En el mundo de las redes, la integridad del servicio DHCP (Dynamic Host Configuration Protocol) es esencial para la conectividad de los dispositivos.
Sin embargo, dos ataques, Rogue DHCP y DHCP Starvation, amenazan con socavar este servicio fundamental. Aquí exploraremos cada uno, comprendiendo sus conceptos y los problemas que podrían desencadenar.
Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura
Rogue DHCP
En un ataque Rogue DHCP, un servidor DHCP malicioso se introduce en la red, ofreciendo configuraciones de red a los clientes. Estos servidores no autorizados pueden proporcionar información incorrecta, como puertas de enlace y servidores DNS, llevando a los dispositivos a una red controlada por el atacante.
Problemas Potenciales:
- Redirección de Tráfico: Los Rogue DHCP pueden dirigir el tráfico a través de puntos de control controlados por el atacante, permitiendo la captura y manipulación de datos sensibles.
- Interrupción de Servicios: La presencia de múltiples servidores DHCP puede causar conflictos y dejar a algunos dispositivos sin una configuración de red adecuada, interrumpiendo la conectividad.
DHCP Starvation
En un ataque DHCP Starvation, el atacante abruma al servidor DHCP legítimo enviando una gran cantidad de solicitudes DHCP. El servidor se ve desbordado y, en algunos casos, no puede satisfacer las solicitudes legítimas.
Problemas Potenciales:
- Agotamiento de Direcciones IP: El ataque puede consumir todas las direcciones IP disponibles, dejando a nuevos dispositivos sin la capacidad de obtener una dirección IP válida.
- Interrupción del Servicio DHCP: La saturación del servidor DHCP puede hacer que este sea inaccesible para los dispositivos legítimos, resultando en la pérdida de conectividad.
Protegiéndose contra estos Ataques
- Monitoreo Regular: Supervisar la red en busca de servidores DHCP no autorizados ayuda a identificar y abordar rápidamente posibles amenazas.
- Implementar Seguridad en Capas: Utilizar técnicas como la segmentación de red y VLANs puede limitar la propagación de estos ataques.
- Configuraciones de Seguridad en el DHCP: Establecer autenticación y autorización en el servidor DHCP para garantizar que solo dispositivos autorizados reciban configuraciones de red.
MikroTik RouterOS es conocido por su flexibilidad y potencia en la gestión de redes. Entre sus numerosas opciones, la configuración “Authoritative” destaca como una herramienta crucial en la administración de servicios DHCP (Dynamic Host Configuration Protocol).
¿Qué es la opción “Authoritative” en DHCP?
La opción “Authoritative” en un servidor DHCP indica si ese servidor tiene la autoridad final para asignar direcciones IP en una red específica. Cuando un servidor DHCP se configura como “Authoritative”, significa que es la fuente de verdad definitiva para la concesión de direcciones IP en esa red.
Si varios servidores DHCP están presentes en una red, esta opción ayuda a evitar conflictos y asegura que solo un servidor sea responsable de asignar direcciones IP válidas.
Cómo Configurar la Opción “Authoritative” en MikroTik RouterOS:
La configuración de la opción “Authoritative” en MikroTik es sencilla y puede realizarse a través de la interfaz gráfica o la línea de comandos (CLI).
1. Interfaz Gráfica:
- Abre la interfaz web de MikroTik RouterOS en tu navegador.
- Navega a la sección “IP” y selecciona “DHCP Server”.
- Selecciona el servidor DHCP específico.
- En la pestaña Generic encontrarás la opción “Authoritative”. Asegúrate de que esté marcada.
2. Línea de Comandos (CLI):
- Accede a la CLI de MikroTik.
- Ejecuta el siguiente comando para configurar la opción “Authoritative” en un servidor DHCP específico:
/ip dhcp-server set authoritative=yes [find where name="nombre_del_servidor"]
Importancia de la Configuración “Authoritative”:
- Evitar Conflictos de Direcciones IP: Al designar un servidor como “Authoritative”, se minimiza el riesgo de conflictos de direcciones IP, ya que solo ese servidor tiene la autoridad para asignarlas en la red.
- Garantizar la Integridad de la Red: Al tener un único servidor DHCP autoritativo, se establece un punto central de gestión, facilitando la administración y el mantenimiento de la red.
- Prevención de Ataques DHCP No Autorizados: Configurar un servidor como “Authoritative” ayuda a prevenir ataques de servidores DHCP no autorizados o maliciosos en la red.
¿Qué son las DHCP Alerts?
Las DHCP Alerts son notificaciones generadas por el servidor DHCP de MikroTik RouterOS para informar sobre eventos cruciales relacionados con la asignación de direcciones IP dinámicas.
Estas alertas permiten a los administradores monitorear de cerca la actividad del DHCP y responder rápidamente a situaciones potencialmente problemáticas.
Escenarios de Uso y Beneficios:
Detección de Rogue DHCP:
Configurar una alerta para notificar sobre la aparición de servidores DHCP no autorizados ayuda a identificar y abordar rápidamente posibles amenazas.
/ip dhcp-server alert
add disabled=no interface=ether2 on-alert=":log info \"DHCP NO AUTORIZADO ENCONTRADO\"" valid-server=50:04:00:02:00:01
Donde la ether2 es donde se tiene configurado el DHCP Server y el valid-server es la dirección MAC ADDRESS de la ether2. La alerta nos mostrara en el LOG un mensaje con los datos del DHCP-SERVER no autorizado que se ha encontrado.
¿Qué es DHCP Snooping?
El DHCP Snooping es una técnica de seguridad que inspecciona y valida los mensajes DHCP dentro de una red. Su objetivo principal es prevenir ataques como Rogue DHCP, donde un servidor no autorizado distribuye configuraciones de red falsas.
Al implementar DHCP Snooping, se puede identificar y bloquear la actividad sospechosa de DHCP.
DHCP Snooping en Bridge:
En MikroTik RouterOS, el DHCP Snooping se puede configurar en la interfaz de puente (bridge). Esto es especialmente útil en entornos donde se utilizan puentes para interconectar segmentos de red.
Pasos para Configurar DHCP Snooping en Bridge:
Habilitar DHCP Snooping en el Bridge:
/interface bridge
set bridge1 dhcp-snooping=yes
Esto activará la función de DHCP Snooping en el puente llamado “bridge1”.
Configurar la Interfaz de Confianza: Indica qué interfaces son de confianza, es decir, dónde se espera que se originen los mensajes DHCP legítimos.
/interface bridge port
set ether1 trusted=yes
Establece las interfaces como confiables para el puente “bridge1”
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libro recomendado para éste artículo
Libro Control de Tráfico Avanzado, RouterOS v7
Material de estudio para el Curso de Certificación MTCTCE, actualizado a RouterOS v7