Espionaje DHCP

El Protocolo de configuración dinámica de host (DHCP) es un protocolo de administración de red utilizado en redes TCP/IP para asignar dinámicamente direcciones IP y otra información de configuración relacionada a los dispositivos de red.

• Cómo funciona el espionaje DHCP
• Beneficios del espionaje DHCP

Cómo funciona el espionaje DHCP

El Protocolo de configuración dinámica de host (DHCP) asigna dinámicamente direcciones IP a los dispositivos, alquilando direcciones que se pueden reutilizar cuando ya no se necesitan. Los hosts o dispositivos finales que requieren direcciones IP a través de DHCP deben comunicarse con un servidor DHCP a través de la LAN.

En la siguiente ilustración se muestra el proceso de espionaje de DHCP.

Figura 1: Espionaje DHCP

En la topología, un dispositivo de usuario final se conecta a un dispositivo Junos OS (enrutador, conmutador o firewall). El dispositivo Junos OS se conecta tanto al cliente DHCP como al servidor DHCP. El dispositivo Junos OS configurado como agente de retransmisión DHCP funciona como interfaz entre los clientes DHCP y el servidor DHCP. Este dispositivo Junos OS inspecciona los paquetes DHCP. El servidor DHCP asigna direcciones IP a los clientes.

La función de espionaje DHCP en un dispositivo Junos OS realiza las siguientes acciones:

• Valida los mensajes DHCP recibidos de fuentes que no son de confianza y filtra los mensajes no válidos.
• Extrae la dirección IP concedida a cada cliente y crea una base de datos. La base de datos de espionaje DHCP (o tabla de enlace) incluye información sobre la dirección IP, la dirección MAC y la VLAN de cada cliente DHCP.
• Usa la tabla de enlace de espionaje DHCP para validar las solicitudes posteriores de hosts que no son de confianza. Al verificar que las solicitudes DHCP provienen de fuentes confiables, el dispositivo de Juniper puede asegurarse de que solo se procesen las solicitudes DHCP válidas.

De esta manera, el espionaje DHCP actúa como un guardián de la seguridad de la red al realizar un seguimiento de las direcciones IP válidas que un servidor DHCP de confianza (un servidor conectado a un puerto de red de confianza) asigna a los dispositivos de red descendentes.

Espionaje del agente de retransmisión DHCPv6

El agente de retransmisión DHCPv6 mejora el agente de retransmisión DHCP al proporcionar compatibilidad en una red IPv6. El agente de retransmisión DHCPv6 pasa mensajes entre el cliente DHCPv6 y el servidor DHCPv6, de forma similar a como el agente de retransmisión DHCP admite una red IPv4. En una topología de múltiples relés que tiene varios agentes de retransmisión DHCPv6 entre el cliente y el servidor, la supervisión permite a los agentes de retransmisión intermedios procesar correctamente el tráfico de unidifusión del cliente y reenviarlo al servidor. El espionaje en esta topología implica estas acciones:

• El agente de retransmisión DHCPv6 espía los paquetes DHCPv6 de unidifusión entrantes mediante un filtro con el puerto UDP 547, que es el puerto del servidor UDP DHCPv6, por tabla de reenvío.
• A continuación, el agente de retransmisión DHCPv6 procesa los paquetes interceptados por el filtro y los reenvía al servidor DHCPv6.

En este ejemplo se muestra cómo configurar la compatibilidad de espionaje DHCP para el agente de retransmisión DHCP.

En un dispositivo Junos OS, la función de espionaje DHCP se habilita automáticamente al configurar la seguridad DHCP, la retransmisión DHCP, la configuración del servidor DHCP para una VLAN específica o una instancia de enrutamiento.

Tenga en cuenta que en un dispositivo Junos OS no puede configurar la supervisión de DHCP como una función independiente.

