DHCP snooping (original) (raw)
En redes informáticas, el snooping DHCP es una serie de técnicas aplicadas para asegurar la seguridad de una infraestructura DHCP existente. Cuándo los servidores DHCP están asignando las direcciones IP a los clientl DHCP snooping puede ser configurado en cambios de LAN a la fuerza para dejar clientes con direcciones IP/MAC para tener acceso a la red.
| Property | Value |
|---|---|
| dbo:abstract | DHCP-Snooping ist eine Netzwerk-Sicherheitsfunktion, die auf Schicht 2 des OSI-Modells abläuft, indem sie nicht vertrauenswürdige DHCP-Nachrichten filtert und eine DHCP-Snooping-Binding-Database aufbaut und pflegt. Dieses Sicherheitsfeature schützt vor sogenannten DHCP-Spoofing, Rogue-DHCP-Servern oder Fehlkonfigurationen. Es wird auf dem Switch aktiviert, an den der DHCP-Server angeschlossen ist. DHCP-Snooping untersucht alle DHCP-Pakete und unterbindet das Versenden gefälschter DHCP-Informationen. Dazu werden die Switchports in trusted und untrusted Ports eingeteilt. Ein Angreifer könnte auf DHCP-Discover-Pakete mit eigenen DHCP-Offers reagieren. Einem Client, der eine solche gefälschte Offer annimmt, kann ein neues Default Gateway untergeschoben werden. Bei aktiviertem DHCP-Snooping werden nur DHCP-Offers von trusted Ports vom Switch weitergeleitet. Auf dem Switch werden in einer Datenbank Informationen über Hosts, die eine DHCP-Transaktion erfolgreich abgeschlossen haben, in einer Datenbank gesammelt, die dann von anderen Sicherheitsfunktionen verwendet werden kann (DHCP-Snooping-Binding-Database). (de) In computer networking, DHCP snooping is a series of techniques applied to improve the security of a DHCP infrastructure. DHCP servers allocate IP addresses to clients on a LAN. DHCP snooping can be configured on LAN switches to exclude rogue DHCP servers and remove malicious or malformed DHCP traffic. In addition, information on hosts which have successfully completed a DHCP transaction is accrued in a database of bindings which may then be used by other security or accounting features. Other features may use DHCP snooping database information to ensure IP integrity on a Layer 2 switched domain. This information enables a network to: * Track the physical location of IP addresses when combined with AAA accounting or SNMP. * Ensure that hosts only use the IP addresses assigned to them when combined with source-guard a.k.a. source-lockdown * Sanitize ARP requests when combined with arp-inspection a.k.a. arp-protect (en) En redes informáticas, el snooping DHCP es una serie de técnicas aplicadas para asegurar la seguridad de una infraestructura DHCP existente. Cuándo los servidores DHCP están asignando las direcciones IP a los clientl DHCP snooping puede ser configurado en cambios de LAN a la fuerza para dejar clientes con direcciones IP/MAC para tener acceso a la red. (es) Nelle reti di computer e nella sicurezza delle reti, lo snooping DHCP è una tecnica di ispezione di un pacchetto IP usato per il protocollo DHCP eseguita dal livello 2 dello stack OSI allo scopo di migliorare la sicurezza dell'infrastruttura. (it) コンピュータネットワークにおいて、DHCPスヌーピング(英: DHCP snooping)とは、DHCPインフラストラクチャのセキュリティを向上させるために適用される一連の技術である。 DHCPスヌーピングは、スイッチングハブにおいて、DHCPサーバがLAN上のクライアントとの間でやり取りするDHCPメッセージの中身をスヌーピング(のぞき見)し、不正な端末がDHCPクライアントやDHCPサーバになりすます攻撃(これをDHCPスプーフィング攻撃という)を防止する。英語でスプーフィング(spoofing)とは"なりすまし"の意味であり、そのなりすましを発見するためにスヌーピング(snooping = のぞき見)して不正なDHCPパケットを監視するするのである。 右の図の例では、正規のDHCPサーバが接続されているポートのみを"Trusted port"(信頼できるポート)、それ以外を"Untrusted port"(信頼できないポート)とし、DHCPサーバから送られるメッセージがUntrusted portに届いた場合はそれを破棄する。これにより、不正なDHCPサーバからのメッセージがクライアントに届かないようになる。