Discussion :

[ff4pierre]

Bonjour,

Je me pose actuellement une question sur les trames qui naviguent sur mon réseau.
Hier j'avais un problème avec un poste sur un réseau en 192.168.1.0/24, en effet le pc en question recevait une adresse ip d'un serveur dhcp d'un réseau en 10.11.0.0/16. Bref le problème est réglé mais cependant en faisant un wireshark sur le dit pc je voyait s’afficher des requêtes ACK DHCP ayant comme source et destination un autre réseau encore (un réseau que je ne gère pas car mon entreprise se trouve dans les même locaux qu'une autre entreprise et nous somme lié).

La question est pourquoi je vois ces requêtes transiter sur un pc qui se trouve sur un réseau complètement différent ?
De plus on ai d'accord que les trames DHCP ne passent pas un routeur (à moins que l'on ai un relai) cependant passent-elles un switch de niveau 3 ?

Merci beaucoup.

[A&Nexus]

Hello,

À tous les coups il n'y a pas de VLAN.
Si tu as un Switch administrable tu peux mettre le DHCP Snooping qui bloquera les trames DHCP.

Ce n'est pas parce que la plage IP est différente que vous et'es dans un réseau L2 séparé.
Et sinon oui tu as raison les trames DHCP en Broadcast s'arrêtent au routeur.

[ff4pierre]

Pas de vlan sur le réseau de l'entreprise qui nous héberge dans ses locaux tu veux dire ?
Je ne sais pas car je ne gère pas leur réseau mais le miens est bien segmenté en vlan en tout cas.

J'avais pensé au dhcp snooping effectivement qui pourrait être une bonne solution. Cependant je me suis arrêté que sur le dhcp mais j'espère que mon réseau n'est pas "pollué" de divers protocole venant de l'entreprise nous hébergeant.

Autre petite question, qu'entend tu par "Ce n'est pas parce que la plage IP est différente que vous et'es dans un réseau L2 séparé." ?

Merci

[A&Nexus]

Tu peux avoir des vlans sur ton réseau mais si le réseau de l'autre entreprise est sur le même réseau qu'un de tes vlans ça revient au même.


Pour ce genre de cas il n'y a pas 36 solutions, si tu as des requêtes DHCP d'un autre réseau c'est que ton réseau et donc ton vlan y est relié par un cable.
Peut importe qu'il y ai des vlans chez l'entreprise qui t'héberge suffit que le port soit untag et hop les broadcast passent sur ton réseau.


Pour l'autre question, je voulais dire que les IPs sont en couche 3+ et les trames DHCP en couche 2.
Donc même si les plages IP sont différentes avec l'autre entreprise qui t'héberge il suffit qu'il y ait un cable qui les relies pour que ça ailles sur ton réseau.



Tu n'as pas un pare-feu entre les deux Reseaux ?
Pourquoi tu as relié les deux Reseaux entre eux sans pare-feu ou routeur ?

[ff4pierre]

Il y a bien un pare-feu entre les deux réseaux (le leur un fortinet si je ne me trompe pas).
En gros faudrait que j'active le dhp snooping et que je leur demande de filtrer les trames au niveau du pare-feu ?

Merci

[A&Nexus]

Le DHCP snooping te permet d'être indépendant "d'eux".
C'est juste que sur le switch tu dis qu'il n'y a que tel port qui est autorisé à émettre des requêtes DHCP.

S'il y a un firewall tu dois avoir un défaut quelque part ou un câble accidentel qui relierait les deux réseaux.
Il n'y a malheureusement pas d'autres explications.

[Invité]

Salut,

l'adresse MAC source des paquets DHCP devrait permettre de localiser le serveur DHCP qui émet ce trafic.

Steph

[ff4pierre]

Le défaut pourrait-il venir de leur firewall mal configuré ?
J'ai déjà localisé le serveur dhcp qui pose soucis, il s'agit de leur serveur sur leur réseau.

Encore merci de votre aide.

[Invité]

J'ai déjà localisé le serveur dhcp qui pose soucis, il s'agit de leur serveur sur leur réseau.

Alors il faut escalader vers les admins de ces équipements...

Steph

[ff4pierre]

Alors il faut escalader vers les admins de ces équipements...

Steph

Ils peuvent l'empêcher de répondre aux requêtes de mon réseau ?
Sinon je configurerais le dhcpsnooping sur mes switchs L3

[Invité]

Ils peuvent l'empêcher de répondre aux requêtes de mon réseau ?
Sinon je configurerais le dhcpsnooping sur mes switchs L3

Si ce traffic n'a rien à faire sur ton réseau parce que sensé être filtré par un firewall, alors on appelle ça un incident de sécurité
Perso, je suis curieux de savoir comment ces trames arrivent dans ton réseau...
C'est soit un IP Helper configuré sur le firewall, soit un backdoor L2. En tout cas, ce genre d'anomalie, ça doit être investigué et clarifié. Ce sont parfois des symptômes isolés un peu étranges qui permettent de mettre le doigt sur des problèmes d'infra.

Tu n'as pas répondu à ma question sur la MAC address source des DHCP...
Si c'est la MAC address du firewall, alors ce sont effectivement des paquets qui le traversent ...
Si c'est autre chose, il faut localiser la MAC address avec tes switches manageables. Ca pourrait être un serveur DHCP sauvage.




Steph

[A&Nexus]

Le helper il fait pas de lunicast vers lip du Server relay ?

[Invité]

L'IP Helper fait de l'unicast vers le serveur.
C'est implémenté sur certains firewalls, je l'ai déjà vu en prod.
Dans le cas présent, on pourrait imaginer que les requêtes DHCP du PC atteignent le serveur DHCP d'en face.

Steph

[A&Nexus]

Ah oui exact j'avais pas vu ca dans le bon sens.
Si l'adresse IP source est le Firewall c'est l'IP helper.

[ff4pierre]

Ok, je vais voir tout cela demain pour pouvoir mieux vous répondre notamment sur l'ad MAC.

[Invité]

Si l'adresse IP source est le Firewall c'est l'IP helper.

Non, les paquets retour auront pour IP source l'adresse du DHCP Serveur, c'est un unicast simplement routé par le firewall.
Donc la MAC adresse source des paquets DHCP devrait être celle du firewall.

Si la MAC adresse est autre chose, il faut la traquer en regardant les forwarding tables des switches (j'ai cru comprendre qu'ils étaient manageables, on devrait pouvoir la visualiser).

Il faut bien comprendre qu'un serveur DHCP sauvage, ça peut ruiner des journées
Je me souviens avoir eu une grosse montée d'adrénaline après avoir migré des coeurs de réseau.
Les PC qui bootaient sur le réseau avaient des problèmes de connectivité.
Tout le monde croyait à des instabilités de routage...
Et après capture, je découvre une f*****g adresse IP qui répondait aux DHCP.
C'était le type à côté de moi qui avait lancé son tftpd32 dont le DHCP était activé

En définitive, c'est l'inspection d'une trame Ethernet capturée qui permettra de tirer des conclusions...

Steph