Get best of the week

¿Qué es DHCP Snooping y cómo funciona?

"¿Por qué no puedo conectarme a la red, incluso si mi computadora portátil recibió una dirección IP dinámicamente?" ¿Has encontrado este problema en la vida cotidiana? ¿Has dudado de la autenticidad de las direcciones IP? ¿Se reciben de un servidor DHCP autorizado? Si no, ¿cómo prevenir esto? El término DHCP Snooping se introducirá en este artículo para ayudar a los usuarios a evitar el uso de direcciones IP ilegales.

¿Qué es DHCP Snooping?


DHCP Snooping es una tecnología de seguridad de capa 2 integrada en el sistema operativo de un conmutador de red saludable que descarta el tráfico DHCP que se considera inapropiado. DHCP Snooping evita que los servidores DHCP no autorizados (fraudulentos) ofrezcan direcciones IP a clientes DHCP. La función DHCP Snooping realiza las siguientes acciones:

  • Comprueba los mensajes DHCP de fuentes no confiables y filtra los mensajes no válidos.
  • Crea y mantiene una base de datos de enlace DHCP Snooping que contiene información sobre hosts no confiables con direcciones IP arrendadas.
  • Utiliza la base de datos de enlace DHCP Snooping para verificar las solicitudes posteriores de hosts no confiables.

¿Cómo funciona la inspección DHCP?


Para descubrir cómo funciona la inspección DHCP, necesitamos detectar el mecanismo de trabajo de DHCP, que significa Protocolo de configuración dinámica de host. Cuando DHCP está habilitado, un dispositivo de red sin una dirección IP "interactuará" con el servidor DHCP a través de 4 etapas de la siguiente manera.

DHCP Principle.jpg

DHCP Snooping generalmente clasifica las interfaces en el switch en dos categorías: puertos confiables no confiables, como se muestra en la Figura 2. Un puerto confiable es un puerto o fuente cuyos mensajes del servidor DHCP son confiables. Un puerto no confiable es el puerto desde el cual no se confía en los mensajes del servidor DHCP. Si se activa la inspección DHCP, solo se puede enviar un mensaje de oferta de DHCP a través del puerto de confianza. De lo contrario, será descartado.

DHCP Snooping app.jpg

En la etapa de confirmación, se creará una tabla de enlace DHCP de acuerdo con el mensaje ACUSE DHCP. Registra la dirección MAC del host, la dirección IP alquilada, el tiempo de arrendamiento, el tipo de enlace, así como el número de VLAN y la información de interfaz asociada con el host, como se muestra en la Figura 3. Si el siguiente paquete DHCP recibido del host no confiable no coincide información, se eliminará.
Dirección MACDirección IPAlquiler (seg.)Un tipoVLANInterfaz
Entrada 1e4-54-e8-9d-ab-4210.32.96.192673dhcp-snooping10Eth 1/23
Entrada 2
Entrada 3
...

Tipos básicos de ataques evitados por el DHCP Snooping


Ataque de suplantación de DHCP


La suplantación de identidad de DHCP se produce cuando un atacante intenta responder a las solicitudes de DHCP e intenta especificarse a sí mismo (suplantación) como la puerta de enlace predeterminada o el servidor DNS, por lo tanto, inicia un ataque a través de un intermediario. Al mismo tiempo, es posible que puedan interceptar el tráfico de los usuarios antes de reenviarlo a una puerta de enlace real o realizar DoS, llenando el servidor DHCP real con solicitudes para obstruir los recursos de la dirección IP.

DHCP Hambruna (agotamiento de DHCP)


El agotamiento de recursos DHCP generalmente se dirige a los servidores DHCP de la red para llenar un servidor DHCP autorizado con mensajes de SOLICITUD DHCP utilizando direcciones MAC de origen falsas. El servidor DHCP responderá a todas las solicitudes, sin saber que es un ataque de agotamiento de DHCP mediante la asignación de direcciones IP disponibles, lo que conducirá al agotamiento del grupo de DHCP.

¿Cómo habilitar la inspección DHCP?


DHCP Snooping es aplicable solo a usuarios conectados. Como característica de seguridad de nivel de acceso, se habilita principalmente en cualquier conmutador que contenga puertos de acceso VLAN atendidos por DHCP. Cuando implemente DHCP Snooping, debe configurar puertos confiables (los puertos a través de los cuales pasarán mensajes válidos del servidor DHCP) antes de habilitar DHCP Snooping en la VLAN que desea proteger. Esto se puede implementar tanto en la interfaz CLI como en la interfaz web.

Conclusión


Aunque DHCP simplifica el direccionamiento IP, también causa problemas de seguridad. Para solucionar los problemas, DHCP Snooping, uno de los mecanismos de protección, puede evitar el uso de direcciones DHCP no confiables de un servidor DHCP fraudulento y puede prevenir un ataque de agotamiento de recursos que intente usar todas las direcciones DHCP existentes.

More articles:


All Articles