Netzwerke mit DHCP Snooping verteidigen
Rogue-DHCP-Server und ARP Cache Poisoning sind beliebte Angriffsarten von Hackern. Mit DHCP Snooping lassen sich diese Attacken aufspüren und beseitigen.
Ob mehr Gefahr aus dem internen oder externen Netzwerk kommt, lässt sich nicht genau sagen. Die Zahlen variieren und der Übergang ist oft fließend. Enthält das Unternehmens-Netzwerk unsichere Systeme und Programme, setzen Sie damit die gesamte Netzwerk-Struktur einer Gefahr aus. Zum Beispiel übersieht man gerne ein Layer-2-Protokoll wie DHCP (Dynamic Host Configuration Protocol). DHCP ist ein Hilfs-Protokoll, das im Hintergrund arbeitet und von den meisten Anwendern kaum beachtet wird. Da man dem Protokoll so wenig Aufmerksamkeit schenkt, ist es auch ein potentieller Angriffspunkt. DHCP Snooping ist ein Kontrollmechanismus, mit dem Sie diverse Angriffe darauf abwimmeln können.
DHCP lässt sich auf verschiedene Weisen angreifen. Dazu gehören auch ein so genannter Rogue-DHCP-Server oder ARP Poisoning (Address Resolution Protocol) des lokal geschalteten Netzwerks. Allerdings sind nicht alle Vorfälle böswillig: Ein Anwender könnte zum Beispiel ein Netzwerk-Gerät oder Router mit aktiviertem DHCP anstöpseln. Als Resultat bekommt ein anderer Nutzer möglicherweise eine ungültige IP-Adresse. Ein Angreifer könnte zudem einen ressourcen-hungrigen Prozess starten. Dieser versucht unter Umständen, alle verfügbaren DHCP-Adressen zu belegen. Eine böswilliger Angriff ist dagegen, wenn der Angreifer alle anfragenden Geräte auf einen eigenen DHCP-Server umzuleiten versucht. Das sind nur ein paar Gründe, warum man DHCP Snooping einsetzen sollten.
Damit diese Form des Mittelsmannangiffs (Man-in-the-Middle-Angriff) erfolgreich ist, muss der Hacker einen eigenen DHCP-Server aufsetzen. Danach sendet er falsche DHCP-Anfragen aus und versucht, alle verfügbaren IP-Adressen im Netzwerk zu belegen. Für die anderen Anwender ist damit keine IP-Adresse mehr verfügbar. Im Anschluss startet der Angreifer seinen Rogue DHCP-Server und vergibt durch diesen weitere IP-Adressen und verteilt seine Gateway-Adresse. Anwender werden nun vor einem Zugriff auf das Internet an das System des Cyberkriminellen weitergeleitet. Der Netzwerkzugriff ist kompromittiert.
Das oben beschriebene Szenario ist nur eine Variante des klassischen Mittelsmannangriffs. Diese Technik verschafft den Cyberkriminellen Zugriff, so dass er den Netzwerkverkehr der Anwender ausschnüffeln kann. Ein solches Szenario ist nicht weit hergeholt. Tools wie Gobbler, DHCPstarv und Yersinia wurden speziell für diese Aktivitäten geschaffen.
DHCP Snooping mit existierenden Switches einsetzen
DHCP Snooping wird zwischen der Datenverknüpfung von existieren Switches implementiert. Die Technik kann Angriffe stoppen und unautorisierte DHCP-Server blockieren.
Dieser Layer-2-Prozess umfasst mehrere Schritte. Zunächst müssen Sie DHCP global auf dem Switch aktivieren und im Anschluss auf jedem individuellen VLAN (virtuelles LAN). Danach geben Sie jeden vertrauenswürdigen Port an.
Hier ist ein Beispiel, wie Sie DHCP Snooping aktivieren können:
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 30
Switch(config)#interface gigabitethernet1/0/1
Switch(config-if)#ip dhcp snooping trust
In diesem Beispiel wurde DHCP Snooping global aktiviert und danach für das VLAN 30. Als einzig vertrauenswürdige Schnittstelle ist gigabitEhternet1/0/1 hinterlegt. DHCP Snooping garantiert, dass Hosts nur die ihnen zugewiesenen IP-Adressen verwenden. Weiterhin wird sichergestellt, dass nur autorisierte DHCP-Server erreichbar sind. Sobald DHCP Snooping implementiert ist, verwirft es DHCP-Nachrichten von nicht vertrauenswürdigen DHCP-Servern.
Mit DHCP Snooping ARP Cache Poisoning verhindern
DHCP Snooping kann auch den physikalischen Standort eines Hosts ermitteln und somit ARP Cache Poisoning entgegenwirken. Diese Technik spielt eine Schlüsselrolle bei der Abwehr. Mithilfe von DHCP Snooping können Sie DHCP-Nachrichten verwerfen, bei denen Quelle und Ziel der MAC-Adresse nicht wie vorher definiert übereinstimmen. Administratoren werden bei solchen Verstößen alarmiert. Weiterhin schreibt der Prozess eine Nachricht in den Syslog-Server, die mit „DHCP Snooping“ betitelt ist.
DHCP Snooping ist ein erster Schritt, um Layer-2-Traffic abzusichern. Rogue-DHCP-Server verursachen nicht nur Netzwerkprobleme. Cyberkriminelle benutzen sie auch, um sensiblen Netzwerkverkehr umzuleiten und starten damit Mittelsmannangriffe. Haben Sie diesen Verteidigungs-Mechanismus noch nicht in Ihre Infrastruktur implementiert, sollten Sie das nachholen.
Über den Autor: Michael Gregg (CISSP, CISA, CISM, CASP) ist ein Hacker, der Cybersecurity- und Penetrations-Testing-Dienste für Fortune-500-Firmen und Behörden in den USA anbietet. Er hat mehr als ein Dutzend Bücher über IT-Security veröffentlicht. Daneben ist er bekannt für seine Vorträge und Security-Schulungen. Gregg ist Chief Operations Officer von Superior Solutions Inc..