Wat is DHCP Snooping?
DHCP Snooping is een netwerkbeveiligingsfunctie die ervoor zorgt dat alleen vertrouwde DHCP-servers IP-adressen mogen uitdelen binnen een netwerk. Het voorkomt dat malafide of foutief aangesloten apparaten IP-adressen toewijzen, wat kan leiden tot Spoofing, afluisteren of netwerkuitval.
In OT-netwerken voorkomt DHCP Snooping dat een laptop, rogue Switch of gehackt veldapparaat het verkeer van PLC’s of SCADA-servers omleidt via valse IP-configuratie.
🧠 Waarom is DHCP Snooping belangrijk?
- Beschermt tegen rogue DHCP-servers (zoals geïmproviseerde access points of laptops)
- Legt IP ↔ MAC ↔ switchpoort-bindingen vast
- Creëert basis voor IP Source Guard en Dynamic ARP Inspection
- Verhoogt netwerkstabiliteit in OT – voorkomt dubbele IP’s of verkeerd gerouteerd verkeer
- Essentieel bij MAC Binding, Port Security en Zero Trust Architecture
⚙️ Hoe werkt DHCP Snooping?
| Stap | Beschrijving |
|---|---|
| Switch-poorten worden als trusted of untrusted gemarkeerd | Alleen vertrouwde poorten mogen DHCP-aanbiedingen versturen |
| DHCP-verzoeken vanaf untrusted poorten | Worden doorgelaten, maar alleen geaccepteerd als antwoord van trusted-poort komt |
| Switch registreert MAC, IP, VLAN, poort | Deze bindings worden opgeslagen in een DHCP Snooping binding table |
| Andere functies zoals IP Source Guard | Bouwen voort op deze tabel om spoofing te detecteren of blokkeren |
🔐 Voorbeeldtoepassingen in OT
| Scenario | Voordeel van DHCP Snooping |
|---|---|
| Productienetwerk met vaste IP-range | Voorkomt dat een storing leidt tot ongewenste DHCP-verstrekking |
| Onderhoudslaptop aangesloten | DHCP-request van onbekend apparaat wordt gecontroleerd |
| Rogue device probeert verkeer om te leiden | Verzoek wordt geblokkeerd op untrusted poort |
| Integratie met Asset Inventory | Bindingstabellen tonen welk apparaat welk IP kreeg, op welke poort |
🛡️ Beveiligingscombinaties
| Maatregel | Wat het toevoegt |
|---|---|
| IP Source Guard | Blokkeert pakketten met spoofed IP-adressen |
| Dynamic ARP Inspection | Controleert of ARP-verkeer overeenkomt met DHCP Snooping tabel |
| Port Security | Beperkt het aantal apparaten per poort |
| 802.1X | Voegt authenticatie toe vóór toegang wordt verleend |
| VLAN-isolatie | Isoleert onbetrouwbare poorten of ongeautoriseerde apparaten |
⚠️ Aandachtspunten
- Stel altijd de juiste poorten in als trusted (bv. uplink naar je DHCP-server)
- Apparaten met statische IP’s worden niet gelogd in de snooping-tabel
- Ondersteuning is afhankelijk van switchmodel (Hirschmann, Cisco IE, Moxa, etc.)
- Sommige switches vereisen NTP voor binding-timeouts
📌 Samengevat
DHCP Snooping beschermt je OT-netwerk tegen valse IP-adressen en malafide DHCP-servers. Het vormt de basis voor netwerkintegriteit en spoofingbescherming in gestructureerde OT-architecturen.