“¿Por qué mi computadora portátil tiene una dirección IP de forma dinámica pero todavía no puedo acceder a la red?” ¿Has encontrado este problema en su vida diaria? ¿Dudas de la autenticidad de la dirección IP o si estás autorizado por el servidor DHCP? Si no los has encontrado, ¿cómo puedes evitar este caso? En el artículo presente, se introducirá el término Inspección DHCP para ayudar a los usuarios a evitar direcciones IP ilegales.
¿Qué es la inspección DHCP? (DHCP Snooping)
La inspección DHCP (DHCP Snooping) es una tecnología de seguridad de capa 2 incorporada con el sistema operativo de conmutadores de red de alto rendimiento que descarta las comunicaciones DHCP que se consideran inaceptables. La inspección DHCP evita que servidores DHCP no autorizados (maliciosos) proporcionen direcciones IP a clientes de DHCP. La función de inspección DHCP realiza las siguientes actividades:
Verificar los mensajes DHCP de fuentes no confiables y filtrar los mensajes no válidos.
Establecer y mantener una base de datos de enlaces de indagación DHCP, que contiene información sobre hosts no confiables con direcciones IP arrendadas.
Utilizar la base de datos de enlace de escucha DHCP para verificar solicitudes posteriores de hosts no confiables.
¿Cómo funciona la inspección?
Para comprender cómo funciona la inspección DHCP, debemos comprender el mecanismo de trabajo de DHCP, que significa Protocolo de configuración dinámica de host. Después de habilitar DHCP, los dispositivos de red sin una dirección IP interactuarán con el servidor DHCP a través de las siguientes cuatro etapas.
La inspección DHCP generalmente divide las interfaces del switch en dos tipos: puertos confiables y puertos no confiables, como se muestra en la figura 2. Un puerto confiable es un puerto confiable o fuente de mensajes del servidor DHCP. El puerto no confiable es el puerto del mensaje del servidor DHCP no confiable. Si la inspección DHCP habilita, los mensajes de oferta de DHCP solo se pueden enviar a través de puertos confiables. De lo contrario, será descartado.
Durante el proceso de confirmación, se crea una tabla de enlace DHCP basada en el mensaje DHCP ACK. Registra la dirección MAC del host, la dirección IP alquilada, el tiempo de arrendamiento, el tipo de enlace y el número de VLAN e información de interfaz asociada con el host, como se muestra en la figura 3. Si se reciben paquetes DHCP posteriores desde hosts no confiables, es decir, si el host no coincide con la información, se descartará.
La inspección DHCP previene ataques comunes
Ataque de suplantación de DHCP
La suplantación de identidad de DHCP se produce cuando un atacante intenta lanzar un ataque en el medio respondiendo a una solicitud de DHCP e intentando enumerarse a sí mismo (suplantación de identidad) como la puerta de enlace predeterminada o el servidor DNS. De esta manera, pueden interceptar el tráfico del usuario antes de reenviarlo a la puerta de enlace real, o evitar que el recurso de la dirección IP realice DoS enviando una solicitud al servidor DHCP real.
Ataque de hambre DHCP
Los ataques de hambre DHCP generalmente apuntan al servidor DHCP de la red. El propósito es utilizar una dirección MAC de origen engañosa para enviar un mensaje de solicitud DHCP a un servidor DHCP autorizado. El servidor DHCP responderá a todas las solicitudes mediante la asignación de direcciones IP disponibles (no estar seguro de si se trata de un ataque de hambre DHCP), lo que hará que se agote el grupo DHCP.
¿Cómo habilitar la inspección DHCP?
La inspección DHCP solo funciona para usuarios con cable. Como característica de seguridad de la capa de acceso, esta característica generalmente se habilita en un switch que incluye un puerto de acceso en VLAN que contiene el servicio DHCP. Al implementar la inspección DHCP, debe establecer un puerto confiable (el puerto a través del cual pasan los mensajes legítimos del servidor DHCP) antes de habilitar la inspección DHCP en VLAN que desea proteger. Esto se puede implementar en la interfaz CLI y la GUI web. Los comandos CLI se muestran en la configuración de indagación DHCP de switch de serie FS S3900.
Conclusión
Aunque DHCP simplifica las direcciones IP, también plantea problemas de seguridad. La inspección DHCP es un mecanismo de protección, para resolver estos problemas, evitará direcciones DHCP no válidas de servidores DHCP maliciosos y puede defenderse contra ataques de agotamiento de recursos que intentan agotar todas las direcciones DHCP existentes. El switch gestionado apilable Gigabit de FS de serie S3900 puede aprovechar al máximo esta función para proteger tu red.
