El DHCP Snooping es una característica de seguridad que provee seguridad filtrando los mensajes DHCP "no confiables" y construyendo y manteniendo una tabla de asociaciones DHCP Snooping.
Un mensaje "no confiable" es un mensaje que es recibido desde fuera de la red o del Firewall y que puede ser parte de un ataque contra tu red.
La tabla de asociaciones DHCP Snooping contiene las direcciones MAC, direcciones IP, tiempo de arrendamiento, Tipo de asociación, número de VLAN e Interface que corresponde a las interfaces locales "no confiables" de un Switch, no contiene información de los hosts conectados a una interface "confiable".
En términos de seguridad una interface "no confiable" es una interface que está configurada para recibir mensajes desde fuera de la red local o actúa como un Firewall. Una interface "confiable" es una interface configurada para recibir solamente mensajes desde dentro de la red.
El DHCP Snooping actúa como un firewall entre los hosts "no confiables" y los servidores DHCP.
También nos permite contar con una forma de diferenciar entre interfaces "no confiables" conectadas a usuarios finales e interfaces "confiables" conectadas a los servidores DHCP o a otro Switch.
Es posible configurar DHCP Snooping por Switch y por VLANs. Cuando se habilita el DHCP Snooping en un switch, una interface actúa como un bridge de capa 2 interceptando y salvaguardando los mensajes DHCP que se dirigen a una VLAN de capa 2. Cuando se habilita DHCP Snooping en una VLAN, el Switch actúa como un puente de capa 2 dentro del dominio de la VLAN.
El DHCP Snooping es necesario para prevenir los ataques de tipo "man-in-the-middle" en nuestras redes.
Las redes modernas tienen el potencial para que un atacante intente instalar un DHCP Server falso y responder a los mensajes DHCPDISCOVER antes de que lo haga una servidor DHCP legítimo. El DHCP Snooping permite a los Switches en la red "confiar" en el puerto (la interface) al que está conectado el servidor DHCP legítimo (podría ser un puerto troncal) y "desconfiar" de los demás puertos.
También se mantiene una lista de asociaciones de direcciones DHCP que se logra inspeccionando el tráfico que fluye entre los clientes y el servidor DHCP, el cual provee certeza de quienes son los verdaderos hosts. La información de asociación recolectada por el DHCP Snooping es usada por otras características de seguridad como IPSG y DAI.
Los clientes se conectan a puertos "no confiables" (untrusted), todos los puertos son "no confiables" por defecto cuando se habilita el DHCP Snooping. Cuando la PC del cliente envía un mensaje DHCPDISCOVER y el DHCP Snooping está habilitado,
el Switch solamente va a enviar el mensaje de broadcast DHCP a los puertos "confiables" (trusted).
En el ejemplo de la topología el Switch de distribución está actuando como DHCP Server. Un puerto "confiable" es el único puerto que tiene permitido enviar mensajes de repuesta DHCP como el DHCPOFFER.
Configurando DHCP Snooping en el Switch
Cuando se configura DHCP Snooping en el Switch, se está configurando el Switch para diferenciar entre interfaces "no confiables" e interfaces "confiables". Es necesario habilitar globalmente el DHCP Snooping antes de poder usarlo en una VLAN. Es necesario habilitar el DHCP Snooping independientemente de otras características de DHCP.
Una vez que está habilitado el DHCP Snooping, todos los comandos de configuración de opciones DHCP relay quedan deshabilitados, esto incluye a los siguientes comandos:
•ip dhcp relay information check
•ip dhcp relay information policy
•ip dhcp relay information trusted
•ip dhcp relay information trust-all
Para configurar DHCP Snooping puede usar estos comandos:
|
Comando
|
Propósito
|
1
|
Switch(config)# ip dhcp snooping
|
Habilita DHCP snooping globalmente. Puede usar la palabra clave no para deshabilitar el DHCP snooping.
|
2
|
Switch(config)# ip dhcp snooping vlan number
[number] | vlan {vlan range}]
|
Habilita DHCP snooping en una VLAN o en un rango VLAN
|
3
|
Switch(config-if)# ip dhcp snooping trust
|
Configura la interface como "confiable".
Puede usar la palabra clave no para configurar una interface para recibir mensajes como cliente "no cofiable".
|
4
|
Switch(config-if)# ip dhcp snooping limit rate
rate
|
Configura el numero de paquetes DHCP por segundo (pps) que una interface puede permitir. 1
|
5
|
|
Sale del modo de configuración.
|
6
|
Switch# show ip dhcp snooping
|
Verifica la configuración de DHCP Snooping.
|
-----------------------
Post basado en el artículo: http://www.networksbaseline.in/search/label/DHCP Con aportes del editor del Blog y de las páginas:
http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/prod_white_paper0900aecd802ca5d6.html
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/dhcp.html#wp1073418
Traducido por José R. Torrico - Instructor Cisco Networking Academy