¿Qué es el DHCP Autoritativo?
- Mauro Escalante
- No hay comentarios
- Comparte este artículo
RouterOS implementa un servidor DHCP que puede ser configurado de manera autoritaria.
En el contexto de DHCP, “autoritativo” significa que el servidor DHCP asume que es el único servidor DHCP en la red y actúa en consecuencia.
RouterOS implementa un servidor DHCP que puede ser configurado de manera autoritaria.
En el contexto de DHCP, “autoritativo” significa que el servidor DHCP asume que es el único servidor DHCP en la red y actúa en consecuencia.
Un servidor DHCP autoritativo en RouterOS controlará estrictamente la distribución y asignación de las direcciones IP. Si detecta una petición DHCP de un cliente que tiene una dirección IP que no coincide con las que puede asignar (es decir, una dirección IP de otro segmento o que no está en su pool), el servidor DHCP autoritativo enviará un mensaje DHCPNAK (Negative Acknowledgement), lo que en esencia es un rechazo. Esta respuesta obligará al cliente DHCP a solicitar una nueva dirección IP.
Pasos en el proceso DHCP
A continuación, se presenta una serie de pasos que ocurren cuando un cliente solicita una dirección IP a un servidor DHCP autoritativo en RouterOS:
- Cuando un dispositivo se une a la red, transmite una solicitud DHCPDISCOVER en la red para descubrir servidores DHCP disponibles.
- El servidor DHCP autoritativo en RouterOS responde con un mensaje DHCPOFFER, que contiene una propuesta de dirección IP que el servidor ha elegido del pool de direcciones IP disponibles.
- Si el cliente acepta la oferta, enviará una solicitud DHCPREQUEST de vuelta al servidor, solicitando formalmente la dirección IP ofrecida.
- Si el servidor DHCP está de acuerdo, finaliza la transacción enviando un mensaje DHCPACK (Acknowledgement), asignando oficialmente la dirección IP al cliente.
- En caso de que el cliente ya tenga una dirección IP de otra red, el servidor DHCP autoritativo responderá con un mensaje DHCPNAK, rechazando la dirección IP existente del cliente.
Ventajas del DHCP Autoritativo:
1. Control Estricto
Un servidor DHCP autoritativo mantiene un control estricto sobre las direcciones IP de los dispositivos en su red. Esto puede ser muy útil en redes grandes y complejas donde es importante asegurar que cada dispositivo tiene una dirección IP válida y única.
2. Administración Centralizada
Permite la administración centralizada de las direcciones IP en la red. Esto puede simplificar la gestión de la red y puede ahorrar tiempo al administrador de la red.
3. Prevención de Conflictos de IP
Como el servidor DHCP es autoritativo, puede rechazar cualquier dirección IP que no esté en su pool de direcciones, lo que ayuda a prevenir conflictos de IP.
4. Mejora la Seguridad
Dado que tiene el control total de las direcciones IP asignadas, puede mejorar la seguridad al restringir el acceso a la red solo a los clientes que obtienen su dirección IP del servidor DHCP autoritativo.
Desventajas del DHCP Autoritativo
1. Fallo Único de Punto
Como todo el control de la asignación de direcciones IP recae en un solo servidor, si ese servidor falla, puede causar problemas importantes en la red. Los nuevos dispositivos no podrán obtener una dirección IP y unirse a la red hasta que el servidor se recupere.
2. Configuración y Mantenimiento
Un servidor DHCP autoritativo puede requerir más tiempo y conocimientos para configurar y mantener que un servidor DHCP no autoritativo.
3. Posibles Problemas con Dispositivos Estáticos
Si existen dispositivos con direcciones IP estáticas en la red, puede haber conflictos si el servidor DHCP autoritativo intenta asignar esas mismas direcciones a otros dispositivos. Aunque este problema puede mitigarse asegurándose de que el rango de direcciones IP del servidor DHCP no incluya las direcciones IP estáticas.
4. Problemas con Múltiples Subredes
Si la red está dividida en múltiples subredes, un servidor DHCP autoritativo puede causar problemas si intenta asignar direcciones IP en subredes que no debería.
El uso de un servidor DHCP autoritativo puede ser beneficioso o desventajoso dependiendo de la configuración y las necesidades de tu red. Aquí te presentamos algunos escenarios en los que se recomienda y no se recomienda su uso:
Se recomienda usar DHCP autoritativo en los siguientes escenarios:
1. Redes Grandes y Complejas
En redes más grandes y complejas, tener un servidor DHCP autoritativo puede facilitar la administración de las direcciones IP y prevenir conflictos de IP.
2. Control Estricto de Acceso a la Red
Si necesitas tener un control estricto sobre quién puede acceder a tu red, un servidor DHCP autoritativo puede ser útil, ya que puede rechazar solicitudes de dispositivos con direcciones IP que no están en su pool de direcciones.
3. Seguridad Mejorada
Si la seguridad es una gran preocupación para tu red, un servidor DHCP autoritativo puede proporcionar una capa adicional de seguridad al restringir la asignación de direcciones IP solo a los dispositivos que solicitan una dirección IP a través del servidor DHCP.
