Sicherheitsaspekte
Die Sicherheit im Zusammenhang mit DHCP (Dynamic Host Configuration Protocol) ist ein wichtiger Aspekt in der Netzwerkverwaltung. Ein unsicher konfigurierter DHCP-Server kann zu verschiedenen Sicherheitsrisiken führen, darunter unautorisierte Netzwerkzugriffe und Netzwerkstörungen. Hier sind die wichtigsten Risiken und die entsprechenden Schutzmaßnahmen aufgeführt.
Risiken und Bedrohungen
| Risiko | Beschreibung |
|---|---|
| DHCP-Spoofing | Ein Angreifer bringt einen gefälschten DHCP-Server ins Netzwerk, der falsche IP-Adressen und Netzwerkkonfigurationsinformationen verteilt. Dies kann zu Man-in-the-Middle-Angriffen führen. |
| DHCP-Starvation | Ein Angreifer sendet eine große Anzahl von DHCP-Requests, um alle verfügbaren IP-Adressen zu beanspruchen, wodurch legitime Geräte keine IP-Adressen mehr erhalten können. |
Schutzmaßnahmen und Best Practices
| Schutzmaßnahme | Beschreibung |
|---|---|
| DHCP-Snooping | Überwacht DHCP-Traffic und erlaubt nur DHCP-Servern auf vertrauenswürdigen Ports, DHCP-Offers zu senden. |
| Bindings-Datenbank | Speichert Zuordnungen von IP-Adressen zu MAC-Adressen zur Verhinderung von IP-Spoofing und anderen Angriffen. |
| Access Control Lists (ACLs) | Beschränkt den Zugriff auf den DHCP-Server, sodass nur autorisierte Geräte DHCP-Requests senden dürfen. |
| VLANs für DHCP | Segmentiert das Netzwerk durch Verwendung von VLANs, um DHCP-Server und -Clients in unterschiedlichen VLANs zu platzieren. |
| IP-Reservierungen und Ausschlüsse | Weist bestimmten Geräten feste IP-Adressen zu und schließt bestimmte IP-Adressen aus dem DHCP-Pool aus. |
Beispielkonfiguration für DHCP-Snooping auf einem Dell Switch
# Aktivierung von DHCP-Snooping
OS10(config)# ip dhcp snooping
OS10(config)# ip dhcp snooping vlan 10
OS10(config)# ip dhcp snooping vlan 20
# Konfiguration vertrauenswürdiger Ports
OS10(config)# interface ethernet 1/1/1
OS10(conf-if-eth1/1/1)# ip dhcp snooping trust
OS10(conf-if-eth1/1/1)# exit
OS10(config)# interface ethernet 1/1/2
OS10(conf-if-eth1/1/2)# ip dhcp snooping trust
OS10(conf-if-eth1/1/2)# exit
# Aktivierung der Bindings-Datenbank
OS10(config)# ip dhcp snooping database flash:dhcp-snooping-database
Beispielkonfiguration für Access Control Lists (ACLs) auf einem Dell Switch
# Erstellen einer ACL, um den Zugriff auf den DHCP-Server zu beschränken
OS10(config)# ip access-list standard DHCP-Access
OS10(conf-std-acl)# permit 192.168.1.0 0.0.0.255
OS10(conf-std-acl)# deny any
OS10(conf-std-acl)# exit
# Anwenden der ACL auf die Schnittstelle
OS10(config)# interface ethernet 1/1/3
OS10(conf-if-eth1/1/3)# ip access-group DHCP-Access in
OS10(conf-if-eth1/1/3)# exit