また、DHCPトランザクションを正常に完了したホストに関する情報は、スイッチ内のバインディングデータベースに蓄積される。このデータベースは、他のセキュリティ機能やアカウンティング機能によって使用することができる。 この他、DHCPスヌーピングデータベース情報を使用して、レイヤ2スイッチドドメインのIPの整合性を保証することがある。この情報により、ネットワークは次のことが可能になる。 * AAAアカウンティングやSNMPと組み合わせて、IPアドレスの物理的な場所を追跡できる。 * source-guard(source-lockdown)と組み合わせて、ホストが自分に割り当てられたIPアドレスのみを使用するようにする。 * arp-inspection(arp-protect)と組み合わせて、ARP要求を無害化する また、DHCPスヌーピングはDHCPパケットを監視するのみならず、DHCPパケットのレートを制限することも可能で、大量のDHCP要求を送りつける攻撃(DoS攻撃)を防ぐことができる。具体的には、インターフェースが受信できる1秒あたりのDHCPパケット数を設定することでDoS攻撃を防ぐ。下記例はシスコ社製の機器でのコマンド設定。 * (config-if)#ip dhcp snooping limit rate {1秒あたりに受信可能なDHCPパケット数} (ja) DHCP-snooping is een netwerktechniek, die wordt gebruikt om een local area network te beveiligen tegen ongeauthoriseerde DHCP-servers. Een hacker die toegang heeft tot een netwerk, heeft de mogelijkheid een eigen DHCP-server aan te koppelen die zelf ip-adressen uitdeelt aan client-pc's die zich aanmelden op het netwerk en daarmee hun netwerkverkeer te onderscheppen en te gebruiken voor illegale doeleinden. Met DHCP-snooping wordt een vertrouwde of onvertrouwde status toegekend aan een switchpoort. Hierdoor wordt het mogelijk dat enkel de, voor de organisatie bekende, DHCP-servers op vertrouwde switchpoorten ip-adressen uitgeven. Een illegale DHCP-server, die op een willekeurige host achter een onvertrouwde switchpoort is aangesloten, kan geen adres meer toekennen. DHCP-snooping bouwt een database voor alle clients die op een onvertrouwde poort zijn aangesloten. In deze database worden dynamisch voor iedere poort het MAC-adres, ip-adres, de DHCP-lease-tijd, het DHCP-bindingtype en het VLAN opgeslagen. DHCP-snooping valideert ieder DHCP-netwerkpakket (DHCPOFFER, DHCPACK, DHCPNAK, of DHCPLEASEQUERY), dat van een DHCP-server op een onvertrouwde interface binnenkomt. Het is mogelijk om meer opties te configureren, waarmee extra beveiliging kan worden gerealiseerd. De DHCP-snooping database wordt ook voor andere beveiligingstechnieken gebruikt, zoals en . (nl) DHCP Snooping是DHCP的一种安全特性,主要应用在交换机上。 (zh) |
| dbo:thumbnail | wiki-commons:Special:FilePath/DHCP_Snooping_-en.png?width=300 |
| dbo:wikiPageID | 13205719 (xsd:integer) |
| dbo:wikiPageLength | 1971 (xsd:nonNegativeInteger) |
| dbo:wikiPageRevisionID | 1071178460 (xsd:integer) |
| dbo:wikiPageWikiLink | dbr:Rogue_DHCP_server dbr:SNMP dbr:Network_switch dbr:Local_area_network dbr:Client_(computing) dbr:Address_Resolution_Protocol dbr:Data_link_layer dbc:Application_layer_protocols dbr:Dynamic_Host_Configuration_Protocol dbc:Internet_Standards dbr:Computer_networking dbr:Server_(computing) dbr:IP_address dbr:File:DHCP_Snooping_-en.png |
| dbp:wikiPageUsesTemplate | dbt:Reflist dbt:Short_description |
| dct:subject | dbc:Application_layer_protocols dbc:Internet_Standards |
| gold:hypernym | dbr:Series |
| rdf:type | yago:WikicatApplicationLayerProtocols yago:WikicatNetworkProtocols yago:Abstraction100002137 yago:Communication100033020 yago:Direction106786629 yago:Measure100033615 yago:Message106598915 yago:Protocol106665108 yago:WikicatInternetStandards dbo:TelevisionShow yago:Rule106652242 yago:Standard107260623 yago:SystemOfMeasurement113577171 |
