lunes, 21 de diciembre de 2015

Configurando DHCP Snooping

El DHCP Snooping es una característica de seguridad que provee seguridad filtrando los mensajes DHCP "no confiables" y construyendo y manteniendo una tabla de asociaciones DHCP Snooping.

Un mensaje "no confiable" es un mensaje que es recibido desde fuera de la red o del Firewall y que puede ser parte de un ataque contra tu red.

La tabla de asociaciones DHCP Snooping contiene las direcciones MAC, direcciones IP, tiempo de arrendamiento, Tipo de asociación, número de VLAN e Interface que corresponde a las interfaces locales "no confiables" de un Switch, no contiene información de los hosts conectados a una interface "confiable".



En términos de seguridad una interface "no confiable" es una interface que está configurada para recibir mensajes desde fuera de la red local o actúa como un Firewall. Una interface "confiable" es una interface configurada para recibir solamente mensajes desde dentro de la red.

El DHCP Snooping actúa como un firewall entre los hosts "no confiables" y los servidores DHCP. 

También nos permite contar con una forma de diferenciar entre interfaces "no confiables" conectadas a usuarios finales e interfaces "confiables" conectadas a los servidores DHCP o a otro Switch.

Es posible configurar DHCP Snooping por Switch y por VLANs. Cuando se habilita el DHCP Snooping en un switch, una interface actúa como un bridge de capa 2 interceptando y salvaguardando los mensajes DHCP que se dirigen a una VLAN de capa 2. Cuando se habilita DHCP Snooping en una VLAN, el Switch actúa como un puente de capa 2 dentro del dominio de la VLAN.

El DHCP Snooping es necesario para prevenir los ataques de tipo "man-in-the-middle" en nuestras redes.  

Las redes modernas tienen el potencial para que un atacante intente instalar un DHCP Server falso y responder a los mensajes DHCPDISCOVER antes de que lo haga una servidor DHCP legítimo. El DHCP Snooping permite a los Switches en la red "confiar" en el puerto (la interface) al que está conectado el servidor DHCP legítimo (podría ser un puerto troncal) y "desconfiar" de los demás puertos.



También se mantiene una lista de asociaciones de direcciones DHCP que se logra inspeccionando el tráfico que fluye entre los clientes y el servidor DHCP, el cual provee certeza de quienes son los verdaderos hosts. La información de asociación recolectada por el DHCP Snooping es usada por otras características de seguridad como IPSG y DAI.



Los clientes se conectan a puertos "no confiables" (untrusted), todos los puertos son "no confiables" por defecto cuando se habilita el DHCP Snooping. Cuando la PC del cliente envía un mensaje DHCPDISCOVER y el DHCP Snooping está habilitado, el Switch solamente va a enviar el mensaje de broadcast DHCP a los puertos "confiables" (trusted).

En el ejemplo de la topología el Switch de distribución está actuando como DHCP Server. Un puerto "confiable" es el único puerto que tiene permitido enviar mensajes de repuesta DHCP como el DHCPOFFER.

Configurando DHCP Snooping en el Switch

Cuando se configura DHCP Snooping en el Switch, se está configurando el Switch para diferenciar entre interfaces "no confiables" e interfaces "confiables". Es necesario habilitar globalmente el DHCP Snooping antes de poder usarlo en una VLAN. Es necesario habilitar el DHCP Snooping independientemente de otras características de DHCP.
Una vez que está habilitado el DHCP Snooping, todos los comandos de configuración de opciones DHCP relay quedan deshabilitados, esto incluye a los siguientes comandos:

•ip dhcp relay information check
•ip dhcp relay information policy
•ip dhcp relay information trusted
•ip dhcp relay information trust-all

Para configurar DHCP Snooping puede usar estos comandos:



Comando

Propósito


Switch(config)# ip dhcp snooping 

Habilita DHCP snooping globalmente. Puede usar la palabra clave no para deshabilitar el DHCP snooping.


Switch(config)# ip dhcp snooping vlan number 
[number] | vlan {vlan range}]

Habilita DHCP snooping en una VLAN o en un rango VLAN


Switch(config-if)# ip dhcp snooping trust

Configura la interface como "confiable".

Puede usar la palabra clave no para configurar una interface para recibir mensajes como cliente "no cofiable".


Switch(config-if)# ip dhcp snooping limit rate 
rate

Configura el numero de paquetes DHCP por segundo (pps) que una interface puede permitir.1


Switch(config)# end 

Sale del modo de configuración.


Switch# show ip dhcp snooping 

Verifica la configuración de DHCP Snooping.


-----------------------
Post basado en el artículo: http://www.networksbaseline.in/search/label/DHCP Con aportes del editor del Blog y de las páginas:

http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/prod_white_paper0900aecd802ca5d6.html

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/dhcp.html#wp1073418

Traducido por José R. Torrico - Instructor Cisco Networking Academy

2 comentarios:

  1. I saw the same article there on the website
    http://www.networksbaseline.in/

    ResponderEliminar
    Respuestas
    1. Hi Siewon. At the bottom of the post are the credits, and the post you mention is the base of this one. This one has commands added, more images and some contributions extracted from Cisco's web site mentioned in credits also. And this has been translated to Spanish, but you may use the google translator tool if you wan to see it in other language. Best regards.

      Eliminar