!Autor: Robson Vaamonde

!Procedimentos em TI: http://procedimentosemti.com.br

!Bora para Prática: http://boraparapratica.com.br

!Robson Vaamonde: http://vaamonde.com.br

!Facebook Procedimentos em TI: https://www.facebook.com/ProcedimentosEmTi

!Facebook Bora para Prática: https://www.facebook.com/BoraParaPratica

!Instagram Procedimentos em TI: https://www.instagram.com/procedimentoem

!YouTUBE Bora Para Prática: https://www.youtube.com/boraparapratica

!Data de criação: 08/05/2020

!Data de atualização: 08/05/2020

!Versão: 0.01

!Testado e homologado no Cisco Packet Tracer 7.3 e GNS3 2.2.7

!PRIMEIRA ETAPA: Configuração do Switch Layer 3 3560

!Acessando o modo EXEC Privilegiado

enable

!Acessando o modo de Configuração Global de Comandos

configure terminal

!Habilitando o recurso do DHCP Snooping no Switch Layer 3 3560

!DICA: o recurso do DHCP Snooping tem como objetivo básico mitigar ataques do tipo Homem-do-Meio (man-in-the-middle)

!DICA: o DHCP Snooping é associado sempre as VLAN's e quando habilitado ele coloca todas as portas no status não confiável (Untrusted)

!OBSERVAÇÃO: por padrão o recurso de DHCP Snooping está desabilitado em todos os Switch Cisco

!OBSERVAÇÃO: o DHCP Snooping possui uma base de dados local com informações de endereços IP, MAC Address e Lease Time

!OBSERVAÇÃO: o recurso do DHCP Snooping protege que um usuário acidentalmente adicione um Servidor DHCP na rede ou Router SOHO-ISR

!(Small Office / Home Office | Integrated Services Router)

ip dhcp snooping

!Configurando a segurança do DHCP Snooping na VLAN 1

!DICA: por padrão todos as Interfaces (Porta de Rede) no Switch estão associadas a VLAN 1 (VLAN Default)

!OBSERVAÇÃO: o DHCP Snooping monitora solicitações DHCP Client analisando os quadros da VLAN que está associada na Interface

!OBSERVAÇÃO: podemos adicionar mais VLAN's para o monitoramento, separadas por espaço ou range

!EXEMPLO: ip dhcp snooping vlan 10 20 30 | ip dhcp snooping vlan 10-30 | ip dhcp snooping vlan 1,5,8,10-30

ip dhcp snooping vlan 1

!Habilitando a opção 82 das requisições do DHCP Server

!DICA: o recurso de information option permite adicionar a opção 82 nos pacotes de solicitações do DHCP Server

!OBSERVAÇÃO: esse recurso é importante quando os pacotes DHCP estão vindo dos Switches de Acesso para não serem descartados

ip dhcp snooping information option

ip dhcp snooping information option allow-untrusted

!Configurando a Interface (Porta de Rede) do Servidor SERVER-02

interface FastEthernet 0/1

!Configurando a confiabilidade da Interface do Servidor

!DICA: portas confiáveis (Trust) são portas que tem permissão de enviar e receber pacotes DHCP

!OBSERVAÇÃO: configurar a porta Trust somente quando tiver servidores DHCP ou equipamentos que fornecem DHCP na rede

!CUIDADO: esse recurso também precisa ser configurado nas Interface de Trunk (Tronco - Cascateamento) dos Switch de Acesso

ip dhcp snooping trust

exit

!Configurando a Interface (Porta de Rede) do Access Point

interface FastEthernet 0/23

!Configurando o limite de requisições de DHCP Client por Interface

!DICA: limitar a quantidade de requisições de solicitações de DHCP aumenta a segurança da rede

!OBSERVAÇÃO: cuidado com portas que possuem vários equipamentos associadas a mesma, como Access Point, Hub, etc

!OBSERVAÇÃO: o limite de configuração das requisições simultâneas de DHCP Client é de: 1 até 2048

ip dhcp snooping limit rate 10

end

!Salvando as configurações da memória RAM para a memória NVRAM

write

!SEGUNDA ETAPA: Configuração do Switch Layer 2 2960

!Acessando o modo EXEC Privilegiado

enable

configure terminal

ip dhcp snooping

ip dhcp snooping vlan 1

ip dhcp snooping information option

ip dhcp snooping information option allow-untrusted

!Configuração das Interface de Trunk (Tronco - Cascateamento)

interface range GigabitEthernet 0/1 - 2

ip dhcp snooping trust

exit

!Configuração das Interface de Access (Acesso - Desktop)

interface range FastEthernet 0/1 - 2

ip dhcp snooping limit rate 5

end

write

!Visualizando as configurações da memória RAM

show running-config | section ip dhcp

show running-config | section interface

!Testando a renovação de endereços IPv4 nos Desktops

ipconfig /release

ipconfig /renew

!Verificando as informações do DHCP Snooping nos Switches Layer 2 e 3

show ip dhcp snooping

show ip dhcp snooping binding

show ip dhcp snooping database