Thursday, November 1, 2012

DHCP Snooping: Prevención de conflictos y ataques DHCP

DHCP Snooping es una técnica de seguridad que podemos utilizar en switches (En este caso: Cisco) para proteger nuestra infraestructura DHCP, evitando que otros servidores DHCP en nuestra red que no esten bajo nuestro control asignen configuraciones IP a nuestros equipos.


Se que a más de uno de los lectores que lean este articulo les ha pasado que aparece un segundo DHCP en nuestra red causandonos muchos problemas, esto puede pasarnos tanto accidentalmente (Cuando alguien conecta un equipo con un servidor DHCP activado) como intencionalmente (DHCP Spoofing), el caso es que es algo muy dificil de tratar si no se tiene la tecnologia adecuada.

Cuando activamos DHCP Snooping en switches Cisco los puertos pueden estar de dos modos: trust (Seguros) o untrust (Inseguros), los puertos que esten en modo trust podran tener un servidor DHCP conectado, mientras los untrust no estarán habiles para un Servidor DHCP.

Automaticamente activemos el DHCP Snooping todos los puertos pasaran a untrust, por lo cual no se permitira ningun servidor DHCP, para evitar eso... antes de activar DHCP Snooping debemos cambiarle el modo a los puertos que tengan servidores DHCP.

Para poner un puerto en modo trust bastaria con entrar al modo de configuración de interfaz y aplicar el siguiente comando:

~ puntolibre-sw(config-if)# ip dhcp snooping trust

Y ya dejariamos los otros puertos como untrusted, y el switch solo permitira el DHCP Server en el puerto seguro.

Nota: Si en nuestro Switch no hay servidores DHCP, y los clientes adquieren IP desde un servidor en otro Switch que esta en trunk con el switch que estamos configurando, debemos poner trust el puerto troncal tambien, de no ser asi los clientes nunca van a adquirir IP.

Luego desde el modo de configuración global podemos activar el DHCP Snooping de la siguiente manera:

~ puntolibre-sw(config)# ip dhcp snooping

En caso de que nuestro switch tenga diferentes Vlans, podemos especificarlas de la siguiente manera:

~ puntolibre-sw(config)# ip dhcp snooping vlan 20,30

Por defecto el Switch agrega la opción 82 al mensaje DHCP Discover antes de pasar al DHCP Server. Algunos DHCP Server al ver esta opcion pueden descartar el paquete. Si despues de habilitar el DHCP Snooping las maquinas no vuelven a obtener IP, deshabilite esta opcion con el siguiente comando:


~ puntolibre-sw(config)# no ip dhcp snooping information option

Finalmente para verificar el status de los puertos, bastaria con ejecutar el siguiente comando:

~ puntolibre-sw# show ip dhcp snooping

En conclusión, ponemos los puertos que estan detras de un servidor DHCP y los puertos troncales en trust,  dejamos los otros puertos untrust, activamos el DHCP Snooping y listo.

Espero que les sirva de algo!


0 comentarios:

Post a Comment