Projet Reseaux
Projet Reseaux
Projet Reseaux
[NOM DE LA SOCIÉTÉ]
[Adresse de la société]
ETUDE DU PROTOCOLE
D’ADMINISTRATION
RÉSEAU DHCP
[Sous-titre du document]
Table des matières
I. Introduction.........................................................................................................................1
II. Définition du DHCP............................................................................................................1
III. Fonctionnement :.............................................................................................................1
IV. Description d’attaques sur le protocole DHCP :..............................................................4
A. Attaque par épuisement de ressources.............................................................................4
B. Faux serveurs DHCP :.....................................................................................................5
1
I. Introduction
Dans un réseau TCP/IP chaque hôte doit disposer d’un nom et d’une adresse IP unique.
L’adresse IP et le masque de sous-réseau qui lui est associé permettent d’identifier l’hôte et le
sous réseau auquel appartient l’hôte. Les adresses IP peuvent être affectées manuellement par
l’administrateur réseau. Toutefois, un réseau d’entreprise comprend dans la plupart des cas un
nombre assez important d’abonnés et l’attribution manuelle des paramètres réseau devient vite
une tâche complexe et source d’erreurs. Il serait donc intéressant d’avoir un mécanisme rapide
et fiable pour attribuer automatiquement aux hôtes d’un réseau des adresses IP.
DHCP essor pour être la solution parfaite, ce protocole a été utilisé la première fois en 1993.
IL est défini par la RFC1531 et a été, par la suite modifié et complété par les RFC1534,
RFC2131 et RFC2132. Ce protocole fonctionne aussi bien en IPv4 qu’en IPv6. Dans ce cas, il
s’appelle DHCPv6 et les adresses peuvent être auto configurée, sans DHCP. Le moteur
principal de ce protocole est adossé à la communication BOOTP (Protocole Bootstrap)
II. DHCP
1. Définition :
2 Avantage :
2
III. Fonctionnement :
L’opération DHCP commence avec un périphérique (le client) demandant une adresse IP à un
routeur (l’hôte). Ce message envoyé est appelé une demande de découverte DHCP « DHCP
DISCOVER ». Lorsque le serveur reçoit cette requête, il la relaie vers son service réseau
DHCP.
Ce dernier examine les adresses IP disponibles qui n’ont pas été revendiquées par d’autres
ordinateurs. Dès que le serveur identifie une adresse IP libre, il l’envoie à l’ordinateur ou à
l’appareil demandeur. Cette partie du processus est appelée une offre DHCP« DHCP
OFFER ».
Le client reçoit l’adresse IP allouée dynamiquement et renvoie un message au serveur pour
confirmer qu’il souhaite l’utiliser. Cette étape est appelée un message de requête
DHCP« DHCP REQUEST ».
Le routeur DHCP envoie ensuite un message final au périphérique qui a initié tout ce
processus. Ce message est appelé accusé de réception DHCP« DHCPACK ». Il contient les
informations de configuration nécessaires pour accorder un accès réseau comme la passerelle,
les serveurs DNS et la durée pendant laquelle le périphérique peut être utilisé.
Ces différentes étapes du bon fonctionnement du protocole reposent donc sur la transmission
de paquets d’informations. Ceux-ci différent selon leur origine, leur destination et leur
3
fonction. L’on peut ainsi distinguer le DHCPDISCOVER qui localise les serveurs DHCP
disponibles. Les serveurs en question répondent par l’intermédiaire d’un DHCPOFFER, en y
incluant les premiers paramètres. Ensuite, plusieurs autres types de paquets peuvent être
envoyés pour communiquer d’autres demandes ou signaler des états particuliers. L’on peut
citer DHCPINFORM ou DHCPDECLINE, DHCPNAK, DHCPACK, DHCPRELEASE et
DHCPREQUEST.
DHCP prend en charge trois mécanismes d’allocation d’adresse IP :
La méthode d’attribution automatique : DHCP attribue une adresse IP permanente à
un client.
La méthode de l’allocation dynamique : DHCP attribue une adresse IP à un client pour
une période limitée ou jusqu’à ce que le client abandonne explicitement l’adresse IP.
La méthode de l’allocation manuelle : L’adresse IP d’un client est attribuée par
l’administrateur du réseau. Dans cette méthode, DHCP est utilisé uniquement pour
gérer l’attribution des adresses affectées manuellement aux clients.
Le processus DHCP se déroule en quatre phases comme illustré dans la figure 1. Ce processus
est souvent appelé le processus DORA.
