DHCP Snooping es una funcionalidad de seguridad de capa 2 que evitará que posibles servidores DHCP ilegítimos (no autorizados) que hayan conseguido ser conectados a la red puedan proporcionar una configuración de red a los clientes de una sede.
Básicamente lo que haremos será configurar DHCP Snooping en los switches para indicar cual es el DHCP real del centro. De esto modo, las peticiones DHCP de los clientes se cursarán siempre por el «camino» correcto hacía el servidor legítimo (autorizado) de nuestra red.
Configure este laboratorio como se describe a continuación.
- Asigne la dirección IP 10.0.0.1/8 a la interfaz Fa0/0 del router 0.
- Configure la interfaz Fa0/0 del router para reenviar todas las solicitudes DHCP al Server0.
- Asigne la dirección IP 20.0.0.1/8 a la interfaz Fa0/1 del Router0.
- Asigne la dirección IP 20.0.0.10/8 al Server0.
- Configure un grupo DHCP para la red local conectada al Switch0.
- Configure los equipos de la red local como clientes DHCP.
Configuración del router
Acceda al símbolo del sistema CLI del router y ejecute los siguientes comandos.
Router>enable
Router#configure terminal
Router(config)#interface fastethernet 0/0
Router(config-if)#ip address 10.0.0.1 255.0.0.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastethernet 0/1
Router(config-if)#ip address 20.0.0.1 255.0.0.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastethernet 0/0
Router(config-if)#ip helper-address 20.0.0.10
Router(config-if)#exit
Router(config)#Asignación de una dirección IP estática al Server0
Para asignar una dirección IP estática al Servidor0, haga clic en Servidor0 y haga clic en la opción de configuración de IP del menú Escritorio. En la opción de configuración de IP, seleccione la opción Estático y establezca la configuración estática.
En la siguiente imagen se muestra este procedimiento.
Habilitación del servicio DHCP y adición de un grupo DHCP
Haga clic en el icono del menú Servicios y haga clic en el servicio DHCP en el panel izquierdo y seleccione la opción activado en el panel derecho. Establezca el valor en las Opciones de grupo DHCP y haga clic en el botón Agregar. En la siguiente imagen se muestra este procedimiento.
Configurar clientes DHCP
Para configurar PC como clientes DHCP, haga clic en el PC y haga clic en la opción de configuración de IP en el elemento de menú Escritorio y seleccione la opción DHCP. En la siguiente imagen se muestra este procedimiento.
Verificación del servidor DHCP
Si el servidor DHCP está configurado correctamente, los clientes DHCP obtienen direcciones IP automáticamente tan pronto como cambian su configuración IP a DHCP. La siguiente imagen muestra la configuración IP del PC2 que obtiene del servidor DHCP.
Adición del servidor DHCP del atacante
Para comprender cómo la indagación DHCP protege la red de un servidor DHCP no autorizado, agreguemos el servidor DHCP de un atacante a nuestra red. La siguiente imagen muestra nuestra red de ejemplo después de agregar el servidor DHCP del atacante.
En la siguiente imagen se muestra la configuración de IP estática del servidor DHCP del atacante.
Agregue un grupo DHCP que replique el grupo DHCP del servidor DHCP original. En este grupo, cambie la IP de puerta de enlace predeterminada a la dirección IP que asignó a este servidor. En la siguiente imagen se muestra cómo hacerlo.
De forma predeterminada, el servidor contiene un grupo predeterminado y el rastreador de paquetes no nos permite eliminarlo. Si se configuran varios grupos, DHCP utiliza la dirección de origen para determinar el grupo correcto. Dado que los clientes DHCP utilizan la dirección 0.0.0.0 como dirección de origen y el grupo predeterminado también utiliza esta dirección como puerta de enlace predeterminada y direcciones de servidor DNS, DHCP proporciona la configuración IP del grupo predeterminado en lugar de nuestro grupo. Para forzar a DHCP a usar nuestro grupo, cambie la IP de la puerta de enlace predeterminada a la dirección IP del servidor en el grupo predeterminado.
En la siguiente imagen se muestra este paso.
Verificación del servidor DHCP del atacante
El servidor DHCP del atacante está disponible en la red local. Recibe solicitudes DHCP de los clientes antes que el servidor DHCP original. Dado que el servidor DHCP del atacante recibe la solicitud primero, también reacciona primero y el cliente obtiene una configuración IP del servidor DHCP del atacante.
Para verificar esto, haga clic en una PC de la red local y cambie su configuración de IP a Estática y vuelva a DHCP.
La siguiente imagen muestra cómo PC2 obtiene una nueva configuración de IP del servidor DHCP del atacante en lugar del servidor DHCP original al solicitar una nueva configuración de IP.
Si los clientes DHCP utilizan la configuración IP proporcionada por el servidor DHCP del atacante, el atacante puede hacer un mal uso de sus datos sin conocerlos. Esto se conoce como el ataque man-in-middle.
