Ataque a DHCP.
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
Puede atacar un servidor DHCP de varias maneras diferentes.
1. Un atacante puede generar y enviar a un servidor DHCP una gran cantidad de solicitudes DHCP con diferentes direcciones MAC. El servidor asignará direcciones IP del grupo y, tarde o temprano, todo el grupo DHCP terminará, después de lo cual el servidor no podrá atender a los nuevos clientes. De hecho, es un ataque DoS, ya que se rompe el rendimiento de la red. El método para combatir este tipo de ataques se llama DHCP Snooping. Este método es el siguiente. Cuando un conmutador recibe un paquete, compara la dirección MAC especificada en la solicitud DHCP con la dirección MAC que se escribió en el puerto del conmutador. Si las direcciones coinciden, el conmutador envía el paquete más lejos; si no coinciden, el paquete se descarta.
2. Un atacante también puede implementar su servidor DHCP y emitir su configuración a los usuarios de la red (puede especificar cualquier DNS, Gateway, etc.) y aprovechar ya como desee, desde escuchar el tráfico hasta falsificar respuestas DNS, etc.
Para que las solicitudes DHCP sean respondidas por un servidor malintencionado, primero debe deshabilitar un servidor DHCP legítimo utilizando el método descrito en el punto 1.
Las acciones prácticas para implementar este ataque son similares a las presentadas en la sección sobre desbordamientos de AUTO-tabla. Al cambiar la dirección MAC y reiniciar la interfaz de red, se solicita al servidor DHCP que obtenga una nueva dirección IP.
La tecnología DHCP Snooping tiene el concepto de puertos de confianza (Trusted) y no confiables (untrusted). Para los primeros, se permite la Recepción de respuestas DHCP DHCPOFFER, para los segundos, se prohíbe la Recepción de respuestas.
Configuraremos DHCP Snooping para VLAN 10 en la interfaz f0 / 1.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping trust
En este ejemplo, la interfaz está conectada directamente al servidor DHCP, por lo que habilitamos el modo trust en él.
También puede activar o desactivar la opción 82 DHCP, que es responsable de la información de relay, es decir, a través de qué conmutadores ha pasado este paquete.
Switch(config)# ip dhcp snooping information option
Otra herramienta es limitar el número de solicitudes DHCP por segundo. Estableceremos un límite de 100 solicitudes.
Switch(config)# int f0/1
Switch(config-if)# ip dhcp snooping limit rate 100
Sin embargo, debe tener cuidado al configurar las restricciones, ya que las solicitudes se rechazarán si se excede el valor establecido. Al comienzo de un día de trabajo, cuando muchos usuarios encienden sus computadoras al mismo tiempo y obtienen direcciones IP a través de DHCP, esta restricción puede causar retrasos y problemas al iniciar sesión en la red.
