-
7/21/2019 DHCP Snooping Es Una Funcionalidad de Seguridad
Disponible en Los Switches
1/5
DHCP snoopinges una funcionalidad de seguridad disponible en
los
switches
prevenir que un servidor dhcp no autorizado entre en nuestra
red.
Podra realizar un ataqueMan in The Middle( MiTM ) y por
tanto,
interceptar el trfico, capturar credenciales, escuchar
conversaciones no cifradas, intentar suplantar la identidad
de
terceros
definimos los puertos sobre los que el trfico del DHCP
server
confiable puede transitar. Es decir, definimos como trust
los
puertos donde tenemos servidores dhcp, relays dhcp y los
trunks
entre los switches
Definimos como trust los puertos trunk entre switches,
firewalls,
dhcp relays y dispositivos intermedios porque los paquetes
deconcesin de DHCP deben transitar por ellos.
Un ejemplo sera un paquete DHCP OFFER o DHCP ACK. En un
puerto no autorizado no podemos dejar pasar un paquete dhcp
offer. Esto es, un cliente no enviar jams un paquete dhcp de
este
tipo puesto que es una respuesta de un servidor dhcp.
http://capa3.es/tag/MiTMhttp://capa3.es/tag/MiTMhttp://capa3.es/tag/MiTMhttp://capa3.es/tag/MiTM
-
7/21/2019 DHCP Snooping Es Una Funcionalidad de Seguridad
Disponible en Los Switches
2/5
Configuracin :
1.definimos dhcp snooping globalmente sobre la/s vlan/s, en
este ejemplo vlan 100 y vlan 101
2.
definimos los puertos confiables ( el del servidor, los
trunks
entre switches y los relays si hubiera )
3.Activamos dhcp snooping
Configuramos a nivel global en el switch y lo activamos :
ip dhcp snooping vlan 100,101
no ip dhcp snooping information option
ip dhcp snooping
Autorizamos los puertos del servidor dhcp y los trunks:
interface GigabitEthernet0/1
description FIREWALL
switchport mode trunk
spanning-tree portfast
ip dhcp snooping trust
interface GigabitEthernet0/2
description UPLINK A SWITCH
switchport mode trunk
ip dhcp snooping trust
-
7/21/2019 DHCP Snooping Es Una Funcionalidad de Seguridad
Disponible en Los Switches
3/5
Configure the basic switch parameters and trunking.
Configure VTP on ALS1 and ALS2.
Configure IP routing, the VLANs, VLAN SVIs, and HSRP on DLS1 and
DLS2.
Configure port security.
Configure snooping DHCP.Spoofing DHCP es un tipo de ataque se
utiliza principalmente para asignar direcciones IP y la
informacin de configuracin de un dispositivo no autorizado .
Esto puede conducir a unadenegacin de servicio o la intercepcin de
trfico. El atacante responde a una solicitud DHCP,
alegando tener la puerta de enlace y DNS vlido . Un servidor
DHCP vlido tambin podra
responder a la solicitud , pero si la respuesta del atacante
alcanza al solicitante en primer lugar, se
utiliza la informacin no vlida del atacante.
Para ayudar a proteger la red de un ataque de ese tipo , puede
utilizar snooping DHCP.
-
7/21/2019 DHCP Snooping Es Una Funcionalidad de Seguridad
Disponible en Los Switches
4/5
Snooping DHCP es una caracterstica Cisco Catalyst que determina
qu puertos de switch se les
permite responder a las peticiones DHCP . Los puertos estn
identificados como de confianza o no
. Puertos de confianza permiten todos los mensajes DHCP ,
mientras que los puertos que no se
confa slo permiten ( ingreso) peticiones DHCP .
Puertos de confianza pueden alojar un servidor DHCP o puede ser
un enlace ascendente hacia un
servidor DHCP. Si un dispositivo no autorizado en un puerto que
no se confa intenta enviar un
paquete de respuesta de DHCP en la red, el puerto est
desactivado . Desde una perspectiva
snooping DHCP, puertos de acceso no son de confianza no deben
enviar ninguna respuesta del
servidor DHCP , como por ejemplo un DHCPOFFER , DHCPACK o
DHCPNAK .
Habilitar DLS1 y DLS2 a confiar en la informacin de DHCP desde
ALS1 y ALS2 para que el servidor
DHCP puede responder a la ALS1 y ALS2 confianza solicitudes de
puerto. Esto se logra mediante el
comando ip dhcp relay information trust-all.
DLS1(config)# ip dhcp relay information trust-all
DLS2(config)# ip dhcp relay information trust-all
Nota: No es necesario habilitar DHCP snooping en los switches de
capa de distribucin, aunque
esto permitira DLS1 y DLS2 confen ALS1 y ALS2 como agentes de
retransmisin.
Configure ALS1 y ALS2 a confiar en la informacin de DHCP slo en
los puertos troncales, y limitar
la tasa que las solicitudes se reciben en los puertos de
acceso.
Configuracin de DHCP snooping en los switches de capa de acceso
implica el siguiente proceso:
Gireespiar a nivel global mediante el comando ip dhcp
snooping.
Configurar las interfaces de confianza con el comando ip dhcp
snooping trust. De forma
predeterminada, todos los puertos se consideran que no son de
confa, menos que se configure de
forma esttica de fiar.
Configurar unlmite de tasa de solicitud DHCP en los puertos de
acceso de usuario para limitar el
nmero de solicitudes de DHCP que se permiten por segundo. Esto
se configura con el ip dhcp
snooping rate_in_pps tasa lmite. Este comando evita los ataques
de starvation attacks DHCP
mediante la limitacin de la tasa de las peticiones DHCP en los
puertos que no se confa.
Configurar las VLAN que utilizarn snooping DHCP. En este
escenario, DHCP snooping se utilizar
en el estudiante y el personal de las VLAN.
-
7/21/2019 DHCP Snooping Es Una Funcionalidad de Seguridad
Disponible en Los Switches
5/5
ALS1(config)# ip dhcp snooping
ALS1(config)# interface range fastethernet 0/7 - 12
ALS1(config-if-range)# ip dhcp snooping trust
ALS1(config-if-range)# exit
ALS1(config)# interface range fastethernet 0/15 - 24
ALS1(config-if-range)# ip dhcp snooping limit rate 20
ALS1(config-if-range)# exit
ALS1(config)# ip dhcp snooping vlan 100,200
ALS2(config)# ip dhcp snooping
ALS2(config)# interface range fastethernet 0/7 - 12
ALS2(config-if-range)# ip dhcp snooping trust
ALS2(config-if-range)# exit
ALS2(config)# interface range fastethernet 0/15 - 24
ALS2(config-if-range)# ip dhcp snooping limit rate 20
ALS2(config-if-range)# exit
ALS2(config)# ip dhcp snooping vlan 100,200
ALS2# show ip dhcp snooping
