In een modern netwerk zijn er veel protocollen die samenwerken om communicatie mogelijk te maken. Twee van de meest fundamentele protocollen voor het dagelijks functioneren van een netwerk zijn DHCP (Dynamic Host Configuration Protocol) en ARP (Address Resolution Protocol). Hieronder lees je wat ze doen, hoe ze werken en waarom ze belangrijk zijn.
DHCP automatiseert het proces van het toewijzen van IP-adressen aan apparaten (hosts) in een netwerk. Zonder DHCP zou je elk apparaat handmatig een IP-adres moeten geven, wat foutgevoelig en tijdrovend is.
Het proces verloopt in vier stappen, vaak samengevat als DORA:
[Client] --DHCP Discover--> [Broadcast]
[Server] --DHCP Offer-----> [Client]
[Client] --DHCP Request---> [Server]
[Server] --DHCP Ack-------> [Client]
ARP vertaalt een IP-adres naar een fysiek MAC-adres. Dit is nodig omdat communicatie op het lokale netwerk (bijvoorbeeld Ethernet) plaatsvindt via MAC-adressen, terwijl hogere lagen werken met IP-adressen.
[Host A] --ARP Request (broadcast)--> [Netwerk]
[Host B] --ARP Reply (unicast)------> [Host A]
Om te voorkomen dat er steeds opnieuw ARP-verzoeken worden verstuurd, bewaren apparaten een ARP-cache: een tijdelijke tabel met bekende IP- en MAC-adrescombinaties.
Een fake DHCP-server (ook wel rogue DHCP-server genoemd) is een ongeautoriseerde DHCP-server die opzettelijk of per ongeluk in een netwerk wordt geplaatst. In cybersecurity wordt dit vaak gebruikt als aanvalstechniek om netwerkverkeer te onderscheppen, te manipuleren of om gebruikers naar kwaadaardige netwerken te leiden.
Wanneer een client een IP-adres aanvraagt via DHCP, kan een fake DHCP-server sneller reageren dan de legitieme server. Hierdoor krijgt de client netwerkconfiguratiegegevens van de aanvaller, zoals:
Hierdoor kan de aanvaller:
[Client] --DHCP Discover--> [Broadcast]
[Legitieme Server] --DHCP Offer-----> [Client]
[Fake Server] ------DHCP Offer-----> [Client] (sneller!)
[Client] --DHCP Request---> [Fake Server]
[Fake Server] --DHCP Ack-------> [Client]
De client vertrouwt nu op de fake DHCP-server en gebruikt de door de aanvaller opgegeven instellingen.
Dynamic ARP Inspection (DAI) is een beveiligingsmechanisme dat wordt gebruikt om ARP-spoofing en ARP-poisoning-aanvallen te voorkomen. DAI controleert ARP-pakketten op het netwerk en zorgt ervoor dat alleen legitieme ARP-responses worden geaccepteerd.
ARP is van zichzelf niet beveiligd. Een aanvaller kan ARP-pakketten vervalsen en zo het verkeer van andere apparaten onderscheppen (Man-in-the-Middle). DAI beschermt hiertegen door alleen ARP-responses toe te staan die overeenkomen met bekende, betrouwbare IP-MAC-combinaties.
[Switch] -- ontvangt ARP Reply van Host A
[Switch] -- controleert: Staat IP/MAC in de DHCP Snooping binding table?
- Ja: ARP Reply wordt doorgelaten
- Nee: ARP Reply wordt geblokkeerd (mogelijk spoofing)
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# ip dhcp snooping trust
Switch(config)# ip arp inspection vlan 10