M6 · Segurança

DHCP Snooping

O que é DHCP Snooping

DHCP Snooping é um recurso de segurança de Camada 2 que protege a rede contra servidores DHCP não autorizados (rogue DHCP servers). Sem ele, um atacante pode conectar um servidor DHCP falso e distribuir endereços IP maliciosos, realizando ataques de man-in-the-middle.

O switch age como um firewall entre hosts não confiáveis e servidores DHCP, inspecionando mensagens DHCP antes de encaminhá-las.

Trusted vs Untrusted Ports

Toda porta do switch recebe uma classificação:

Tipo Comportamento
Trusted Aceita todas as mensagens DHCP (OFFER, ACK). Usada para uplinks e portas conectadas ao servidor DHCP legítimo.
Untrusted Descarta mensagens DHCP enviadas por servidores (OFFER, ACK). Padrão de todas as portas.

> Regra prática: Portas de acesso (hosts) = untrusted. Uplinks e porta do servidor DHCP = trusted.

DHCP Snooping Binding Table

O switch mantém uma tabela com as concessões DHCP válidas, registrando:

  • Endereço MAC do cliente
  • Endereço IP concedido
  • Lease time
  • VLAN
  • Interface de origem

Essa tabela é usada por outros recursos como Dynamic ARP Inspection (DAI) e IP Source Guard.

Configuração no Cisco IOS

Habilitar globalmente e por VLAN

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10

Configurar porta como trusted

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# ip dhcp snooping trust

Limitar taxa de mensagens DHCP (rate limiting)

Em portas untrusted, é recomendado limitar a quantidade de mensagens DHCP por segundo para mitigar ataques de exaustão (DHCP starvation):

Switch(config)# interface GigabitEthernet0/2
Switch(config-if)# ip dhcp snooping limit rate 15

Verificar configuração e binding table

Switch# show ip dhcp snooping
Switch# show ip dhcp snooping binding

Opção 82 (DHCP Option 82)

Por padrão, quando o DHCP Snooping está ativo, o switch insere a Option 82 (relay agent information) nas mensagens DHCP antes de encaminhá-las. Alguns servidores DHCP descartam pacotes com Option 82 recebidos diretamente de um switch (não de um relay agent).

Se houver problemas de concessão, desative a inserção da Option 82:

Switch(config)# no ip dhcp snooping information option

Pontos críticos para o exame CCNA

  • DHCP Snooping é habilitado globalmente e depois por VLAN — ambos os comandos são necessários
  • Todas as portas são untrusted por padrão
  • Somente portas trusted aceitam mensagens DHCP do tipo servidor (OFFER, ACK, NAK)
  • A binding table é a base para DAI e IP Source Guard
  • O comando no ip dhcp snooping information option resolve problemas com Option 82 em redes sem relay agent
  • Rate limiting protege contra DHCP starvation attacks