IP-DHCP-Snooping einrichten

7

Haben ein Labor eingerichtet, um IP DHCP SNOOPING vor der Implementierung zu testen. Bisher funktioniert alles wie angekündigt. Warum ist es nicht erforderlich, einem Zugriffspunkt die Vertrauenswürdigkeit hinzuzufügen, da dem Uplink-Port eines Switches vertraut werden muss? Geben Sie hier die Bildbeschreibung ein

rsebastian
quelle
Ich verstehe nicht, was Sie fragen. Können Sie bitte näher darauf eingehen?
Sander Steffann
Beispielsweise muss für Port 24-Trunk des HP Switches DHCP-SNOOPING TRUST angewendet werden. Keine anderen Ports auf dem Switch können auf DHCP Discover-Pakete von den Clients antworten. Selbst wenn der Angreifer einen nicht autorisierten DHCP-Server eingerichtet hat, kann der Port des Switches, mit dem der Angreifer eine Verbindung hergestellt hat, nicht auf DHCP-Erkennungspakete antworten. Könnte man DHCP nicht nach einer drahtlosen Verbindung aufrufen, ohne das dort vorhandene Vertrauen zu haben?
Rsebastian
Snooping muss dem Pfad zum DHCP-Server folgen. Port 24 auf dem Cisco sollte kein Vertrauen benötigen, Port 24 auf dem HP jedoch, da dies der Pfad zum DHCP-Server ist.
Daniel Dib
Ich stimme @DanielDib zu, dass Sie Port 24 auf dem Cisco im Allgemeinen nicht anhand dieses Diagramms vertrauen sollten. Wenn Sie jedoch nicht vorhaben, DAI oder eine andere Funktion zu implementieren, für die die Einträge in der Bindungstabelle erforderlich sind, können Sie Port 24 auf dem Cisco vertrauen, solange HP DHCP-Snooping ausführt. Dies verhindert, dass Cisco Einträge in der Bindungstabelle an diesem Port behalten muss. Dies kann eine Überlegung sein, wenn Sie über viele nachgeschaltete Clients und einen Switch mit begrenzten Ressourcen verfügen.
YLearn
Port 24 des Cisco ist nicht vertrauenswürdig. Port 24 der HP ist.
Rsebastian

Antworten:

11

DHCP-Snooping überprüft DHCP-Pakete und verwirft solche Pakete, die an einem nicht vertrauenswürdigen Port empfangen wurden , der von einem DHCP-Server gesendet wurde (meistens ANGEBOT, ACK und NACK).

Der Grund, warum Sie einem AP-Port nicht vertrauen müssen, besteht darin, dass Sie nur Client-Typen von DHCP-Verkehr auf diesem Port empfangen sollten. Während Sie DISCOVERY-, REQUEST- und INFO-Pakete empfangen, sollten Sie keine APER-, ACK- oder NACK-Pakete am AP-Port empfangen.

Die Einschränkung besteht darin, dass Sie dem Port vertrauen müssen, wenn Sie den AP als Brücke für einen redundanten Pfad verwenden. Wenn die primäre Verbindung fehlschlagen würde, würden Sie den DHCP-Serververkehr über den AP an die Clients zurückleiten.

YLearn
quelle