El DHCP Snooping es una característica de seguridad que provee seguridad filtrando los mensajes DHCP "no confiables" y construyendo y manteniendo una tabla de asociaciones DHCP Snooping.

Un mensaje "no confiable" es un mensaje que es recibido desde fuera de la red o del Firewall y que puede ser parte de un ataque contra tu red.

La tabla de asociaciones DHCP Snooping contiene las direcciones MAC, direcciones IP, tiempo de arrendamiento, Tipo de asociación, número de VLAN e Interface que corresponde a las interfaces locales "no confiables" de un Switch, no contiene información de los hosts conectados a una interface "confiable".



En términos de seguridad una interface "no confiable" es una interface que está configurada para recibir mensajes desde fuera de la red local o actúa como un Firewall. Una interface "confiable" es una interface configurada para recibir solamente mensajes desde dentro de la red.

El DHCP Snooping actúa como un firewall entre los hosts "no confiables" y los servidores DHCP. 

También nos permite contar con una forma de diferenciar entre interfaces "no confiables" conectadas a usuarios finales e interfaces "confiables" conectadas a los servidores DHCP o a otro Switch.

Es posible configurar DHCP Snooping por Switch y por VLANs. Cuando se habilita el DHCP Snooping en un switch, una interface actúa como un bridge de capa 2 interceptando y salvaguardando los mensajes DHCP que se dirigen a una VLAN de capa 2. Cuando se habilita DHCP Snooping en una VLAN, el Switch actúa como un puente de capa 2 dentro del dominio de la VLAN.

El DHCP Snooping es necesario para prevenir los ataques de tipo "man-in-the-middle" en nuestras redes.  

Las redes modernas tienen el potencial para que un atacante intente instalar un DHCP Server falso y responder a los mensajes DHCPDISCOVER antes de que lo haga una servidor DHCP legítimo. El DHCP Snooping permite a los Switches en la red "confiar" en el puerto (la interface) al que está conectado el servidor DHCP legítimo (podría ser un puerto troncal) y "desconfiar" de los demás puertos.



También se mantiene una lista de asociaciones de direcciones DHCP que se logra inspeccionando el tráfico que fluye entre los clientes y el servidor DHCP, el cual provee certeza de quienes son los verdaderos hosts. La información de asociación recolectada por el DHCP Snooping es usada por otras características de seguridad como IPSG y DAI.


Los clientes se conectan a puertos "no confiables" (untrusted), todos los puertos son "no confiables" por defecto cuando se habilita el DHCP Snooping. Cuando la PC del cliente envía un mensaje DHCPDISCOVER y el DHCP Snooping está habilitado, el Switch solamente va a enviar el mensaje de broadcast DHCP a los puertos "confiables" (trusted).

En el ejemplo de la topología el Switch de distribución está actuando como DHCP Server. Un puerto "confiable" es el único puerto que tiene permitido enviar mensajes de repuesta DHCP como el DHCPOFFER.

Configurando DHCP Snooping en el Switch

Cuando se configura DHCP Snooping en el Switch, se está configurando el Switch para diferenciar entre interfaces "no confiables" e interfaces "confiables". Es necesario habilitar globalmente el DHCP Snooping antes de poder usarlo en una VLAN. Es necesario habilitar el DHCP Snooping independientemente de otras características de DHCP.
Una vez que está habilitado el DHCP Snooping, todos los comandos de configuración de opciones DHCP relay quedan deshabilitados, esto incluye a los siguientes comandos:
•ip dhcp relay information check
•ip dhcp relay information policy
•ip dhcp relay information trusted
•ip dhcp relay information trust-all


Para configurar DHCP Snooping puede usar estos comandos:


Comando

Propósito


Switch(config)# ip dhcp snooping 

Habilita DHCP snooping globalmente. Puede usar la palabra clave no para deshabilitar el DHCP snooping.


Switch(config)# ip dhcp snooping vlan number 
[number] | vlan {vlan range}]

Habilita DHCP snooping en una VLAN o en un rango VLAN


Switch(config-if)# ip dhcp snooping trust

Configura la interface como "confiable".

Puede usar la palabra clave no para configurar una interface para recibir mensajes como cliente "no cofiable".


Switch(config-if)# ip dhcp snooping limit rate 
rate

Configura el numero de paquetes DHCP por segundo (pps) que una interface puede permitir.1


Switch(config)# end 

Sale del modo de configuración.


Switch# show ip dhcp snooping 

Verifica la configuración de DHCP Snooping.

-----------------------


Post basado en el artículo: http://www.networksbaseline.in/search/label/DHCP Con aportes del editor del Blog y de las páginas:

http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/prod_white_paper0900aecd802ca5d6.html

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/dhcp.html#wp1073418

Traducido por José R. Torrico - Instructor Cisco Networking Academy

13 Comentarios
New Member

buen artículo 

New Member

Muchas gracias, bastante interesante ahora que esta de moda man in the middle!

Saludos!

