DHCP snooping es una funcionalidad de seguridad disponible en los switches.
Su principal cometido es prevenir que un servidor dhcp no autorizado entre en nuestra red.
¿ Que sucedería si alguien introduce un servidor dhcp no autorizado en nuestra vlan ?
Podría realizar un ataque Man in The Middle ( MiTM ) y por tanto, interceptar el tráfico, capturar credenciales, escuchar conversaciones no cifradas, intentar suplantar la identidad de terceros …
DCHP snooping permite además, en combinación con otras funcionalidades de seguridad que ya veremos más adelante 🙂 , evitar ARP spoofing, Envenenamiento ARP e IP spoofing en nuestra red.
¿ Cómo funciona ?
Básicamente, en el switch definimos los puertos sobre los que el tráfico del DHCP server confiable puede transitar. Es decir, definimos como “trust” los puertos donde tenemos servidores dhcp, relays dhcp y los trunks entre los switches
Definimos como trust los puertos trunk entre switches, firewalls, dhcp relays y dispositivos intermedios porque los paquetes de concesión de DHCP deben transitar por ellos.
Un ejemplo sería un paquete DHCP OFFER o DHCP ACK. En un puerto no autorizado no podemos dejar pasar un paquete dhcp offer. Esto es, un cliente no enviará jamás un paquete dhcp de este tipo puesto que es una respuesta de un servidor dhcp.
Configuración :
- definimos dhcp snooping globalmente sobre la/s vlan/s, en este ejemplo vlan 100 y vlan 101
- definimos los puertos confiables ( el del servidor, los trunks entre switches y los relays si hubiera )
- Activamos dhcp snooping
Configuramos a nivel global en el switch y lo activamos :
ip dhcp snooping vlan 100,101
no ip dhcp snooping information option
ip dhcp snooping
Autorizamos los puertos del servidor dhcp y los trunks:
interface FastEthernet0/3 description SERVER DHCP switchport mode access switchport access vlan 100 switchport nonegotiate spanning-tree portfast ip dhcp snooping trust interface GigabitEthernet0/1 description FIREWALL switchport mode trunk spanning-tree portfast ip dhcp snooping trust interface GigabitEthernet0/2 description UPLINK A SWITCH switchport mode trunk ip dhcp snooping trust
El comando “no ip dhcp snooping information option” lo configuramos porque es usado por el switch o por agentes dhcp relay para insertar opciones que permitirán al servidor dhcp aplicar políticas. En concreto, este comando afecta a la option-82.
Para más información, el rfc de esta funcionalidad es el 3046 http://tools.ietf.org/html/rfc3046
Verificación :
switch#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
100,101
DHCP snooping is configured on the following Interfaces:
Insertion of option 82 is disabled
circuit-id format: vlan-mod-port
remote-id format: MAC
Option 82 on untrusted port is not allowed
Interface Trusted Rate limit (pps)
———————— ——- —————-
FastEthernet0/3 yes unlimited
GigabitEthernet0/1 yes unlimited
GigabitEthernet0/2 yes unlimited
switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
—————— ————— ———- ————- —- ——————–
00:0C:AA:CC:AA:BB 10.66.0.113 64701 dhcp-snooping 100 FastEthernet0/16
00:0C:BB:CC:AA:AA 10.1.0.110 65827 dhcp-snooping 101 FastEthernet0/4
84:2B:AA:AA:AA:AA 10.1.0.104 50058 dhcp-snooping 101 FastEthernet0/6
Si deseamos desactivarlo temporalmente no hay que reconfigurarlo todo:
no ip dhcp snooping
5 Comments
excelente aporte, felicidades.
Muchas gracias ! 🙂
Perfecto!! me has resuelto la duda, gracias
Me alegra! Muchas gracias!
Es necesario tener configurado en la red 802.1x?