dhcp snooping – prevención de ataques DHCP

DHCP snooping es una funcionalidad de seguridad disponible en los switches.

Su principal cometido es prevenir que un servidor dhcp no autorizado entre en nuestra red.

¿ Que sucedería si alguien introduce un servidor dhcp no autorizado en nuestra vlan ?
Podría realizar un ataque Man in The Middle ( MiTM ) y por tanto, interceptar el tráfico, capturar credenciales, escuchar conversaciones no cifradas, intentar suplantar la identidad de terceros

DCHP snooping permite además, en combinación con otras funcionalidades de seguridad que ya veremos más adelante 🙂 , evitar ARP spoofing, Envenenamiento ARP e IP spoofing en nuestra red.

¿ Cómo funciona ?
Básicamente, en el switch definimos los puertos sobre los que el tráfico del DHCP server confiable puede transitar. Es decir, definimos como “trust” los puertos donde tenemos servidores dhcp, relays dhcp y los trunks entre los switches

Definimos como trust los puertos trunk entre switches, firewalls, dhcp relays y dispositivos intermedios porque los paquetes de concesión de DHCP deben transitar por ellos.

Un ejemplo sería un paquete DHCP OFFER o DHCP ACK. En un puerto no autorizado no podemos dejar pasar un paquete dhcp offer. Esto es, un cliente no enviará jamás un paquete dhcp de este tipo puesto que es una respuesta de un servidor dhcp.

Configuración :

  1. definimos dhcp snooping globalmente sobre la/s vlan/s, en este ejemplo vlan 100 y vlan 101
  2. definimos los puertos confiables ( el del servidor, los trunks entre switches y los relays si hubiera )
  3. Activamos dhcp snooping

Configuramos a nivel global en el switch y lo activamos :

ip dhcp snooping vlan 100,101
no ip dhcp snooping information option
ip dhcp snooping

Autorizamos los puertos del servidor dhcp y los trunks:

interface FastEthernet0/3
 description SERVER DHCP
 switchport mode access
 switchport access vlan 100
 switchport nonegotiate
 spanning-tree portfast
 ip dhcp snooping trust

interface GigabitEthernet0/1
 description FIREWALL
 switchport mode trunk
 spanning-tree portfast
 ip dhcp snooping trust

interface GigabitEthernet0/2
 description UPLINK A SWITCH
 switchport mode trunk
 ip dhcp snooping trust

El comando “no ip dhcp snooping information option” lo configuramos porque es usado por el switch o por agentes dhcp relay para insertar opciones que permitirán al servidor dhcp aplicar políticas. En concreto, este comando afecta a la option-82.
Para más información, el rfc de esta funcionalidad es el 3046  http://tools.ietf.org/html/rfc3046

Verificación :

switch#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
100,101
DHCP snooping is configured on the following Interfaces:

Insertion of option 82 is disabled
circuit-id format: vlan-mod-port
remote-id format: MAC
Option 82 on untrusted port is not allowed
Interface Trusted Rate limit (pps)
———————— ——- —————-
FastEthernet0/3 yes unlimited
GigabitEthernet0/1 yes unlimited
GigabitEthernet0/2 yes unlimited

switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
—————— ————— ———- ————- —- ——————–
00:0C:AA:CC:AA:BB 10.66.0.113 64701 dhcp-snooping 100 FastEthernet0/16
00:0C:BB:CC:AA:AA 10.1.0.110 65827 dhcp-snooping 101 FastEthernet0/4
84:2B:AA:AA:AA:AA 10.1.0.104 50058 dhcp-snooping 101 FastEthernet0/6

 

Si deseamos desactivarlo temporalmente no hay que reconfigurarlo todo:

no ip dhcp snooping

 

 

 

 

 

 

5 Comments

  • Victor Zuñiga
    07/11/2013 - 2:23 am | Permalink

    excelente aporte, felicidades.

  • 07/11/2013 - 12:00 pm | Permalink

    Muchas gracias ! 🙂

  • laura
    06/02/2014 - 12:55 pm | Permalink

    Perfecto!! me has resuelto la duda, gracias

  • Josue
    07/04/2015 - 7:21 pm | Permalink

    Es necesario tener configurado en la red 802.1x?

  • Leave a Reply

    Your email address will not be published. Required fields are marked *