DHCP Snooping y CISCO

DHCP Snooping

Consiste en reconducir el tráfico a la máquina atacante. La técnica más usada en mi opinión es usando la técnica ARP Poisoning o el ARP Spoofing.

Se pueden utilizar aplicaciones para monitorizar, pero para evitarlo realmente debe ser desde la electrónica de red. Hoy en día ya hay firewalls que hacen funciones de IDS e IPS (detección e intrusión); como veis en este blog no tenemos banners de publicidad excepto los que nos imponen desde Word press, somos un poco vagonetas para la programación y no hemos acabo nuestra web de empresa, si si en un año que va ya desde que nos pusimos por primera vez … ( como decimos cuando echamos una partidilla algún juego … LOL J.), es que no hay días J.

Dentro de la electrónica de red el Switch para este caso será el que autorice el tráfico permitido y bloqueé el que no lo es.

Lo que hace el Switch es almacenar las direcciones MAC e Ip en el propio dispositivo o usando aplicaciones “especiales” en una BBDD externa.

El problema del switch sería en como crea la tabla MAC para que la información sea veraz.

La solución está en el propio funcionamiento del protocolo DHCP, a través de las peticiones y respuestas del DHCP. (DHCPOFFER,DHCPPACK,DHCPNAK,DHCPLEASEQUERY). (http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol)

Hay dos alternativas para garantizar la protección:

1)    Cuando hay servidores falsos de DHCP. Solo determinados puertos del switch van a poder ofrecer direcciones Ip correctas. Así se anulan servidores falsos de DHCP que puedan estar conectados a otros puertos (DHCP Snooping). Además si algún equipo de la red pone manualmente la ip será descartada por la electrónica de red (switch).

2)    El mecanismo dos, ofrece una solución similar, las peticiones de DHCP de los equipos en este caso son atendidas directamente por los switches que funcionan como agentes Relay de DHCP, ( http://srinformacion.files.wordpress.com/2012/11/7-servicio-dhcp-a-varias-redes-agente-relay-dhcp.pdf ) que escuchan las peticiones de DHCP que se producen. Las haces suyas y realizan la solicitud en su nombre a los servidores de DHCP. Cuando la respuesta de DHCP es recibida se realiza la entrega al cliente, anotando la información correspondiente a la dirección IP y física.

 

Limitaciones del sistema de DHCP Snooping:

Tener una electrónica de red válida.

La capacidad máxima de almacenamiento de información en la tabla, anteriores a la 12.2(18) SX una máximo 512 elementos, revisiones posteriores unas 8.000 entradas.

Actualmente DHCP Snooping ofrece una solución contra ataques de envenenamiento ARP y man in the middle, pero no ofrece una solución contra IPV6 donde estamos todavía muy pez.

 

Puertos  en  DHCP Snooping:

Hay puertos confiables o no confiables. El DHCP legítimo va estar en los confiables.

Si llega un paquete DHCP Reply a puerto no confiable el paquete es descartado. Entonces el puerto pasa a estar en estado:

Errdisable que veremos en el siguiente post. Aprovecho para comentar al informático de 50 años que me dijo el otro día en una conversación que tontos éramos los que gratuitamente dedicábamos tiempo de nuestra vida a publicar explicaciones para ayudar a los demás y teniamos un blog en vez de tiendas virtuales, ahí “implosiones” pedazo de alcornoque, quizás gracias a gente como yo y mucho mejor que yo, millones de blogs en el mundo podamos llegar a un conocimiento mayor en todas las áreas conocidas y suframos una mayor evolución en todos los sentidos y así consigamos que los pajarracos desaparezcan y las personas con menos recursos puedan sin necesidad de gastar dinero APRENDER. Suerte con esa aplicación de la que no sabes ni hacer un backup de SQL Express y necesitas un SQL de pago para dos personas en una empresa solo por la seguridad de tener un backup, deberías leer mas blog gratuitos … Tienes suerte te la paguen a precio de oro, pero no te olvides de la seguridad 😉 te estamos vigilando …

Volviendo al plano terrenal, DHCP snooping mantiene un registro de todos los enlaces de los DHCP completados.

Activar DHCP snooping en un cisco:

(config)#Ip dhcp snooping

Identificar la Vlan donde DHCP snooping se va implementar:

(config)#Ip dhcp snooping vlan {identificador Vlan}

Se configuran los puertos confiables donde están localizados los servidores DHCP reales:

(config)#Interface {tipo de interface y número por ejemplo fa0/0}

(config-if)#ip dhcp snooping trust

Para los puerto no confiables se permiten un número ilimitado de peticiones DHCP, para limitarlo se usa:

(config)#Interface {tipo de interface y número}

(config-if)#ip dhcp snooping limit rate {rango de 1 a 2048 paquetes por Segundo, por ejemplo: 5 para una red pequeña}

Ejemplo: ip dhcp snooping limit rate 5

Para saber que esta respuesta viene de un Puerto válido, el Switch se basa en el RFC 3046 y la opción descrita en la opción 82 donde se amplía la información recibida por DHCP. Esta característica está habilitada por defecto en el dhcp snooping. http://slaptijack.com/networking/what-is-dhcp-option-82/

 

Para ver el estado del dhcp snooping usar el comando:

#Show ip dhcp snooping

#Show ip dhcp snooping binding -> muestra las relaciones conocidas de DHCP que han sido recibidas.

Un ejemplo sería:

SwitchMiguel(config)#ip dhcp snooping

SwitchMiguel(config)#ip dhcp snooping vlan 20

SwitchMiguel(config)#interface range fastethernet 0/1 – 10

SwitchMiguel(config-if)#ip dhcp snooping limit rate 5

SwitchMiguel(config-if)#interface gigabitethernet 0/1

SwitchMiguel(config-if)#ip dhcp snooping trust

 

Entendiendo DHCP Snooping haciendo un ataque MIMT:

http://www.elladodelmal.com/2011/10/ataque-man-in-middle-con-dhcp-ack.html

Aplicación usada DHCP_ACK_Injector_0.2.1 (informatica64).

http://www.elladodelmal.com/2012/02/dhcp-ack-injector-se-hace-mas-selectivo.html

Fuentes usadas, el intelecto de Juan Luís García Rambla, las certificaciones de Cisco CCNP Switching y el CCNA Security y la propia experiencia.

Continuamos en el próximo post.