Lorsqu’un hôte, configuré pour récupérer son adresse IP automatiquement, est mis en marche
la première fois, il va chercher à contacter un (ou plusieurs) serveur DHCP susceptible d’être
présent sur son réseau pour demander une adresse IP. Il envoie à cet effet, un
DHCPDISCOVER sur le réseau sous forme d’un datagramme UDP de broadcast en utilisant
les données suivantes :
4
2. DHCPOFFER ou proposition de bail
Le client choisit une adresse IP et renvoie sur le réseau un datagramme UDP de broadcast
(DHCPREQUEST) pour signifier l’offre qu’il a retenue (le restant des offres sera rejeté). Le
datagramme envoyé contient donc :
5
Figure 2 : Demande une nouvelle adresse
Les baux :
Pour des raisons d’optimisation des ressources réseau, les adresses IP sont délivrées pour une
durée limitée. C’est ce qu’on appelle un bail (lease en anglais). Un client qui voit son bail
arriver à terme peut demander au serveur un renouvellement du bail. De même, lorsque le
serveur verra un bail arrivé à terme, il émettra un paquet pour demander au client s’il veut
prolonger son bail. Si le serveur ne reçoit pas de réponse valide, il rend disponible l’adresse
IP. C’est toute la subtilité du DHCP : on peut optimiser l’attribution des adresses IP en jouant
sur la durée des baux. Le problème est là : si toutes les adresses sont allouées et si aucune
n’est libérée au bout d’un certain temps, plus aucune requête ne pourra être satisfaite.
6
Figure 3 : Renouvèlement adresse
Relais DHCP :
Le relais DHCP est une caractéristique qui est utilisée par un commutateur, également
connu sous le nom d'agent de relais, pour permettre la transmission DHCP entre les
hôtes et les serveurs DHCP distants qui ne sont pas sur le même réseau. Quand un
client envoie une diffusion DHCP pour une adresse IP, l'agent de relais en avant la
demande au sous-réseau auquel le serveur DHCP distant réside.
Figure4 :Relais DHCP
7
IV. Description d’attaques sur le protocole DHCP :
Comme il l’a été décrit, un serveur DHCP possède un stock d’adresses IP qu’il distribue aux
différents clients. Ce stock est bien sûr limité. Il y aura seulement un nombre défini de clients
pouvant disposer des différentes adresses IP en même temps. Si le serveur est bien administré
avec une liste fermée de correspondances entre adresses MAC et IP aucune attaque par
épuisement n’est possible.
Si le service est mal administré ; c’est à dire que les correspondances entre adresses MAC et
IP se font dynamiquement à partir d’une plage d’adresses IP vacantes, le scénario suivant est
possible. Si un pirate génère un grand nombre de requêtes DHCP semblant venir d’un grand
nombre de clients différents, le serveur épuisera vite son stock d’adresses. Les vrais clients ne
pourront donc plus obtenir d’adresse IP : le trafic réseau sera paralysé.
Cette attaque est une attaque par « déni de service par saturation » qui consiste à envoyer
beaucoup de paquets « DHCP DISCOVER » « DHCP REQUEST » au serveur DHCP afin
d’épuiser toutes ses ressources.
8
Figure 5: attaque par épuisement des ressources
9
Préventions ou mesures de securité:
DHCP Snooping :
DHCP Snooping est une technologie de sécurité de couche 2 du modèle OSI intégrée dans le
système d'exploitation d'un commutateur réseau capable qui connecte les clients aux serveurs
DHCP et supprime le trafic DHCP jugé inacceptable. Il empêche les serveurs DHCP non
autorisés de distribuer des adresses IP aux clients DHCP. La fonction DHCP Snooping permet
d'effectuer les actions suivantes :
Valide les messages DHCP provenant de sources non fiables et filtre les messages invalides.
Construit et maintient la base de données de liaison DHCP Snooping, qui contient des
informations sur les hôtes non fiables avec des adresses IP louées.
Utilise la base de données de liaison DHCP Snooping pour valider les requêtes ultérieures des
hôtes non fiables.
Authentification: 802.1X
Quel que soit le type d’attaque, les attaquants doivent cependant avoir un accès direct à votre
réseau afin d’utiliser le protocole DHCP à leurs propres fins. Prenez les précautions de
sécurité nécessaires et profitez des avantages du protocole de communication sans avoir à
craindre de telles attaques. En tant que responsable d’un réseau local plus large, vous devez
disposer d’une protection complète contre les attaques externes et internes ainsi que d’une
surveillance continue de tous les processus réseau avec des outils tels que Nagios et
wireshark.
10
Video DHCP simulation Packet Tracer
11