Een rogue-DHCP-server (laptop, slordige router) verstoort het hele netwerk.

DHCP-snooping is een switch-feature die alleen je echte DHCP-server toestaat IP's uit te delen op het LAN. Zonder dit kan iemand een eigen router inprikken, eigen DHCP starten en de halve afdeling verkeerde IP's geven, of erger, het verkeer onderscheppen. Aanzetten kost vijf minuten en stopt een hele klasse incidenten.

Probeer dit eerst zelf

1. 1Schakel DHCP-snooping globaal aan op de switch (Aruba, Cisco, UniFi, MikroTik hebben elk hun eigen commando).
2. 2Markeer de uplink-poort naar je echte DHCP-server (firewall of dedicated server) als 'trusted'. Alle andere poorten blijven 'untrusted'.
3. 3Test door een laptop met een eigen DHCP-tooltje (dnsmasq) op een access-poort te zetten, andere apparaten op die poort moeten geen IP van die laptop krijgen.
4. 4Combineer met IP-source-guard zodat een client niet zomaar een gespooft IP claimt.
5. 5Log DHCP-snooping-violations naar je SIEM of syslog, je vangt zo onbedoelde routers (vergaderzaal-pluggable, demo-spul) vroeg.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.