DHCP Snooping ist eine Sicherheitsfunktion auf Switches, die gefälschte DHCP-Server („Rogue DHCP“) blockiert.
Sie sorgt dafür, dass nur vertrauenswürdige Ports DHCP-Antworten senden dürfen.

Ohne Schutz kann jedes Gerät im Netzwerk so tun, als wäre es ein DHCP-Server.

Angriffsszenario:

• Angreifer schließt Laptop an
• startet eigenen DHCP-Server
• verteilt falsche IPs, Gateways, DNS-Server
• Opfer gerät in ein Fake-Netz („Man-in-the-Middle“)

Auswirkungen:

• Ausfall kompletter Netzbereiche
• Umleitung des gesamten Traffics
• DNS-Manipulation
• Sicherheitsvorfälle

DHCP Snooping verhindert genau das.

DHCP Snooping unterscheidet:

• Trusted Ports
• Untrusted Ports

Trusted Ports

• dürfen DHCP-Server-Antworten senden
• typischerweise Uplinks, Router, Firewall

Untrusted Ports

• alle normalen Access-Ports
• DHCP-Server-Antworten werden blockiert
• nur DHCP-Client-Anfragen erlaubt

ASCII-Illustration:

 [ Router/DHCP ] --(trusted)-- [ Switch ] --(untrusted)-- PCs

Der Switch führt eine Tabelle, die alle gültigen DHCP-Leases speichert:

Diese Tabelle dient als Grundlage für weitere Security-Funktionen:

• IP Source Guard
• Dynamic ARP Inspection (DAI)

• Schutz vor Rogue DHCP-Servern
• legt gültige MAC–IP–Port-Beziehungen fest
• schützt ARP und IP-Zuordnungen
• integriert sich mit NAC-Systemen
• unverzichtbar in Unternehmensnetzwerken

1. Client sendet DHCP Discover (untrusted → erlaubt)
2. Switch leitet Anfrage an trusted DHCP-Server weiter
3. DHCP-Server sendet OFFER / ACK auf trusted Port
4. Switch prüft Herkunft → nur trusted Ports akzeptiert
5. Switch trägt Lease in Binding Table ein
6. Client erhält gültige IP

 ip dhcp snooping
 ip dhcp snooping vlan 10,20,30

 interface Gi0/1
    ip dhcp snooping trust     ← Uplink

 interface Gi0/10
    ip dhcp snooping limit rate 20  ← Anti-Flood

1. DHCP Snooping global aktivieren
2. VLANs definieren, in denen DHCP Snooping gilt
3. Uplink-Port(s) trusted setzen
4. Alle Access-Ports bleiben untrusted
5. Optional Rate-Limits setzen
6. Binding Table aktivieren

Mit aktivem Snooping kann DAI (Dynamic ARP Inspection) prüfen:

• passt IP zu MAC?
• passt Port zur MAC?

Wenn nicht → blockiert.

• Uplink versehentlich untrusted → DHCP fällt komplett aus
• nicht alle relevanten VLANs aktiviert
• Binding Table nicht persistent gespeichert
• Rate-Limits zu niedrig eingestellt

              +-------------------+
              |    DHCP-Server    |
              +---------+---------+
                        |
                  (trusted port)
                        |
 +----------------------+----------------------+
 |                    Switch                   |
 |   untrusted ports   |    trusted ports      |
 |  PC1 PC2 PC3 PC4    |      Uplink           |
 +----------+----------+-----------------------+

• verhindert DNS-Umlenkungen durch Rogue DHCP

  • verhindert Man-in-the-Middle
    * beschränkt DHCP-Verkehr auf vertrauenswürdige Ports
    * Grundlage für weitere Switch-Sicherheitsfunktionen
    

  Zusammenfassung
• DHCP Snooping schützt vor falschen DHCP-Servern

  • unterscheidet trusted vs untrusted Ports
    * speichert gültige MAC–IP–Port-Zuordnungen in Binding Tables
    * essenziell in Unternehmen und VLAN-Umgebungen
    * Grundlage für IP Source Guard & Dynamic ARP Inspection