Defensa contra ataques de parte de servidores DHCP falsos en switches Huawei

35 0 2 0

Hola a todos. En esta ocasión les platicare sobre el método de defensa contra ataques de parte de servidores DHCP no autorizados para un switch de la serie S de Huawei. Pasemos a la información para conocer sobre este tema.

 

Comportamiento de ataque

No hay ningún mecanismo de autenticación disponible entre los servidores DHCP y los clientes. Por lo tanto, cualquier servidor DHCP recientemente implementado en una red puede asignar direcciones IP y otros parámetros de red a clientes DHCP. Un servidor DHCP falso o bogus DHCP se conecta a switches de acceso o agregación a través de una red de Capa 2. Cuando los clientes conectados a los switches solicitan direcciones IP a través de DHCP, el servidor DHCP falso responde antes que otros servidores y asigna direcciones IP a los clientes, lo que genera conflictos de direcciones IP y afecta los servicios de red.

 

Política de seguridad

Para defenderse del ataque anterior, configure las siguientes políticas de seguridad en un switch:

 

Filtrado de servidor DHCP

Configure las políticas de tráfico para permitir que el switch reenvíe paquetes de respuesta solo desde servidores DHCP válidos.

 

DHCP snooping

Configure la inspección DHCP y configure las interfaces válidas del servidor DHCP como interfaces confiables para filtrar los servidores DHCP no válidos.


Método de configuración

 

Configure el filtrado del servidor DHCP.

Los servidores DHCP válidos tienen direcciones IP específicas. Los paquetes de respuesta de los servidores DHCP son paquetes UDP y utilizan el puerto de origen 67. Configure políticas para filtrar paquetes DHCP falsos.

 

Según las interfaces válidas en los servidores DHCP, configure las siguientes políticas:

1. Configure reglas para filtrar servidores DHCP válidos y falsos.

dhcp1


2. Aplique la regla de filtrado que permite interfaces válidas.

dhcp2


3. Aplique la regla de filtrado que prohíbe las interfaces no válidas.

dhcp3


Configure la inspección DHCP.

 

Configure la interfaz conectada al servidor DHCP válido como una interfaz confiable.

dhcp4


Configure la inspección DHCP para otras interfaces o VLAN del lado del usuario.

dhcp5


Para evitar suplantaciones de servidores DHCP en una red de datos con la implementación de estas medidas lograremos conseguir este objetivo.

 

Gracias por acompañarnos en el foro y estén pendientes de las nuevas publicaciones que tendremos para Uds.

 

Saludos.

FIN                                   


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje