VIGILANDO LOS SERVIDORES DHCP: UNA GUÍA COMPLETA

Ataques tales como “inanición DHCP”, “secuestro DHCP”, “recon de DHCP” y “suplantación DHCP”.

 

Los servidores DHCP de la red son un objetivo frecuente del ataque DHCP Starvation. Una de sus principales funciones es enviar una inundación de mensajes DHCP REQUEST desde direcciones MAC falsas al servidor DHCP de la organización. Sin ser consciente de que está bajo ataque, el servidor DHCP continuará asignando direcciones IP de su pool restante para responder a las solicitudes de los clientes.

Así, el adversario ha deshabilitado el servidor DHCP legítimo y ha abierto la puerta para que su servidor DHCP falso comience a servir a los clientes de la red. Como parte de un ataque Man-in-the-Middle, un servidor DHCP malicioso también podría entregar direcciones IP falsas de Gateway y DNS a los clientes, obligándolos a enrutar todo su tráfico a través de un intermediario que controlan.

Con la ayuda de software de captura de paquetes y análisis de protocolos, un atacante puede reconstruir completamente un flujo de datos y luego usarlo para robar información sensible o crear nuevos archivos. No se necesita nada más que un conocimiento superficial de las herramientas de red para completar el trabajo.

Por otro lado, el ataque Man-in-the-Middle se puede utilizar como un ataque de reconocimiento para aprender no solo sobre la infraestructura y los servicios de la red, sino también para localizar hosts de gran interés, como aquellos que alojan información financiera o de base de datos.

Por  ahora debería estar claro cuán rápidamente un ataque aparentemente menor puede escalar en un riesgo serio para la seguridad de una empresa. Estos exploits demuestran cómo los hackers pueden penetrar fácilmente redes y robar datos sensibles al conectar un dispositivo no confiable a un puerto de red vulnerable.

Los servidores de protocolo de configuración de host Dynamic ARP Inspection pirateados representan un serio riesgo de seguridad y pueden causar interrupciones en las redes. 

Incluso cuando no está vinculado a un ataque real, los servidores DHCP malintencionados son un tema típico para las grandes empresas. A veces, los usuarios conectan dispositivos de red de alto consumo a la infraestructura de red,  sin darse cuenta de que están conectando un dispositivo no autorizado que puede ejecutar un servidor DHCP malintencionado.

Después de esto, el servidor DHCP Rogue comenzará a asignar direcciones IP a hosts dentro de la red, lo que podría conducir a problemas de conectividad y, en muchos casos, a interrupciones graves en el servicio. Idealmente, los clientes DHCP recibirían una dirección IP mala que los desconectaría de la red. El peor escenario es que los clientes hayan recibido una dirección IP ya en uso por uno de los dispositivos que conforman la arquitectura de la red, como la interfaz VLAN en el Core switch o la interfaz del firewall.

A pesar del hecho de que muchas empresas tienen políticas de seguridad en vigor que prohíben a los empleados conectar dispositivos personales o no autorizados a la red, todavía hay casos en los que los empleados lo hacen de todos modos.

Aunque puede ser difícil educar a los usuarios y aplicar estándares de seguridad, el filtrado DHCP es una medida de seguridad que se puede implementar para ayudar a reducir la probabilidad de que ocurran tales situaciones.

¿QUÉ ES EL RASTREO DHCP, CÓMO FUNCIONA, CUÁLES SON LOS CONCEPTOS INVOLUCRADOS EN EL RASTREO DHCP Y CUÁLES SON LOS PUERTOS Y LAS INTERFACES DE CONFIANZA Y NO CONFIABLES?

Cuando se habilita, el DHCP Snooping previene que servidores DHCP maliciosos entreguen direcciones IP a los clientes DHCP. Esta es una función de los conmutadores de seguridad de capa 2. La característica de seguridad DHCP Snooping fue introducida por primera vez por Cisco y desde entonces ha sido adoptada por otros fabricantes de conmutadores de red.

El proceso de DHCP Snooping se puede explicar en unos pocos pasos sencillos. Todos los puertos del conmutador se dividen en dos grupos mediante el DHCP Snooping:

  • Puertos de los que se puede confiar
  • Puertos Inseguros.

Como está bajo el control administrativo de la organización, las transmisiones de servidor DHCP desde un Puerto de Confianza (también conocido como una Fuente de Confianza o Interfaz de Confianza) se consideran confiables. Por ejemplo, el puerto de servidor DHCP en su empresa estaría dentro de la categoría de Puertos de Confianza.

Los mensajes enviados a un servidor DHCP desde un puerto no de confianza no se pueden confiar porque provienen de una fuente o interfaz no de confianza. Para ilustrar, sólo los servidores DHCP deben enviar señales DHCP OFFER, DHCP ACK y DHCPNAK, por lo tanto, los equipos y PCs que se conectan a un puerto no de confianza nunca deben recibir ninguno de estos.

RESUMEN

Las organizaciones enfrentan una grave amenaza de seguridad de la red debido a ataques Man-in-the-Middle e interrupciones de la red causadas por servidores DHCP maliciosos todos los días. En este post, discutimos cómo los ataques Man-in-the-Middle otorgan a los atacantes acceso a la red y podrían comprometer la seguridad de sus datos privados mientras viajan entre los servidores y los clientes. Definimos el DHCP snooping, analizamos cómo funciona y mostramos cómo puede defender exitosamente una red de estos tipos de ataques. Examinamos los tipos de tráfico descartados por el DHCP snooping, advertencias de violación y describimos cómo funciona la base de datos de enlace de DHCP Snooping.

Editor Banco de Noticias

Recent Posts

Consultora nacional innova en reclutamiento TI con avatares de inteligencia artificial

Según Gartner, se estima que el 90% de las grandes organizaciones adoptará IA en sus…

8 hours ago

Geely acelera con fuerza en Chile y suma nuevos rostros su familia

Lucila Vit, Rafael Olarra y Gino Costa se convierten en los flamantes nuevos embajadores de…

12 hours ago

La guía de las mejores playas del mundo existe y tres chilenas se ganaron un lugar

A raíz del centenario que cumple Cerveza Corona, la marca de origen playero eligió las…

12 hours ago

El lado B del ascenso: 4 de cada 10 profesionales sufren ansiedad tras ser promovidos

Sí, te fue bien. Pero ¿por qué te sientes tan mal? Experta advierte sobre los…

12 hours ago

ZF Aftermarket participa en AgroActiva 2025, la mayor feria agrícola de Argentina

Realizada de 4 a 7 de junio, en Santa Fé, Argentina, Agroactiva es actualmente una…

12 hours ago

¡El frío ya no será un problema! Mademsa presenta los beneficios de contar con una secadora en casa para enfrentar el invierno

Las bajas temperaturas, las lluvias y la humedad, nos recuerdan que una secadora en casa…

13 hours ago