Junos OS habilita la supervisión de DHCP en un conmutador, enrutador o firewall cuando se configura una o todas las funciones siguientes:

• Opciones de retransmisión DHCP o servidor local DHCP en los siguientes niveles jerárquicos:
  • La dhcp-relay instrucción en el nivel de [edit forwarding-options] jerarquía o [edit routing-instances routing-instance-name forwarding-options] .
  • La dhcp-local-server instrucción en el nivel de [edit system services] jerarquía o [edit routing-instances routing-instance-name system services] .
    Nota:

    Cuando configure la retransmisión DHCP, utilice la forward-only instrucción a menos que necesite administración de suscriptores o clase de servicio (CoS). La forward-only configuración reenvía los paquetes de cliente DHCP especificados, sin crear una sesión de suscriptor.

• La seguridad DHCP en una VLAN específica activa el espionaje DHCP para esa VLAN:

  La instrucción dhcp-security en el nivel jerárquico [edit vlans vlan-name forwarding-options] para conmutadores.

• La dhcp-security instrucción en el nivel jerárquico [edit bridge-domains bridge-domain-name forwarding-options dhcp-security] para enrutadores.

• Puede configurar el servidor local DHCP para que reenvíe o descarte paquetes fisgones para todas las interfaces, solo las interfaces configuradas o solo las interfaces no configuradas. Consulte Configuración de la compatibilidad de reenvío de paquetes espías DHCP para el servidor local DHCP para obtener más detalles.

Puede refinar aún más el control sobre el comportamiento de espionaje de DHCP mediante la forward-snooped-clients instrucción.

Puede utilizar la forward-snooped-clients instrucción para decidir si el tráfico supervisado debe reenviarse o eliminarse en función de la configuración de la interfaz.

1. Para evaluar el tráfico espiado y, posteriormente, decidir si reenviar o eliminar el tráfico, configure la forward-snooped-clients instrucción en el nivel de [edit forwarding-options dhcp-relayjerarquía ].

   Puede establecer la forward-snooped-clients opción para los siguientes escenarios:

   • Todas las interfaces: aplica la acción a todas las interfaces.
   • Interfaces configuradas: aplica la acción solo a las interfaces configuradas como parte de un grupo de interfaces.
   • Interfaces no configuradas: aplica la acción solo a las interfaces que no forman parte de un grupo de interfaces.
2. Para reenviar o soltar los paquetes espiados, configure allow-snooped-clients o no-allow-snooped-clients, respectivamente, con la forward-snooped-clients opción.
   • Al configurar allow-snooped-clients, los paquetes fisgones se reenvían si un suscriptor válido está asociado a ellos.
   • Al configurar no-allow-snooped-clients, los paquetes fisgones se descartan incluso si un suscriptor válido está asociado a ellos.

Para obtener más información acerca de la acción que realiza el dispositivo en paquetes DHCP espiados en función de la combinación de allow-snooped-clients o no-allow-snooped-clients con forward-snooped-clients, consulte la Tabla 1 y la Tabla 2.

En la tabla 1 se muestra la acción que realiza el dispositivo en los paquetes espiados por el agente de retransmisión DHCP cuando se configura allow-snooped-clients con forward-snooped-clients opción.

En la tabla 2 se muestra la acción que realiza el dispositivo en los paquetes espiados por el agente de retransmisión DHCP al configurar no-allow-snooped-clients con forward-snooped-clients.

Durante la supervisión del agente de retransmisión DHCP, el dispositivo se basa en su configuración global para decidir si reenviar o descartar paquetes BOOTREPLY. Además, durante la renovación de una concesión, un paquete BOOTPREQUEST puede ser unidifusión directamente al servidor DHCP, y este paquete también está sujeto a espionaje.

La Tabla 3 muestra la acción que el dispositivo realiza en los paquetes espiados BOOTREPLY .

Tanto en la configuración predeterminada como en las configuraciones que utilizan la forward-snooped-clients instrucción, el dispositivo reenvía todo el tráfico DHCP del plano de control de hardware al plano de enrutamiento de la instancia de enrutamiento para interceptar los paquetes DHCP.

Puede utilizar la opción no-snoop para deshabilitar el filtro de espionaje para el tráfico DHCP.

Cuando se configura la opción, el no-snoop tráfico DHCP va al plano de control de hardware, pero omite el plano de enrutamiento, evitando la interceptación allí.