Configuración de snooping para evitar el fraude DHCP

Clase de CCNASec, temas extra del módulo 6: 9 de Junio 2010

Instructor: Ernesto Vilarrasa

 

 

Escenario: con este escenario simulamos la conexión indebida o accidental de varios DHCP servers mal

configurados en nuestra red, generando entrega de direcciones fuera de rango o sin parámetros como ser

el default gateway o el DNS server.

En el escenario, el direccionamiento real es 192.168.10.X /24, los DHCP servers agregados entregarán direcciones

en los rangos 172.16.0X , 192.168.2.X y 192.168.20.X/24

Por consiguiente, para mitigar esta situación configuramos el filtro DHCP snooping en el switch, denegando las

respuestas DHCP OFFER en los ports no marcados como confiables.

Con esta configuración los hosts que generan peticiones DHCP DISCOVER no se ven afectados.

 

Este escenario NO puede reproducirse en Packet Tracer, la imagen es sólo representativa.

 

Configuración:

 

switch#show runn

 

---abreviado----

!

ip dhcp snooping habilita el servicio

ip dhcp snooping vlan 10 aplicamos el servicio a una VLAN (obligartorio)

no ip dhcp snooping information option no realiza marcado de paquetes para el helper-address en

!                                      caso de trabajar con varias VLAN y un solo DHCP server

!

interface FastEthernet0/1

 switchport access vlan 10

 switchport mode access

 spanning-tree portfast

 ip dhcp snooping trust configuramos el port como confiable para el tráfico DHCP OFFER

!

---abreviado--—

 

Conectamos varios DHCP server a un port no confiable ( Fa0/2-23 ) y desde varias generamos una petición DHCP,

los servers reciben las peticiones pero al responderlas el tráfico se filtra, obtenemos el siguiente resultado:

 

                  

 

Luego con el server conectado a un puerto trust (confiable) en este caso Fa0/1, renovamos la dirección IP en el host, obteniendo

una dirección de IP válida:

 

               

 

 

Comandos de verificación en el switch:

 

Switch#sh ip dhcp snoop bind nos devuelve quienes son los host que obtuvieron servicio DHCP

 

MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface

------------------  ---------------  ----------  -------------  ----  --------------------

00:1B:38:7E:F1:71   192.168.10.4     86296       dhcp-snooping   10    FastEthernet0/5

00:19:66:11:61:DF   192.168.10.5     86395       dhcp-snooping   10    FastEthernet0/9

Total number of bindings: 2

 

Switch#sh ip dhcp snoop nos devuelve los puertos TRUST ( confiables )

 

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

10

DHCP snooping is configured on the following Interfaces:

 

Insertion of option 82 is disabled

   circuit-id format: vlan-mod-port

    remote-id format: MAC

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface                    Trusted     Rate limit (pps)

------------------------     -------     ----------------

FastEthernet0/1              yes         unlimited también podemos limitar el ancho de banda

                                                   para el tráfico DHCP ( no implementado ya

                                                   que no impacta en la seguridad )

 

(2010) Tales to share with boring girls

www.vilarrasa.com.ar

 

 

.