction au groupe, puis configurer le groupe comme non approuvée. Un groupe doit avoir au moins une interface.

Pour configurer une interface trunk en tant qu’interface non approuvée pour la sécurité DHCP :

  1. Configurez un groupe au sein d’un VLAN avec l’interface trunk en tant que membre :
  2. Configurez le groupe de manière à ce que untrusted l’interface spécifiée contenue dans le groupe devienne une interface non approuvée :