Ataques tales como “inanición DHCP”, “secuestro DHCP”, “recon de DHCP” y “suplantación DHCP”.

 

Los servidores DHCP de la red son un objetivo frecuente del ataque DHCP Starvation. Una de sus principales funciones es enviar una inundación de mensajes DHCP REQUEST desde direcciones MAC falsas al servidor DHCP de la organización. Sin ser consciente de que está bajo ataque, el servidor DHCP continuará asignando direcciones IP de su pool restante para responder a las solicitudes de los clientes.

Así, el adversario ha deshabilitado el servidor DHCP legítimo y ha abierto la puerta para que su servidor DHCP falso comience a servir a los clientes de la red. Como parte de un ataque Man-in-the-Middle, un servidor DHCP malicioso también podría entregar direcciones IP falsas de Gateway y DNS a los clientes, obligándolos a enrutar todo su tráfico a través de un intermediario que controlan.

Con la ayuda de software de captura de paquetes y análisis de protocolos, un atacante puede reconstruir completamente un flujo de datos y luego usarlo para robar información sensible o crear nuevos archivos. No se necesita nada más que un conocimiento superficial de las herramientas de red para completar el trabajo.

Por otro lado, el ataque Man-in-the-Middle se puede utilizar como un ataque de reconocimiento para aprender no solo sobre la infraestructura y los servicios de la red, sino también para localizar hosts de gran interés, como aquellos que alojan información financiera o de base de datos.

Por  ahora debería estar claro cuán rápidamente un ataque aparentemente menor puede escalar en un riesgo serio para la seguridad de una empresa. Estos exploits demuestran cómo los hackers pueden penetrar fácilmente redes y robar datos sensibles al conectar un dispositivo no confiable a un puerto de red vulnerable.

Los servidores de protocolo de configuración de host Dynamic ARP Inspection pirateados representan un serio riesgo de seguridad y pueden causar interrupciones en las redes. 

Incluso cuando no está vinculado a un ataque real, los servidores DHCP malintencionados son un tema típico para las grandes empresas. A veces, los usuarios conectan dispositivos de red de alto consumo a la infraestructura de red,  sin darse cuenta de que están conectando un dispositivo no autorizado que puede ejecutar un servidor DHCP malintencionado.

Después de esto, el servidor DHCP Rogue comenzará a asignar direcciones IP a hosts dentro de la red, lo que podría conducir a problemas de conectividad y, en muchos casos, a interrupciones graves en el servicio. Idealmente, los clientes DHCP recibirían una dirección IP mala que los desconectaría de la red. El peor escenario es que los clientes hayan recibido una dirección IP ya en uso por uno de los dispositivos que conforman la arquitectura de la red, como la interfaz VLAN en el Core switch o la interfaz del firewall.

A pesar del hecho de que muchas empresas tienen políticas de seguridad en vigor que prohíben a los empleados conectar dispositivos personales o no autorizados a la red, todavía hay casos en los que los empleados lo hacen de todos modos.

Aunque puede ser difícil educar a los usuarios y aplicar estándares de seguridad, el filtrado DHCP es una medida de seguridad que se puede implementar para ayudar a reducir la probabilidad de que ocurran tales situaciones.

¿QUÉ ES EL RASTREO DHCP, CÓMO FUNCIONA, CUÁLES SON LOS CONCEPTOS INVOLUCRADOS EN EL RASTREO DHCP Y CUÁLES SON LOS PUERTOS Y LAS INTERFACES DE CONFIANZA Y NO CONFIABLES?

Cuando se habilita, el DHCP Snooping previene que servidores DHCP maliciosos entreguen direcciones IP a los clientes DHCP. Esta es una función de los conmutadores de seguridad de capa 2. La característica de seguridad DHCP Snooping fue introducida por primera vez por Cisco y desde entonces ha sido adoptada por otros fabricantes de conmutadores de red.

El proceso de DHCP Snooping se puede explicar en unos pocos pasos sencillos. Todos los puertos del conmutador se dividen en dos grupos mediante el DHCP Snooping:

• Puertos de los que se puede confiar
• Puertos Inseguros.

Como está bajo el control administrativo de la organización, las transmisiones de servidor DHCP desde un Puerto de Confianza (también conocido como una Fuente de Confianza o Interfaz de Confianza) se consideran confiables. Por ejemplo, el puerto de servidor DHCP en su empresa estaría dentro de la categoría de Puertos de Confianza.

Los mensajes enviados a un servidor DHCP desde un puerto no de confianza no se pueden confiar porque provienen de una fuente o interfaz no de confianza. Para ilustrar, sólo los servidores DHCP deben enviar señales DHCP OFFER, DHCP ACK y DHCPNAK, por lo tanto, los equipos y PCs que se conectan a un puerto no de confianza nunca deben recibir ninguno de estos.

RESUMEN

Las organizaciones enfrentan una grave amenaza de seguridad de la red debido a ataques Man-in-the-Middle e interrupciones de la red causadas por servidores DHCP maliciosos todos los días. En este post, discutimos cómo los ataques Man-in-the-Middle otorgan a los atacantes acceso a la red y podrían comprometer la seguridad de sus datos privados mientras viajan entre los servidores y los clientes. Definimos el DHCP snooping, analizamos cómo funciona y mostramos cómo puede defender exitosamente una red de estos tipos de ataques. Examinamos los tipos de tráfico descartados por el DHCP snooping, advertencias de violación y describimos cómo funciona la base de datos de enlace de DHCP Snooping.