DHCP-Snooping

DHCP-Snooping ist eine Sicherheitsfunktion in Rechnernetzen zum Schutz vor DHCP-Spoofing, Rogue-DHCP-Servern oder DHCP-Fehlkonfigurationen. Beim DHCP-Snooping untersucht ein Switch alle DHCP-Pakete und filtert DHCP-Nachrichten, die nicht von einem vertrauenswürdigen Port gesendet werden.

Bei DHCP sendet ein Client eine DHCP-Discover-Nachricht per Broadcast im gesamten Netz. Ein DHCP-Server antwortet darauf mit einer DHCP-Offer-Nachricht. Ein Angreifer, der einen Rogue-DHCP-Server betreibt, kann eine eigene DHCP-Offer-Nachricht senden, um beispielsweise die Kommunikation des Clients zu stören oder den Client auf ein bösartiges Standardgateway umzuleiten. Bei aktiviertem DHCP-Snooping werden nur DHCP-Offer-Nachrichten von vertrauenswürdigen Ports vom Switch weitergeleitet. DHCP-Offer-Nachrichten von nicht vertrauenswürdigen Ports werden verworfen. Zusätzlich sammelt der Switch alle erfolgreichen DHCP-Transaktionen in einer Datenbank (DHCP-Snooping-Binding-Database), die dann von anderen Sicherheitsfunktionen verwendet werden kann.

• RFC: 7513 – Source Address Validation Improvement (SAVI) Solution for DHCP. Mai 2015 (englisch).

• DHCP-Snooping: Mehr Sicherheit für Ihr Netzwerk. ionos.de
• Anleitung zum Einrichten von DHCP Snooping. nwlab.net
• Cisco Konfiguration Guide IOS 12.2 – DHCP Snooping. cisco.com
• Cisco Konfiguration Guide IOS 15.0 – DHCP Snooping. cisco.com