No se recomienda usar DHCP autoritativo en los siguientes escenarios:
1. Redes Pequeñas o Simples
En redes más pequeñas o simples, la configuración de un servidor DHCP autoritativo puede ser excesiva y puede requerir un esfuerzo adicional innecesario para configurar y mantener.
2. Múltiples Subredes
Si tienes una red con múltiples subredes y cada subred tiene su propio servidor DHCP, configurar uno de ellos como autoritativo puede causar problemas ya que puede rechazar las direcciones IP asignadas por los otros servidores DHCP en las otras subredes.
3. Dispositivos con Direcciones IP Estáticas
Si tienes muchos dispositivos en tu red que utilizan direcciones IP estáticas, un servidor DHCP autoritativo puede causar conflictos si intenta asignar esas mismas direcciones a otros dispositivos.
Que es un “Rogue DHCP Server”
Un “Rogue DHCP Server” es un servidor DHCP no autorizado que se encuentra en una red sin el consentimiento o conocimiento del administrador de la red. Este servidor proporciona configuraciones de red, incluyendo direcciones IP, a los clientes en la red.
Los servidores DHCP Rogue son un problema de seguridad, ya que pueden ser utilizados para llevar a cabo ataques de hombre en el medio (Man-in-the-Middle) u otros tipos de ataques.
Por ejemplo, un servidor DHCP Rogue podría asignar a los clientes una dirección IP válida pero configurar la puerta de enlace predeterminada para apuntar a un sistema controlado por un atacante. Esto permitiría al atacante interceptar y potencialmente manipular el tráfico de la red.
Los servidores DHCP Rogue pueden aparecer en una red por varias razones, incluyendo:
- Malicia: Un atacante puede establecer intencionalmente un servidor DHCP Rogue para llevar a cabo ataques.
- Error: Un empleado bienintencionado pero mal informado podría conectar un dispositivo que actúa como un servidor DHCP a la red sin darse cuenta de las implicaciones de seguridad.
- Dispositivos de Consumo: Algunos dispositivos de consumo, como los routers de banda ancha para el hogar, tienen servidores DHCP incorporados que pueden entrar en conflicto con los servidores DHCP existentes en una red de empresa si se conectan accidentalmente.
Existen herramientas y técnicas para detectar y mitigar servidores DHCP Rogue, incluyendo la habilitación de características de seguridad en los switches de red para prevenir la propagación de mensajes DHCP no autorizados.
¿Puede el DHCP autoritativo combatir las acciones de un Rogue DHCP Server?
Un servidor DHCP autoritativo por sí solo no puede prevenir o mitigar directamente las acciones de un servidor DHCP Rogue.
Esto se debe a que el término “autoritativo” en el contexto de DHCP simplemente significa que el servidor DHCP está configurado para asumir que es la única fuente legítima de direcciones IP en la red. No tiene la capacidad de detener a otros servidores DHCP en la red de emitir direcciones IP.
Técnicas para mitigar el riesgo
Existen técnicas y características en ciertos equipos de red que pueden ayudar a mitigar el riesgo de los servidores DHCP Rogue. Aquí hay un par de ejemplos:
1. Seguridad DHCP en Switches y Routers
Algunos switches y routers de red pueden ser configurados para filtrar mensajes DHCP de ciertos puertos, impidiendo que los servidores DHCP Rogue en esos puertos asignen direcciones IP. Esta característica a menudo se llama “DHCP Snooping“.
2. Detección de Servidores DHCP Rogue
Existen herramientas que pueden ser utilizadas para detectar la presencia de servidores DHCP Rogue en la red. Una vez detectado un servidor DHCP Rogue, un administrador de red puede tomar medidas para eliminarlo de la red.
Por lo tanto, mientras que un servidor DHCP autoritativo por sí solo no puede combatir un servidor DHCP Rogue, la combinación de un servidor DHCP autoritativo con estas otras técnicas y características puede proporcionar una estrategia más efectiva para prevenir y mitigar el riesgo de los servidores DHCP Rogue.
Configuración en MikroTik
authoritative=yes
Permite al DHCP Server responder a los broadcasts de cliente no conocidos y pide al cliente renovar la reserva (lease).
El cliente envía un broadcast solo si el unicast al server falla cuando se renueva el lease
Athoritative permite:
- Ayudar a prevenir las operaciones de Servidores DHCP Fasos (Rogue DHCP Servers)
- Una adaptación más rápida de la red a cambios de configuración DHCP
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Autoestudio MikroTik
Estudia las certificaciones MikroTik a tu propio ritmo
Autoestudio
Aprende a tu propio ritmo
advertisement (anuncio)
Artículos Relacionados
MikroLABs
Otros temas que te pueden interesar
Cómo funciona el DHCP Alert y para qué sirve
Qué es el Burst y cómo funciona en redes
advertisement (anuncio)
¿Quieres sugerir un tema?
Próximos Cursos
Libros MikroTik (español)
advertisement (anuncio)