| rdfs:comment | En redes informáticas, el snooping DHCP es una serie de técnicas aplicadas para asegurar la seguridad de una infraestructura DHCP existente. Cuándo los servidores DHCP están asignando las direcciones IP a los clientl DHCP snooping puede ser configurado en cambios de LAN a la fuerza para dejar clientes con direcciones IP/MAC para tener acceso a la red. (es) Nelle reti di computer e nella sicurezza delle reti, lo snooping DHCP è una tecnica di ispezione di un pacchetto IP usato per il protocollo DHCP eseguita dal livello 2 dello stack OSI allo scopo di migliorare la sicurezza dell'infrastruttura. (it) DHCP Snooping是DHCP的一种安全特性,主要应用在交换机上。 (zh) DHCP-Snooping ist eine Netzwerk-Sicherheitsfunktion, die auf Schicht 2 des OSI-Modells abläuft, indem sie nicht vertrauenswürdige DHCP-Nachrichten filtert und eine DHCP-Snooping-Binding-Database aufbaut und pflegt. Dieses Sicherheitsfeature schützt vor sogenannten DHCP-Spoofing, Rogue-DHCP-Servern oder Fehlkonfigurationen. Es wird auf dem Switch aktiviert, an den der DHCP-Server angeschlossen ist. DHCP-Snooping untersucht alle DHCP-Pakete und unterbindet das Versenden gefälschter DHCP-Informationen. Dazu werden die Switchports in trusted und untrusted Ports eingeteilt. (de) In computer networking, DHCP snooping is a series of techniques applied to improve the security of a DHCP infrastructure. DHCP servers allocate IP addresses to clients on a LAN. DHCP snooping can be configured on LAN switches to exclude rogue DHCP servers and remove malicious or malformed DHCP traffic. In addition, information on hosts which have successfully completed a DHCP transaction is accrued in a database of bindings which may then be used by other security or accounting features. (en) コンピュータネットワークにおいて、DHCPスヌーピング(英: DHCP snooping)とは、DHCPインフラストラクチャのセキュリティを向上させるために適用される一連の技術である。 DHCPスヌーピングは、スイッチングハブにおいて、DHCPサーバがLAN上のクライアントとの間でやり取りするDHCPメッセージの中身をスヌーピング(のぞき見)し、不正な端末がDHCPクライアントやDHCPサーバになりすます攻撃(これをDHCPスプーフィング攻撃という)を防止する。英語でスプーフィング(spoofing)とは"なりすまし"の意味であり、そのなりすましを発見するためにスヌーピング(snooping = のぞき見)して不正なDHCPパケットを監視するするのである。 この他、DHCPスヌーピングデータベース情報を使用して、レイヤ2スイッチドドメインのIPの整合性を保証することがある。この情報により、ネットワークは次のことが可能になる。 * AAAアカウンティングやSNMPと組み合わせて、IPアドレスの物理的な場所を追跡できる。 * source-guard(source-lockdown)と組み合わせて、ホストが自分に割り当てられたIPアドレスのみを使用するようにする。 * arp-inspection(arp-protect)と組み合わせて、ARP要求を無害化する (ja) DHCP-snooping is een netwerktechniek, die wordt gebruikt om een local area network te beveiligen tegen ongeauthoriseerde DHCP-servers. Een hacker die toegang heeft tot een netwerk, heeft de mogelijkheid een eigen DHCP-server aan te koppelen die zelf ip-adressen uitdeelt aan client-pc's die zich aanmelden op het netwerk en daarmee hun netwerkverkeer te onderscheppen en te gebruiken voor illegale doeleinden. Met DHCP-snooping wordt een vertrouwde of onvertrouwde status toegekend aan een switchpoort. Hierdoor wordt het mogelijk dat enkel de, voor de organisatie bekende, DHCP-servers op vertrouwde switchpoorten ip-adressen uitgeven. Een illegale DHCP-server, die op een willekeurige host achter een onvertrouwde switchpoort is aangesloten, kan geen adres meer toekennen. (nl) |
| rdfs:label | DHCP-snooping (de) Snooping DHCP (es) DHCP snooping (en) DHCP snooping (it) DHCPスヌーピング (ja) DHCP-snooping (nl) DHCP snooping (zh) |
| owl:sameAs | freebase:DHCP snooping yago-res:DHCP snooping wikidata:DHCP snooping dbpedia-de:DHCP snooping dbpedia-es:DHCP snooping dbpedia-it:DHCP snooping dbpedia-ja:DHCP snooping dbpedia-nl:DHCP snooping dbpedia-vi:DHCP snooping dbpedia-zh:DHCP snooping https://global.dbpedia.org/id/4TwbJ |
| prov:wasDerivedFrom | wikipedia-en:DHCP_snooping?oldid=1071178460&ns=0 |
| foaf:depiction | wiki-commons:Special:FilePath/DHCP_Snooping_-en.png |
| foaf:isPrimaryTopicOf | wikipedia-en:DHCP_snooping |
| is dbo:wikiPageDisambiguates of | dbr:Snooping |
| is dbo:wikiPageRedirects of | dbr:DHCP_Snooping |
| is dbo:wikiPageWikiLink of | dbr:DHCP_Snooping dbr:MAC-Forced_Forwarding dbr:Snooping dbr:Rogue_DHCP |
| is rdfs:seeAlso of | dbr:Dynamic_Host_Configuration_Protocol |
| is foaf:primaryTopic of | wikipedia-en:DHCP_snooping |
