¿Qué es DHCP Snooping y por qué deberías usarlo?

Modificado el Thu, 21 Sep 2023 a las 06:44 PM

Por definición, DHCP Snooping es un mecanismo de seguridad que evita que usuarios maliciosos ataquen su red al interceptar o alterar mensajes entre clientes de red y servidores DHCP. Proporciona una capa adicional de protección contra la actividad maliciosa en su red y ayuda a protegerse contra posibles riesgos de seguridad. En esta publicación de blog, exploraremos qué es DHCP Snooping y por qué es importante usarlo. Veremos también como DHCP Snooping puede proteger su red de posibles amenazas y aprenderemos a configurarlo correctamente. Finalmente, veremos algunos de los beneficios de usar DHCP Snooping en su organización.

¿Qué es DHCP Snooping?

DHCP Snooping es una función de seguridad que se puede utilizar para evitar que dispositivos maliciosos falsifiquen mensajes DHCP e interrumpan la conectividad de la red. Funciona al examinar los mensajes DHCP y sólo permite aquellos mensajes que provienen de fuentes confiables. DHCP Snooping se puede utilizar en switches y router para proteger contra la suplantación de identidad del servidor DHCP, la suplantación de identidad del cliente y los ataques de denegación de servicio.

Es importante tener en cuenta que DHCP Snooping no es un mecanismo infalible. Hay formas en que los dispositivos malintencionados pueden eludir este mecanismo, por lo que no se debe confiar en ella como la única medida de seguridad para una red.

¿Cómo funciona el mecanismo DHCP Snooping?

Cuando DHCP Snooping está habilitado en un switch, éste examina los mensajes DHCP que recibe para saber qué direcciones IP se han asignado a qué hosts en cada una de sus redes conectadas. Luego, el conmutador crea una tabla de vinculación entre direcciones IP, direcciones MAC y puertos que utiliza para validar los mensajes DHCP posteriores.

Si el switch recibe un mensaje DHCP de un host que no está en su tabla de vinculación, el mensaje se descarta y el host no tiene acceso a la red. Esto evita que hosts maliciosos falsifiquen mensajes DHCP y obtengan acceso no autorizado a la red.

DHCP Snooping se puede utilizar en redes IPv4 e IPv6 y debemos añadir en su configuración la dirección IP del servidor DCHP para que sus paquetes sean agregados a dicha tabla de vínculos.

¿Qué ataques protege DHCP Snooping?

DHCP Snooping puede protegernos de los siguientes tipos de ataque:

  • IP Spoofing: este ataque sucede cuando alguien intenta enviar paquetes con una dirección IP de origen falsa. Puede usarse para realizar ataques de denegación de servicio (DDOS) para para acceder a recursos disponsibles sólo para determinadas direcciones IP
  • Man-in-the-Middle Attacks: en este tipo de ataques, alguien intenta interceptar y modificar el tráfico entre dos extremos. Puede usarse para sustraer información sensible o inyectar código malicioso en la comunicación.
  • Denial-of-Service Attacks: este ataque se produce cuando alguien intenta limitar la disponibilidad de un servicio inundándolo con gran número de peticiones o incluso dejándolo inservible al enviar peticiones con un formato incorrecto malintencionadamente.

Beneficios de DHCP Snooping

El uso de DHCP Snooping tiene múltiplex beneficios, incluida la mejora de la seguridad, la reducción del tiempo de indisponibilidad de la red y la reducción del consumo de ancho de banda. Al evitar que los servidores DHCP no autorizados entreguen información de dirección IP incorrecta, DHCP Snooping puede ayudar a mejorar la seguridad general de su red. Además, al garantizar que solo los servidores DHCP autorizados puedan entregar direcciones IP, DHCP Snooping puede ayudar a reducir la cantidad de tiempo que su red está inactiva en caso de un problema de servidores DHCP no autorizados. Finalmente, al limitar la cantidad de dispositivos que pueden recibir direcciones IP de un servidor DHCP no autorizado, DHCP Snooping puede ayudar a reducir la cantidad de ancho de banda consumido por esos dispositivos.

¿Cómo configurar DHCP Snooping?

Para configurar DHCP Snooping en un switch, debes habilitarlo en cada interfaz VLAN que desees proteger. Puedes hacer esto usando el siguiente comando:

(config) #ip dhcp snooping

Una vez que DHCP Snooping esté habilitado, deberás configurar una interfaz confiable. Esta es la interfaz que se utilizará para enviar y recibir paquetes DHCP. Puedes hacer esto usando el siguiente comando:

(config-if) #ip dhcp snooping trust

Finalmente deberás configurar la dirección IP del servidor DHCP. Esto se puede hacer usando el siguiente comando:

(config-if)#ip dhcp snooping server X.X.X.X

Configuración a través del interfaz web

Configuración web de DHCP Snooping en switches Fiberroad

¿Qué es la opción DHCP?

La opción DHCP es una característica del protocolo DHCP que permite a los clientes DHCP solicitar información adicional del servidor DHCP. Opcionalmente, un cliente puede solicitar que el servidor proporcione esta información en un formato u orden particular.

Por ejemplo, un cliente puede solicitar que el servidor proporcione la dirección del servidor DNS en una opción de DHCP. Alternativamente, un cliente puede solicitar que el servidor proporcione todas las opciones en orden alfabético.

El protocolo DHCP define docenas de opciones que pueden ser útiles para los clientes y, a menudo, se agregan nuevas opciones a medida que surgen nuevas necesidades. Algunas de las opciones más utilizadas incluyen:

  • Option 1: Subnet Mask
  • Option 2: Broadcast Address
  • Option 3: Router (Default Gateway)
  • Option 6: Domain Name Server (DNS) -Option 12: Host Name
  • Option 15: Domain Name
  • Option 28: Broadcast Address for IPv6
  • Option 43: servidores y clientes DHCP usan Option 43 para intercambiar información propietaria del fabricante.
  • Option 82: Option 82 es una opción para un agente relay. Guarda la información de localización del cliente DHCP. Cuando un agente con DHCP relay o DHCP Snooping recibe un petición de un cliente DHCP, añade la Option 82 a la petición y la reenvía al servidor DHCP.

No todas estas opciones serán relevantes o necesarias para todos los clientes. Por ejemplo, la Opción 6 solo es relevante para clientes que usan DNS, mientras que la Opción 28 solo es relevante para clientes que usan IPv6.

Conclusión

En conclusión, DHCP Snooping es una función de seguridad poderosa que puede ayudar a proteger su red de ataques maliciosos. Le permite controlar qué dispositivos están permitidos en la red y a qué tipo de tráfico pueden acceder. Esto ayuda a mantener su red segura y confiable al evitar el acceso no autorizado y reducir la posibilidad de fuga de datos u otras vulnerabilidades. Con estos beneficios en mente, está claro que configurar DHCP Snooping debe ser una parte importante de la estrategia de seguridad de cualquier administrador de red.

¿Le ha sido útil este artículo?

¡Qué bien!

Gracias por sus comentarios

¡Sentimos mucho no haber sido de ayuda!

Gracias por sus comentarios

¡Háganos saber cómo podemos mejorar este artículo!

Seleccione al menos una de las razones

Sus comentarios se han enviado

Agradecemos su esfuerzo e intentaremos corregir el artículo