Para aprender este ataque con más detalle, consulte la parte anterior de este tutorial. La parte anterior de este tutorial explica el ataque de intermediario en detalle con un ejemplo.
Configuración de la indagación DHCP en el switch
La configuración de la indagación DHCP en el switch implica los siguientes pasos.
- De forma predeterminada, la indagación DHCP está inhabilitada en los switches de Cisco. Para utilizar esta función, primero, tenemos que habilitarla.
- La indagación DHCP funciona de forma básica por VLAN. Una vez habilitado el snooping DHCP, tenemos que especificar la VLAN en la que queremos aplicarlo. Puede especificar una sola VLAN o varias VLAN. Para configurar una sola VLAN, ingrese un solo número de VLAN. Para configurar un rango de VLAN, ingrese un número de VLAN inicial y final o un guión y un rango de VLAN.
- La indagación DHCP trata todos los puertos de la VLAN especificada como puertos que no son de confianza. Un puerto que no es de confianza es un puerto que no acepta mensajes de servidor DHCP. En otras palabras, si un dispositivo está conectado a un puerto que no es de confianza, puede obtener la configuración de IP del servidor DHCP, pero no puede ofrecer una configuración de IP.
- Si un servidor DHCP está conectado al puerto, tenemos que configurar ese puerto como el puerto de confianza. Un puerto de confianza es un puerto que acepta mensajes de servidor DHCP. En otras palabras, un servidor DHCP puede proporcionar configuración de IP solo si está conectado a un puerto de confianza.
En la siguiente tabla se enumeran los comandos que se utilizan para configurar y verificar la indagación DHCP en los switches de Cisco.
Los siguientes comandos configuran la indagación DHCP en el switch de nuestra red de ejemplo.
Switch>enable
Switch#configure terminal
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1
Switch(config)#interface fa0/4
Switch(config-if)#ip dhcp snooping trust
Switch(config-if)#exit
Switch(config)#exit
Switch#
La siguiente imagen muestra los comandos anteriores en el rastreador de paquetes.
Entendamos la configuración anterior en detalle.
Usamos el primer y segundo comando para ingresar al modo de configuración global. Usamos el tercer comando para habilitar la indagación DHCP.
VLAN 1 es la VLAN predeterminada en los switches de Cisco. De forma predeterminada, todos los puertos pertenecen a esta VLAN. Dado que la indagación DHCP funciona en VLAN y no creamos ninguna VLAN en nuestro ejemplo, implementamos la indagación DHCP en la VLAN predeterminada mediante el cuarto comando.
En nuestro ejemplo, el DHCP original está conectado a la interfaz Fa0/4. Usamos el quinto comando para ingresar al modo de configuración de la interfaz Fa0/4. En el modo de configuración de la interfaz, usamos el sexto comando para configurar la interfaz como la interfaz de confianza.
Usamos el último comando para salir del modo de configuración de la interfaz.
Una vez habilitada la indagación DHCP, solo el servidor DHCP que está conectado a la interfaz de confianza puede proporcionar la configuración IP. Para verificar esto, obtengamos una nueva configuración de IP en una PC de la red local.
La siguiente imagen muestra cómo PC2 obtiene una nueva configuración IP del servidor DHCP original.
Visualización de la configuración de indagación DHCP
Para ver la configuración y las estadísticas de indagación DHCP, utilice el comando 'show ip dhcp snooping' en el modo privileged-exec.
En la siguiente imagen se muestra el resultado de este comando.
Límite de velocidad DHCP
De forma predeterminada, la indagación DHCP no limita el número de paquetes DHCP que puede recibir una interfaz. Dado que las interfaces que no son de confianza se conectan a los clientes DHCP, para mejorar la seguridad, puede limitar el número de paquetes DHCP en estas interfaces.
El límite de velocidad recomendado para cada puerto que no es de confianza es de 15 paquetes por segundo. Por lo general, el límite de velocidad se aplica a las interfaces que no son de confianza. Pero si es necesario, también puede configurarlo en una interfaz de confianza.
Para configurar el límite de velocidad de indagación DHCP en una interfaz, utilice el comando 'ip dhcp snooping limit rate [number]' en el modo de configuración de interfaz de la interfaz.
La siguiente imagen muestra cómo establecer el límite de velocidad en la interfaz Fa0/1 y verifica lo mismo.
Depuración de la indagación DHCP
Para depurar eventos y paquetes de indagación DHCP, utilice los comandos 'debug ip dhcp snooping event' y 'debug ip dhcp snooping packet' en el modo privileged-exec. Para deshabilitar la depuración, use la palabra clave 'no' antes de los mismos comandos.
En la siguiente imagen se muestra cómo habilitar y deshabilitar la depuración de la indagación DHCP.
Configuración de la indagación DHCP en los switches de Cisco (computernetworkingnotes.com)
.jpg)
0 Comentarios