DHCP-Snooping und DHCP-Option 82

DHCP verfügt ursprünglich über keine Sicherheitsmechanismen zum Schutz von Angriffen auf die Zuweisung der Netzkonfiguration. Sendet z. B. ein Client ein DHCP-Discover-Paket ins Netz, um von einem DHCP-Server eine gültige Netzkonfiguration zu erhalten, kann ein Angreifer gefälschte DHCP-Offer-Pakete an diesen Client senden und ihm so z. B. ein präpariertes Default-Gateway vorsetzen (DHCP-Spoofing).

Das DHCP-Snooping ermöglicht Geräten, die DHCP-Pakete empfangen und weiterleiten, diese Datenpakete zu analysieren, zu verändern und anhand bestimmter Kriterien zu filtern. Die zusätzlich eingefügten Informationen über die Herkunft von DHCP-Paketen ermöglichen es einem DHCP-Server einerseits, umfangreiche Netzen besser zu verwalten. Anderseits kann ein Angreifer, in dessen DHCP-Paketen diese Zusatzinformationen fehlen, nicht mehr einfach in DHCP-Verhandlungen zwischen DHCP-Server, DHCP-Relay-Agent und DHCP-Client stören.

Der Access Point unterstützt DHCP-Snooping auf Layer-2. Damit ist es ihm z. B. möglich, Informationen (z. B. die SSID) in die empfangenen DHCP-Pakete des Clients auf dem WLAN einzufügen, bevor er sie anschließend in das LAN weiterleitet. Der Access Point fügt dazu die DHCP Relay Agent Information Option (Option 82) nach RFC 3046 ein.

Im LANconfig können Sie das DHCP-Snooping unter Schnittstellen > Snooping mit einem Klick auf DHCP-Snooping für jede Schnittstelle separat festlegen.





Nach Auswahl der entsprechenden Schnittstelle können Sie die folgenden Einstellungen festlegen:





DHCP-Agenten-Info hinzufügen
Bestimmen Sie hier, ob der DHCP-Relay-Agent den ankommenden DHCP-Paketen die DHCP-Option "Relay Agent Info" (Option 82) anfügen bzw. eine vorhandene "Relay Agent Info" bearbeiten soll, bevor er die Anfrage an einen DHCP-Server weiterleitet. Die "Relay Agent Info" setzt sich aus den Werten für Remote-Id und Circuit-Id zusammen.
Erhaltene Agenten-Info
Bestimmen Sie hier, wie der DHCP-Relay-Agent mit der "Relay Agent Info" in ankommenden DHCP-Datenpaketen umgehen soll. Folgende Einstellungen sind möglich:
  • erhalten: In dieser Einstellung leitet der DHCP-Relay-Agent ein DHCP-Paket mit vorhandener "Relay Agent Info" ohne Veränderung an den DHCP-Server weiter.
  • ersetzen: In dieser Einstellung ersetzt der DHCP-Relay-Agent eine vorhandene "Relay Agent Info" durch die in den Feldern Remote-Id und Circuit-Id vorgegebenen Werte.
  • Paket verwerfen: In dieser Einstellung löscht der DHCP-Relay-Agent ein DHCP-Paket, das eine "Relay Agent Info" enthält.
Remote-Id
Die Remote-ID ist eine Unteroption der "Relay Agent Info"-Option und kennzeichnet eindeutig den Client, der einen DHCP-Request stellt.
Circuit-Id
Die Circuit-ID ist eine Unteroption der "Relay Agent Info"-Option und kennzeichnet eindeutig die Schnittstelle, über die ein Client einen DHCP-Request stellt.

Sie können die folgenden Variablen für Remote-Id und Circuit-Id verwenden: