4.6.1.1: Detección DHCP

-

Un ataque de suplantación de DHCP se produce cuando un servidor DHCP dudoso se conecta a la red y brinda parámetros de configuración IP falsos a los clientes legítimos. La suplantación de DHCP es peligrosa porque los clientes pueden recibir información de concesión de IP, como servidores DNS maliciosos, puertas de enlace predeterminadas maliciosas y asignaciones IP maliciosas.
Las mejores prácticas de seguridad recomiendan el uso de la detección DHCP para mitigar los ataques de suplantación de DHCP.

La detección DHCP crea y mantiene una base de datos denominada base de datos de enlaces de detección DHCP (también conocida como tabla de enlaces de detección DHCP). Esta base de datos incluye la dirección MAC del cliente, la dirección IP, el tiempo de la concesión de DHCP, el tipo de enlace, el número de VLAN, y la información de interfaz en cada puerto de switch o interfaz no confiables. El administrador de redes debe definir qué puertos son confiables. Al combinar la información en la base de datos de enlace de detección DHCP con los puertos confiables, el switch puede filtrar los mensajes DHCP de fuentes no confiables.

Cuando la detección DHCP se habilita en una interfaz o una VLAN, y un switch recibe un paquete DHCP en un puerto no confiable, el switch compara la información del paquete de origen con la información que se mantiene en la base de datos de enlaces de detección DHCP. El switch negará los paquetes que contengan la siguiente información:
  • Mensajes no autorizados del servidor DHCP que provengan de un puerto no confiable.
  • Mensajes del cliente DHCP que no cumplan con la base de datos de enlaces de detección DHCP o con los límites de velocidad.
  • Paquetes de agente de retransmisión DHCP que incluyan información de la opción 82 proveniente de un puerto no confiable.
Nota: La opción 82 proporciona seguridad y se utiliza para enviar información sobre los clientes DHCP a servidor DHCP. Sin embargo, un puerto no confiable no debe recibir paquetes de opción 82.

En una red grande, la creación de la base de datos de enlaces de detección DHCP puede llevar tiempo una vez que se habilita. Por ejemplo, la detección DHCP puede tardar 2 días para completar la base de datos, si el tiempo de la concesión de DHCP es de 4 días.

La detección DHCP reconoce dos tipos de puertos:
  • Puertos de confianza de DHCP: Solo se puede confiar en los puertos conectados a servidores DHCP corriente arriba. Estos puertos deben generar tráfico a los servidores DHCP que respondan con mensajes de DHCP Offer y DHCP Ack. Los puertos confiables se deben identificar explícitamente en la configuración.
  • Puertos no confiables: estos puertos se conectan a los hosts que no deben proporcionar mensajes de servidor DHCP. De manera predeterminada, todos los puertos de switch no son confiables.
En la Figura 1, se presenta un ejemplo visual que muestra cómo los puertos de detección DHCP se deben asignar en una red.

Figura 1: Identificación de los puertos confiables y no confiables de detección DHCP
Topología de cuatro switches que muestra todos los puertos como confiables, a excepción de los puertos conectados a una PC y a una computadora portátil
Observe cómo los puertos confiables siempre conducen al servidor de DHCP legítimo, mientras que el resto de los puertos (es decir, los puertos de acceso que se conectan a los terminales) no son confiables de manera predeterminada.

Nota: la configuración de detección DHCP va más allá del alcance de este curso.

Comentarios

Publicar un comentario

Entradas más populares de este blog

VENTAJAS Y DESVENTAJAS DE LAS VLAN

-
Imagen
Ventajas de las VLAN La productividad del usuario y la adaptabilidad de la red son impulsores clave para el crecimiento y el éxito del negocio. La implementación de la tecnología de VLAN permite que una red admita de manera más flexible las metas comerciales. Los principales beneficios de utilizar las VLAN son los siguientes: Seguridad:   los grupos que tienen datos sensibles se separan del resto de la red, disminuyendo las posibilidades de que ocurran violaciones de información confidencial. Las computadoras del cuerpo docente se encuentran en la VLAN 10 y están completamente separadas del tráfico de datos del Invitado y de los estudiantes. Reducción de costo:   el ahorro en el costo resulta de la poca necesidad de actualizaciones de red caras y m á s usos eficientes de enlaces y ancho de banda existente. Mejor rendimiento:   la división de las redes planas de Capa 2 en múltiples grupos lógicos de trabajo (dominios de broadcast) reduce el tráfico i...
Read more »

3.1.3.1: VLAN normales y extendidas

-
Las VLAN se dividen en VLAN de rango normal o de rango extendido como se describe en la Tabla 1. Tabla 1: Tipos de VLAN Tipo Definición VLAN de rango normal ·       Se utilizan en redes de pequeñas y medianas empresas y de negocios. ·       Se identifican mediante un ID de VLAN entre 1 y 1005. ·       Los ID 1 y de 1002 a 1005 se crean automáticamente y no se pueden eliminar. (Los ID de 1002 a 1005 se reservan para VLAN de Token Ring e interfaz de datos distribuidos por fibra óptica [FFDDI]). ·       Las configuraciones se almacenan en un archivo de base de datos de VLAN llamado vlan.dat, que se guarda en la memoria flash. VLAN de rango extendido ·       Utilizadas por los proveedores de servicios y las grandes organizaciones para ampliar su infraestructura a una mayor cantidad de clientes. ·  ...
Read more »

DESCARGA CURSO CCNA 5.0

-
Imagen
DESCARGAR CISCO CCNA V 5.0 COMPLETO ESPAÑOL Y GRATIS……Cisco Certified Network Associate (CCNA) Routing y Switching es un programa de certificación para los ingenieros de red de nivel básico que ayuda a maximizar su inversión en conocimientos de redes. El plan de estudios Cisco CCNA ayuda a los estudiantes a prepararse para las oportunidades de carrera de nivel inicial, la formación continua y el CCENT Cisco reconocido a nivel mundial y las certificaciones CCNA . Nuestro nuevo CCNA V 5.0 Enrutamiento y conmutación currículo se alinea con los últimos exámenes CCENT y certificación CCNA . INTRODUCCION A REDES Capítulo 0: Introducción al curso Capítulo 1: Exploración de la red Capítulo 2: Configuración de un sistema operativo de red Capítulo 3: Protocolos y comunicaciones de red Capítulo 4: Acceso a la red Capítulo 5: Ethernet Capítulo 6: Capa de Red Capítulo 7: Capa de Transporte Capítulo 8: Asignación de direcciones IP Capítulo 9: División de redes IP en subredes...
Read more »