Jorge Aguilar

New Member

Exelente me quedo claro

gracias

New Member

Gracias por el aporte, excelente!

New Member

buena informacion no sabia del tema, saludos

New Member

gracias de antemano..

No indicas si es necesario nivel 3 o no.. Se puede hacer lo mismo en un 2960x si tienes varias vlan en un puerto?? yo creo que no.

El problema es que si tienes diferentes vlan en un puerto ( wifi) o similar puede no funcionar..

Aquí entiendo que solo te basas en VLAN unicas con puertos de acceso no el caso de que un puerto tenga varias vlan..

New Member

he intentado replicar este ejercicio en el packet tracert  con 2 sw 3560  como distribucion  donde los coloco como ip dhcp relay information trust-all ,  adicionalmente tengo 2 sw 2960 como acceso donde realizo la configuracion con el ip dhcp snooping,  colocando los troncales como seguros  y los puertos de los hots con el ip dhcp snooping limite rate 20.  pero no entrega las direcciones desde el servidor.

quise replicarlo en la empresa donde trabajo y el mismo resultado.

en el packet-tracert me muestra el siguiente mensaje

DHCP Snooping: El conmutador recibe un mensaje DHCP DISCOVER en un puerto no confiable. El dispositivo no está configurado con un puerto funcional y de confianza. El dispositivo descarta el paquete.

estoy haciendo el ejercicio del ccnp 6, Chapter 6 Lab 6-1, Securing Layer 2 Switches

pero realmente no entiendo por que no me lo permite

Silver

¿Podrías adjuntar tu simulación para echarle un vistazo y ver si puedo colaborarte con algo? 

Saludos,

New Member

si me puedes escribir a mi correo   rodriguezjorge75@gmail.com

imagino que tienes la practica del ccnp version 6 que es de donde estoy haciendo la simulación.

la clave de los switch en "class"

New Member

adjunto nuevamente el pt  

Silver

Buenos días JRodriguez,

Te envío la configuración corregida, te comento que se solucionó excluyendo el comando "switchport port-security", realizando la configuración del DHCP snooping y solo cuando esta estuvo terminada volí a agregar el comando y funcionó sin inconvenientes, no sé si esto se deba a un bug o se deba al comportamiento intrínseco del port-security, en cualquier caso espero te ayude.

---No olvides marcar y/o calificar las respuestas útiles---

Saludos,

New Member

revisando la configuracion que me mandas,  observo que no esta habilitado el ip dhcp snooping  en los 2 switch ALS1  y ALS2,  al habilitarlo solo los puertos declarados como seguros reciben y pueden hacer solicitudes dhcp , que en este caso son los puertos troncales y presente el problema que he mencionado antes, la esencia del ejercicio es que los equiposs del ALS2  son equipos cambiantes digamos portatiles, en este switch no habilito el port-security y por eso requiero que no se conecte un dhcp server pirata en ese switch,  ese es el problema que veo,  ahora si habilito el port-security  en el puerto y aprende la mac dinamicamente al desconectar y conectar otro equipo deshabilita el puerto, claro si le declaro la violacion de esa manera.

gracias de todas formas,  no veo como aprovechar el dhcp snooping, este mismo error me lo dio en equipos reales 2950,2940,2960,4500

New Member

Estimado, te presento el siguiente escenario donde el dhcp snooping no hace nada... todos reciben IP. Alguna sugerencia?

Router 2921.
"Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(3)M5, RELEASE SOFTWARE"

ip dhcp relay information trust-all

ip dhcp excluded-address 192.168.5.1 192.168.5.5
ip dhcp excluded-address 192.168.6.1 192.168.6.5

ip dhcp pool 105

network 192.168.5.0 255.255.255.0
default-router 192.168.5.1
!

ip dhcp pool 106

network 192.168.6.0 255.255.255.0
default-router 192.168.6.1
!

interface GigabitEthernet0/1.10 #Administración

encapsulation dot1Q 10
ip address 192.168.1.1 255.255.255.0
!

interface GigabitEthernet0/1.105

encapsulation dot1Q 105
ip address 192.168.5.1 255.255.255.0
!

interface GigabitEthernet0/1.106

encapsulation dot1Q 106
ip address 192.168.6.1 255.255.255.0
!

Switch 2960-XR
"Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E5, RELEASE SOFTWARE (fc2)"

ip dhcp snooping vlan 105
no ip dhcp snooping information option
ip dhcp snooping

interface GigabitEthernet0/1

switchport access vlan 105
switchport mode access
!

interface GigabitEthernet0/2

switchport access vlan 106
switchport mode access
!

interface GigabitEthernet0/24

switchport trunk allowed vlan 10,105-106
ip dhcp snooping trust
switchport mode trunk
!

interface Vlan10

ip address 192.168.1.2 255.255.255.0
!

El SW se conecta por un troncal con el Router. La notebook recibe IP estando en cualquier vlan de los primeros puertos..

Gracias. Saludos!

10583
Visitas
22
ÚTIL
13
Comentarios