Prevención de la suplantación de DHCP en plataformas de enrutamiento universal 5G de la serie MX
Un problema que a veces ocurre con DHCP es la suplantación de DHCP. en el que un cliente que no es de confianza inunda una red con mensajes DHCP. A menudo, estos ataques utilizan la suplantación de la dirección IP de origen para ocultar la verdadera fuente del ataque.
La supervisión de DHCP ayuda a prevenir la suplantación de DHCP, copiando los mensajes DHCP en el plano de control y utilizando la información de los paquetes para crear filtros antisuplantación de identidad. Los filtros antisuplantación enlazan la dirección MAC de un cliente a su dirección IP asignada por DHCP y utilizan esta información para filtrar los mensajes DHCP falsificados. En una topología típica, un enrutador perimetral de operadora (en esta función también denominado enrutador de servicios de banda ancha [BSR]) conecta el servidor DHCP y el enrutador de la serie MX (o agregador de servicios de banda ancha [BSA]) que realiza la intromisión. El enrutador de la serie MX se conecta al cliente y al BSR.
La supervisión de DHCP funciona de la siguiente manera en la topología de red mencionada anteriormente:
El cliente envía un mensaje de detección DHCP para obtener una dirección IP del servidor DHCP.
El BSA intercepta el mensaje y puede agregar información de la opción 82 especificando la ranura, el puerto, VPI/VCI, etc.
A continuación, la BSA envía el mensaje de descubrimiento DHCP al BSR, que lo convierte en un paquete de unidifusión y lo envía al servidor DHCP.
El servidor DHCP busca la dirección MAC del cliente y la información de la opción 82 en su base de datos. A un cliente válido se le asigna una dirección IP, que se devuelve al cliente mediante un mensaje de oferta DHCP. Tanto BSR como BSA envían este mensaje ascendente al cliente.
El cliente examina la oferta DHCP y, si es aceptable, emite un mensaje de solicitud DHCP que se envía al servidor DHCP a través de BSA y BSR.
El servidor DHCP confirma que la dirección IP sigue estando disponible. Si es así, el servidor DHCP actualiza sus tablas locales y envía un mensaje ACK DHCP al cliente.
El BSR recibe el mensaje ACK de DHCP y pasa el mensaje al BSA.
La BSA crea un filtro antisuplantación enlazando la dirección IP del mensaje ACK a la dirección MAC del cliente. Después de este punto, se eliminan los mensajes DHCP de esta dirección IP que no estén enlazados a la dirección MAC del cliente.
La BSA envía el mensaje ACK al cliente para que se pueda completar el proceso de asignación de una dirección IP.
El espionaje DHCP se configura incluyendo dentro de un grupo DHCP las interfaces apropiadas de BSA:
[edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options dhcp-relay group group-name] interface interface-name;
En un entorno VPLS, las solicitudes DHCP se reenvían a través de pseudocables. Puede configurar la supervisión de DHCP a través de VPLS en el nivel jerárquico [edit routing-instances routing-instance-name]
.
La supervisión de DHCP funciona por puente de aprendizaje en dominios puente. Cada dominio de aprendizaje debe tener configurada una interfaz ascendente. Esta interfaz actúa como puerto de inundación para las solicitudes DHCP procedentes del lado del cliente. Las solicitudes DHCP se reenvían a través de dominios de aprendizaje en un dominio puente. Puede configurar la supervisión de DHCP en dominios de puente en el nivel jerárquico [edit routing-instances routing-instance-name bridge-domains bridge-domain-name]
.