DHCP verfügt ursprünglich über keine Sicherheitsmechanismen zum Schutz von Angriffen auf die Zuweisung der Netzkonfiguration. Sendet z. B. ein Client ein DHCP-Discover-Paket ins Netz, um von einem DHCP-Server eine gültige Netzkonfiguration zu erhalten, kann ein Angreifer gefälschte DHCP-Offer-Pakete an diesen Client senden und ihm so z. B. ein präpariertes Default-Gateway vorsetzen (DHCP-Spoofing).
Das DHCP-Snooping ermöglicht Geräten, die DHCP-Pakete empfangen und weiterleiten, diese Datenpakete zu analysieren, zu verändern und anhand bestimmter Kriterien zu filtern. Die zusätzlich eingefügten Informationen über die Herkunft von DHCP-Paketen ermöglichen es einem DHCP-Server einerseits, umfangreiche Netzen besser zu verwalten. Anderseits kann ein Angreifer, in dessen DHCP-Paketen diese Zusatzinformationen fehlen, nicht mehr einfach in DHCP-Verhandlungen zwischen DHCP-Server, DHCP-Relay-Agent und DHCP-Client stören.
Der Access Point unterstützt DHCP-Snooping auf Layer-2. Damit ist es ihm z. B. möglich, Informationen (z. B. die SSID) in die empfangenen DHCP-Pakete des Clients auf dem WLAN einzufügen, bevor er sie anschließend in das LAN weiterleitet. Der Access Point fügt dazu die DHCP Relay Agent Information Option (Option 82) nach RFC 3046 ein.
Im LANconfig können Sie das DHCP-Snooping unter DHCP-Snooping für jede Schnittstelle separat festlegen.
mit einem Klick aufNach Auswahl der entsprechenden Schnittstelle können Sie die folgenden Einstellungen festlegen:
- DHCP-Agenten-Info hinzufügen
- Bestimmen Sie hier, ob der DHCP-Relay-Agent den ankommenden DHCP-Paketen die DHCP-Option "Relay Agent Info" (Option 82) anfügen bzw. eine vorhandene "Relay Agent Info" bearbeiten soll, bevor er die Anfrage an einen DHCP-Server weiterleitet. Die "Relay Agent Info" setzt sich aus den Werten für Remote-ID und Circuit-ID zusammen.
- Erhaltene Agenten-Info
- Bestimmen Sie hier, wie der DHCP-Relay-Agent mit der "Relay Agent Info" in ankommenden DHCP-Datenpaketen umgehen soll. Folgende Einstellungen sind möglich:
- erhalten: In dieser Einstellung leitet der DHCP-Relay-Agent ein DHCP-Paket mit vorhandener "Relay Agent Info" ohne Veränderung an den DHCP-Server weiter.
- ersetzen: In dieser Einstellung ersetzt der DHCP-Relay-Agent eine vorhandene "Relay Agent Info" durch die in den Feldern Remote-ID und Circuit-ID vorgegebenen Werte.
- Paket verwerfen: In dieser Einstellung löscht der DHCP-Relay-Agent ein DHCP-Paket, das eine "Relay Agent Info" enthält.
- Remote-ID
- Die Remote-ID ist eine Unteroption der "Relay Agent Info"-Option und kennzeichnet eindeutig den Client, der einen DHCP-Request stellt.
- Circuit-ID
- Die Circuit-ID ist eine Unteroption der "Relay Agent Info"-Option und kennzeichnet eindeutig die Schnittstelle, über die ein Client einen DHCP-Request stellt.
Sie können die folgenden Variablen für Remote-Id und Circuit-Id verwenden:
- %%: fügt ein Prozent-Zeichen ein.
- %c: fügt die MAC-Adresse der Schnittstelle ein, auf der der Relay-Agent den DHCP-Request erhalten hat. Handelt es sich um eine WLAN-SSID, ist das die entsprechende BSSID.
- %i: fügt den Namen der Schnittstelle ein, auf der der Relay-Agent den DHCP-Request erhalten hat.
- %n: fügt den Namen des DHCP-Relay-Agents ein, wie er z. B. unter festgelegt ist.
- %v: fügt die VLAN-ID des DHCP-Request-Pakets ein. Diese VLAN-ID stammt entweder direkt aus dem VLAN-Header des DHCP-Datenpakets oder aus der VLAN-ID-Zuordnung für diese Schnittstelle.
- %p: fügt den Namen der Ethernet-Schnittstelle ein, die das DHCP-Datenpaket empfangen hat. Diese Variable ist hilfreich bei Geräten mit eingebautem Ethernet-Switch oder Ethernet-Mapper, da diese mehr als eine physikalische Schnittstelle auf eine logische Schnittstelle mappen können. Bei anderen Geräten sind %p und %i identisch.
- %r: fügt die schnittstellenunabhängige und systemweit gültige MAC-Adresse des Gerätes ein, welches den DHCP-Request erhalten hat.
- %s: fügt die WLAN-SSID ein, wenn das DHCP-Paket von einem WLAN-Client stammt. Bei anderen Clients enthält diese Variable einen leeren String.
- %e: fügt die Seriennummer des Relay-Agents ein, wie sie z. B. unter zu finden ist.