Configuration et Sécurisation DHCP

Questions and Answers

Quel est le principal avantage de l'utilisation du protocole DHCP pour l'attribution des adresses IP dans un réseau ?

• Réduction de la complexité et des erreurs liées à l'attribution manuelle des adresses IP. (correct)
• Simplification de la configuration des serveurs web.
• Augmentation de la sécurité du réseau en empêchant l'accès non autorisé.
• Amélioration de la vitesse de transfert des données sur le réseau.

Dans le contexte du DHCP, que signifie l'acronyme DORA ?

• Déploiement, Opération, Restauration, Activation
• Découverte, Offre, Requête, Accusé de réception (correct)
• Découverte, Ordre, Réseau, Acceptation
• Demande, Offre, Réseau, Autorisation

Quelle est la fonction d'un agent de relais DHCP dans un réseau ?

• Gérer la base de données des adresses IP disponibles.
• Transmettre les requêtes DHCP entre différents sous-réseaux. (correct)
• Sécuriser les communications entre le client et le serveur DHCP.
• Attribuer automatiquement les adresses IP aux clients.

Quel type d'adresse IP un serveur DHCP doit-il posséder pour fonctionner correctement ?

Adresse IP statique (B)

Quelle est la principale conséquence d'une attaque par épuisement des ressources DHCP ?

Interruption de l'accès réseau pour les nouveaux clients. (D)

Quelle mesure de sécurité permet de limiter le service DHCP aux correspondances d'adresses MAC-IP autorisées ?

Limitation MAC-IP (A)

Quel protocole contrôle l'ensemble des informations DHCP passant par le commutateur pour renforcer la sécurité du réseau ?

DHCP Snooping (D)

Dans le contexte du DHCP, quel est le rôle de la méthode d'allocation automatique ?

Attribuer une adresse IP permanente au client. (A)

Si un client DHCP ne parvient pas à renouveler son bail d'adresse IP avant son expiration, que se passe-t-il ?

Le client doit obtenir une nouvelle adresse IP. (D)

Dans le processus DORA, quelle est la prochaine étape après qu'un client DHCP envoie un DHCP Discover ?

DHCP Offer (C)

Quel port est utilisé par le client DHCP pour écouter les réponses du serveur DHCP ?

Port 68 (A)

Quelle information n'est pas incluse dans un message DHCP Offer ?

L'adresse MAC du client (A)

Quel type de message est envoyé par un client DHCP pour informer le serveur qu'il accepte l'adresse IP proposée ?

DHCP Request (D)

Dans un réseau divisé en plusieurs sous-réseaux, comment s'assurer que les clients de chaque sous-réseau reçoivent une adresse IP du serveur DHCP ?

Utiliser un serveur DHCP central avec des agents de relais dans chaque sous-réseau. (B)

Si un client demande à obtenir son adresse IP précédente mais qu'elle n'est plus disponible, quel message le serveur DHCP envoie-t-il au client ?

DHCP NACK (B)

Lorsque le client DHCP atteint 50% de la durée de son bail, que fait-il ?

Il envoie DHCP Request au serveur pour renouveler le bail. (C)

Qu'est-ce que le DHCP Snooping protège principalement contre ?

Les attaques de type DHCP spoofing. (A)

Quelle est la principale raison pour laquelle les serveurs DHCP sont configurés avec une adresse IP statique ?

Assurer que le serveur DHCP soit toujours accessible par les clients du réseau. (B)

Quel est le but de la fonction 'port-security' en relation avec le DHCP ?

Contrôler les adresses MAC apprises sur un port du commutateur. (B)

Concernant la taille de l'étendue (pool d'adresses) qu'un serveur DHCP doit gérer, quelle est la pratique recommandée lorsque le réseau est divisé en sous-réseaux ?

Chaque serveur DHCP doit gérer une étendue contenant environ 75% des adresses IP disponibles du sous-réseau local. (C)

Flashcards

DHCP

Attribue automatiquement les adresses IP.

Qu'est-ce que le protocole DHCP ?

Protocole de couche application qui permet à un hôte de se connecter à un réseau local et d'obtenir dynamiquement sa configuration IP

Méthode automatique

DHCP attribue une adresse IP permanente au client.

Méthode dynamique

DHCP attribue une adresse IP au client pour une période limitée.

Méthode manuelle

L'adresse IP est attribuée au client par l'administrateur réseau.

Fonctionnement de DHCP

Un client se connecte et émet une requête. Le serveur répond avec une adresse, en utilisant le modèle client-serveur.

Port 67

Le serveur DHCP écoute sur ce port.

Port 68

Le client DHCP écoute sur ce port.

DHCP Discover

Première étape du processus DORA: le client demande une adresse IP disponible.

DHCP Offer

Deuxième étape du processus DORA: le serveur propose une adresse IP au client.

DHCP Request

Troisième étape du processus DORA: Le client sélectionne l'adresse IP proposée.

DHCP ACK

Dernière étape du processus DORA: Le serveur confirme l'attribution de l'adresse IP au client

Attaque par épuisement

Type d'attaque qui épuise les adresses du serveur DHCP.

Port-security

Fonction qui contrôle les adresses MAC apprises sur un port du commutateur.

DHCP Snooping

Protocole qui contrôle les informations DHCP passant par le commutateur.

