Translate

Contenido

miércoles, 30 de mayo de 2018

Detección DHCP

Detección DHCP

Un ataque de suplantación de DHCP se produce cuando un servidor DHCP dudoso se conecta a la red y brinda parámetros de configuración IP falsos a los clientes legítimos. La suplantación de DHCP es peligrosa porque los clientes pueden recibir información de concesión de IP, como servidores DNS maliciosos, puertas de enlace predeterminadas maliciosas y asignaciones IP maliciosas.
Las mejores prácticas de seguridad recomiendan el uso de la detección DHCP para mitigar los ataques de suplantación de DHCP.
La detección DHCP crea y mantiene una base de datos denominada base de datos de enlaces de detección DHCP (también conocida como tabla de enlaces de detección DHCP). Esta base de datos incluye la dirección MAC del cliente, la dirección IP, el tiempo de la concesión de DHCP, el tipo de enlace, el número de VLAN, y la información de interfaz en cada puerto de switch o interfaz no confiables. El administrador de redes debe definir qué puertos son confiables. Al combinar la información en la base de datos de enlace de detección DHCP con los puertos confiables, el switch puede filtrar los mensajes DHCP de fuentes no confiables.
Cuando la detección DHCP se habilita en una interfaz o una VLAN, y un switch recibe un paquete DHCP en un puerto no confiable, el switch compara la información del paquete de origen con la información que se mantiene en la base de datos de enlaces de detección DHCP. El switch negará los paquetes que contengan la siguiente información:
  • Mensajes no autorizados del servidor DHCP que provengan de un puerto no confiable.
  • Mensajes del cliente DHCP que no cumplan con la base de datos de enlaces de detección DHCP o con los límites de velocidad.
  • Paquetes de agente de retransmisión DHCP que incluyan información de la opción 82 proveniente de un puerto no confiable.
Nota: La opción 82 proporciona seguridad y se utiliza para enviar información sobre los clientes DHCP a servidor DHCP. Sin embargo, un puerto no confiable no debe recibir paquetes de opción 82.
En una red grande, la creación de la base de datos de enlaces de detección DHCP puede llevar tiempo una vez que se habilita. Por ejemplo, la detección DHCP puede tardar 2 días para completar la base de datos, si el tiempo de la concesión de DHCP es de 4 días.
La detección DHCP reconoce dos tipos de puertos:
  • Puertos de confianza de DHCP: Solo se puede confiar en los puertos conectados a servidores DHCP corriente arriba. Estos puertos deben generar tráfico a los servidores DHCP que respondan con mensajes de DHCP Offer y DHCP Ack. Los puertos confiables se deben identificar explícitamente en la configuración.
  • Puertos no confiables: estos puertos se conectan a los hosts que no deben proporcionar mensajes de servidor DHCP. De manera predeterminada, todos los puertos de switch no son confiables.
En la Figura 1, se presenta un ejemplo visual que muestra cómo los puertos de detección DHCP se deben asignar en una red.
Figura 1: Identificación de los puertos confiables y no confiables de detección DHCP
Topología de cuatro switches que muestra todos los puertos como confiables, a excepción de los puertos conectados a una PC y a una computadora portátil
Observe cómo los puertos confiables siempre conducen al servidor de DHCP legítimo, mientras que el resto de los puertos (es decir, los puertos de acceso que se conectan a los terminales) no son confiables de manera predeterminada.

Blogs relacionados 

Si te gusto este articulo comenta y comparte sigue en tu pagina Redes Five.

visitanos en nuestra pagina sobre sistemas operativos y mas Sistemastube.