Mitigación de ataques de DHCP

Un ataque de suplantación de DHCP se produce cuando un servidor DHCP dudoso se conecta a la red y brinda parámetros de configuración IP falsos a los clientes legítimos. La suplantación de DHCP es riesgosa porque los clientes pueden arrendar información de IP de direcciones de servidores DNS maliciosos, gateway predeterminados maliciosos o asignaciones de IP maliciosas.

Las mejores prácticas de seguridad recomiendan el uso de la detección DHCP para mitigar los ataques de suplantación de DHCP.

Si la detección DHCP está habilitada en una interfaz o VLAN y un switch recibe un paquete DHCP en un puerto no confiable, el switch compara la información del paquete de origen con la almacenada en la base de datos vinculante de detección DHCP. El switch negará los paquetes que contengan la siguiente información:

  • Mensajes no autorizados del servidor DHCP que provengan de un puerto no confiable.

  • Mensajes del cliente DHCP que no cumplan con la base de datos de enlaces de detección DHCP o con los límites de velocidad.

En una red grande, la creación de la base de datos de enlaces de detección DHCP puede llevar tiempo una vez que se habilita. Por ejemplo, la detección DHCP podría tardar dos días en completar la base de datos si el tiempo de arrendamiento DHCP es de cuatro días.

La detección DHCP reconoce dos tipos de puertos:

  • Puertos de confianza de DHCP: Solo se puede confiar en los puertos conectados a servidores DHCP corriente arriba. Estos puertos deben hacer que los servidores DHCP legítimos respondan con mensajes de oferta de DHCP y de acuse de recibo de DHCP. Los puertos confiables se deben identificar explícitamente en la configuración.

  • Puertos no confiables: estos puertos se conectan a los hosts que no deben proporcionar mensajes de servidor DHCP. De manera predeterminada, todos los puertos de switch no son confiables.

La figura proporciona una representación visual de la asignación de puertos de detección DHCP en una red. Observe cómo los puertos confiables siempre conducen al servidor de DHCP legítimo, mientras que el resto de los puertos (es decir, los puertos de acceso que se conectan a los terminales) no son confiables de manera predeterminada.

Nota: Para obtener más información sobre la detección DHCP, consulte el curso de Seguridad CCNA (CCNA Security).