Study Notes

Mise en place et sécurisation de DHCP

• L'attribution manuelle des paramètres réseau est complexe et source d'erreurs.
• Un mécanisme rapide et fiable est recherché pour attribuer automatiquement les adresses IP.
• DHCP (Dynamic Host Configuration Protocol) est un protocole de couche application.
• Il permet à un hôte qui se connecte au réseau local d'obtenir dynamiquement sa configuration IP (adresse IP, masque, passerelle, adresse DNS).

Rôle de DHCP

• DHCP prend en charge trois mécanismes d'allocation d'adresses IP : automatique, dynamique et manuel.
• La méthode automatique attribue une adresse IP permanente au client, qui ne change pas après redémarrage.
• La méthode dynamique attribue une adresse IP pour une période limitée, nécessitant un renouvellement avant expiration.
• La méthode manuelle attribue une adresse IP au client par l'administrateur réseau, réservée et non attribuable à un autre appareil.
• La méthode manuelle est utilisée pour les serveurs, imprimantes réseau, routeurs, etc.
• DHCP gère uniquement l'attribution des adresses affectées manuellement.

Fonctionnement de DHCP

• Le protocole DHCP fonctionne sur le modèle client-serveur.
• Un client émet une requête en broadcast pour obtenir une adresse IP.
• Un serveur DHCP traite cette requête s'il est dans le même sous-réseau que le client.
• Un agent de relais transforme la requête en unicast et la transmet au serveur DHCP si nécessaire.
• Le serveur répond en unicast avec une adresse IP et les informations nécessaires pour la communication.
• Le serveur DHCP écoute sur le port 67.
• Le client DHCP écoute sur le port 68.

Processus DORA

• Le processus DORA (Discover, Offer, Request, Ack) inclut:
• DHCPDISCOVER: Demande de bail IP.
• DHCPOFFER: Proposition de bail IP.
• DHCPREQUEST: Sélection de bail IP.
• DHCPACK: Accusé de réception de bail IP.

DHCPDISCOVER

• Un client envoie une demande en broadcast (DHCP Discover) pour trouver un serveur DHCP sur le réseau.

DHCPOFFER

• Un serveur DHCP reçoit la demande et regarde dans sa base s'il a une adresse à proposer au client.
• Si un serveur DHCP (ou plusieurs) est présent, il va recevoir la demande.
• Si oui, il envoie une réponse directement à la machine avec une adresse IP en lui proposant (DHCP OFFER).
• Le DHCPOFFER contient : une adresse IP et un masque, une durée de bail, l'adresse IP du serveur DHCP, un ID de transaction.

DHCPREQUEST

• La machine reçoit le message et répond au serveur DHCP en indiquant si elle accepte l'adresse IP proposée.
• Si la machine accepte, elle envoie un datagramme UDP de broadcast au serveur.

DHCPACK

• Le serveur DHCP reçoit la requête du client et renvoie à son tour un message avec un acquittement positif (DHCP ACK) et que l'adresse lui est assignée.
• Ce datagramme contient:
  • Adresse IP de destination: 255.255.255.255 (Broadcast).
  • Adresse MAC de destination: FF. FF. FF. FF. FF. FF (Broadcast).
  • Un nouvel ID de transaction.

DHCPNACK

• Un accusé de réception négatif (DHCPNACK) est diffusé si le client veut obtenir son adresse IP précédente alors qu'elle n'est plus disponible.
• Un accusé de réception négatif (DHCPNACK) est diffusé si l'adresse IP est incorrecte car le client a été déplacé sur un autre sous-réseau.

Adresse IP

• Une adresse IP proposée par le serveur a une durée de vie limitée (bail).
• Lorsque le client DHCP atteint 50% de sa durée, il envoie DHCPREQUEST à son serveur pour la renouveler.
• Un serveur DHCP doit disposer d'une adresse IP fixe (non dynamique).
• Lorsque le réseau d'une entreprise est constitué de plusieurs sous-réseaux, les routeurs agissent en tant qu'agents de relais, sinon il faut un serveur DHCP sur chaque sous-réseau.
• Chaque serveur DHCP doit avoir une étendue contenant environ 75% des adresses IP disponibles du sous-réseau sur lequel il est installé (local).
• Le serveur DHCP doit avoir une étendue contenant environ 25% des adresses IP disponibles du sous-réseau distant.

Attaques et sécurisation

• Si le service DHCP est mal administré, les correspondances entre adresses MAC et IP se font dynamiquement à partir d'une plage d'adresses vacantes.
• Une attaque par épuisement de ressources est un scénario possible, où un pirate génère un grand nombre de requêtes afin d'épuiser le stock d'adresses du serveur DHCP, paralysant le trafic réseau.
• Une attaque par faux serveurs DHCP est un scénario possible, qui se crée lorsque le pirate réussi à saturer le serveur par épuisement de ressources, il active un autre serveur à la place afin de contrôler tout le trafic réseau.
• La fonction port-security contrôle les adresses MAC apprises sur un port du commutateur et applique des règles en cas de violation (limitation du nombre de MAC, blocage temporaire ou définitif du port, alerte SNMP).
• La fonction DHCP snooping contrôle l'ensemble des informations DHCP passant par le commutateur, transmettant uniquement les paquets provenant de serveurs dignes de confiance.
• DHCP snooping assure la protection contre DHCP Spoofing, la validation des requêtes légitimes, et le maintien d'une base de données MAC-IP.
• Pour éviter ces attaques, il faut limiter le service DHCP à une liste «fermée» de correspondances d'adresses MAC-IP et rejeter systématiquement les requêtes étrangères.