Conociendo la protección de DHCP Snooping

75 0 2 1

Bienvenidos nuevamente, continuando con nuestro tema de DHCP snooping vamos a revisar a profundidad sobre esta protección que está disponible en los switches de la serie S de Huawei con el objetivo de conocer que configuración es la más conveniente para nuestra red que nos permita protegernos de los ataques al protocolo DHCP.


Fundamentos

DHCP snooping tiene dos modos: DHCPv4 snooping y DHCPv6 snooping. Ambos modos funcionan de manera similar. Esta sección utiliza el modo DHCPv4 snooping como ejemplo.


Un dispositivo habilitado con la función de DHCP snooping reenvía los mensajes de solicitud DHCP de los usuarios (clientes DHCP) a un servidor DHCP autorizado a través de la interfaz de confianza. Luego, el dispositivo genera entradas de enlace o binding de DHCP snooping de acuerdo con los mensajes ACK de DHCP que recibe del servidor DHCP. Para evitar ataques de usuarios no autorizados, el dispositivo verifica los mensajes DHCP que recibe a través de las interfaces habilitadas para la función de DHCP snooping contra la tabla de enlace o binding table.


Función de confianza DHCP Snooping

Si existe un servidor DHCP falso o bogus server en una red, como se muestra en la Figura 1, los clientes DHCP pueden obtener de él direcciones IP y parámetros de configuración de red incorrectos, lo que puede generar fallos en la comunicación. La función de confianza controla el origen de los mensajes de respuesta DHCP para evitar que los servidores DHCP falsos asignen direcciones IP y otras configuraciones a los clientes DHCP.

La función DHCP snooping define dos tipos de interfaces: una interfaz confiable y una interfaz no confiable. Las funciones de las interfaces garantizan que los clientes DHCP obtengan direcciones IP de un servidor DHCP autorizado.


La interfaz de confianza y las interfaces no confiables se utilizan de la siguiente manera:

Los mensajes ACK DHCP, los mensajes NAK y los mensajes de Offer se reciben desde la interfaz de confianza. Además, el dispositivo solo reenvía los mensajes de solicitud DHCP de los clientes DHCP al servidor DHCP autorizado a través de la interfaz de confianza.


Los mensajes ACK DHCP, los mensajes NAK y los mensajes de Offer se descartan en las interfaces que no son de confianza.


Cuando la función DHCP snooping está habilitada en un dispositivo de acceso de Capa 2, como se muestra en la Figura 1, la interfaz directa o indirectamente conectada al servidor DHCP autorizado generalmente se configura como una interfaz confiable (por ejemplo, if1). Otras interfaces se configuran como interfaces no confiables (por ejemplo, if2). Para garantizar que los clientes DHCP puedan obtener direcciones IP solo del servidor DHCP autorizado, los mensajes de solicitud DHCP de los clientes DHCP se reenvían solo a través de la interfaz de confianza. Los servidores DHCP falsos no pueden asignar direcciones IP a los clientes DHCP.


Figura 1 confianza DHCP espionaje

151301r4bfqb4zf9fdw9kh.png?image.png


Tabla de enlace para DHCP snooping

En la Figura 2, cada PC se conecta a un dispositivo de acceso de Capa 2 y obtiene una dirección IP automáticamente. El proceso es el siguiente:

1. Una PC, que funciona como un cliente DHCP, transmite un mensaje de solicitud DHCP.


2. El dispositivo de acceso de Capa 2 habilitado con la función de DHCP snooping reenvía el mensaje al servidor DHCP a través de la interfaz de confianza.


3. El servidor DHCP envía un mensaje unicasts ACK DHCP que lleva una dirección IP a la PC.


4. El dispositivo de acceso de Capa 2 obtiene la información requerida, como la dirección MAC de la PC, la dirección IP y el tiempo de concesión de la dirección IP, de los mensajes ACK de DHCP. Aprende información (número de interfaz e ID de VLAN) acerca de la interfaz habilitada para indagación DHCP conectada a la PC y genera una entrada de vinculación de indagación DHCP para la PC.


Por ejemplo, el dispositivo de acceso de Capa 2 en la Figura 2 obtiene la dirección IP 192.168.1.253, la dirección MAC MACA y la interfaz if3 conectadas a la PC1 al recibir un mensaje ACK DHCP para PC1, y luego genera una entrada de enlace de DHCP snooping para PC1.


Figura 2 Tabla de enlace de snooping DHCP


151329pa3qfzvz2e4t394e.png?image.png


Una entrada de enlace de DHCP snooping caduca cuando caduca el tiempo de concesión de la dirección IP. Alternativamente, la entrada se elimina cuando el cliente envía un mensaje de liberación de DHCP para liberar su dirección IP.


La tabla de enlace de DHCP snooping registra las asignaciones entre las direcciones IP y las direcciones MAC de los clientes DHCP. El dispositivo puede comparar los mensajes DHCP con la tabla de enlace de DHCP snooping para evitar ataques iniciados por usuarios no autorizados.


Configure la función de DHCP snooping en los dispositivos de acceso de Capa 2 o en el primer agente de DHCP relay para garantizar que el dispositivo obtenga parámetros como las direcciones MAC para generar entradas de enlace de DHCP snooping.


Si la función de DHCP snooping está habilitada en un agente de DHCP relay, no es necesario configurar una interfaz confiable en el agente de DHCP relay. Después de recibir los mensajes de solicitud DHCP de los clientes, el agente de DHCP relay modifica las direcciones IP de origen / destino y las direcciones MAC, y los mensajes unicasts al servidor DHCP autorizado. Por lo tanto, los mensajes ACK de DHCP recibidos por el agente de DHCP relay son válidos, y las entradas de enlace de DHCP snooping generadas por el agente de retransmisión de DHCP son correctas.


En resumen la utilización de esta funcionalidad es de suma importancia ya que nos ayudara a prevenir cualquier ataque al protocolo DHCP y de esta manera aseguraremos la disponibilidad de nuestra red de datos. Nos leemos en la próxima publicación sobre este interesante tema.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#OneHuawei


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba