Tres escenarios de aplicación para DHCP Snooping en switches CloudEngine Destacado

25 0 1 0

Hola a todos de nueva cuenta. En esta publicación continuamos con la descripción de los diferentes escenarios de aplicación en donde se requiera habilitar la función de DHCP Snooping para proteger a los diferentes usuarios de una red de datos. En esta publicación revisaremos 3 escenarios de aplicación. Pasemos a la información.

 

Ataques de defensa de usuarios que no son DHCP

Mecanismo

En una red DHCP, los usuarios con direcciones IP estáticas pueden iniciar ataques como ataques de servidor DHCP falsos y ataques de mensajes de solicitud DHCP falsos. Esto conlleva riesgos de seguridad para los usuarios autorizados de DHCP.

 

Solución

Para evitar ataques de usuarios que no son DHCP, habilite el dispositivo para generar entradas de direcciones MAC estáticas basadas en la tabla de enlace de indagación DHCP, y deshabilite la interfaz para que no aprenda entradas de direcciones MAC dinámicas. Solo los mensajes cuyas direcciones MAC de origen coinciden con las entradas de direcciones MAC estáticas pueden pasar a través de la interfaz del lado del usuario en el dispositivo, y se descartan otros mensajes. Para permitir que los mensajes de usuarios que no son DHCP pasen por la interfaz, el administrador debe configurar manualmente las entradas de direcciones MAC estáticas para ellos.

 

1


Defensa contra ataques de inundación DHCP o DHCP Flood Attacks

Mecanismo

En una red DHCP, si un atacante envía una gran cantidad de mensajes DHCP al dispositivo en poco tiempo, el rendimiento del dispositivo puede deteriorarse y el dispositivo puede no funcionar correctamente. Este ataque se llama ataque de inundación DHCP o flood Attack.

 

Solución

Para evitar ataques de inundación DHCP, habilite la inspección DHCP y permita que el dispositivo verifique la velocidad de envío de mensajes DHCP a la unidad de procesamiento. Luego, el dispositivo envía solo mensajes DHCP dentro de una velocidad especificada a la unidad de procesamiento y descarta aquellos que exceden la velocidad.


Defensa contra ataques de mensajes DHCP falsos

Mecanismo

Un cliente DHCP autorizado que ha obtenido una dirección IP envía un mensaje de solicitud de DHCP o un mensaje de liberación para extender el arrendamiento o liberar la dirección IP. Si los atacantes envían continuamente mensajes de solicitud de DHCP al servidor DHCP para extender el arrendamiento, los usuarios autorizados no pueden reclamar ni obtener las direcciones IP. Si los atacantes falsifican mensajes de Liberación de DHCP de usuarios autorizados al servidor DHCP, los usuarios autorizados pueden ser desconectados.

 

Solución

Para evitar ataques de mensajes DHCP falsos, use la tabla de enlace de indagación DHCP. El dispositivo verifica los mensajes de solicitud de DHCP y libera los mensajes contra entradas vinculantes para determinar si los mensajes son válidos. (El dispositivo verifica si las ID de VLAN, las direcciones IP, las direcciones MAC y las interfaces en los mensajes coinciden con las entradas vinculantes). Si un mensaje coincide con una entrada vinculante, el dispositivo reenvía el mensaje; Si un mensaje no coincide con una entrada de enlace, el dispositivo descarta el mensaje.


Como podrán observar existen diferentes escenarios en los cuales podemos utilizar la función de DHCP Snooping en una red de datos. Cuando se está llevando a cabo el diseño de la red y se revise la sección de seguridad de la red será en este punto en donde se definirá que tipo de protección se configurara.

 

Gracias por seguirnos y no se pierdan las próximas publicaciones sobre este interesante tema.

 

Saludos.

 

FIN                                   


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión