Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción y uso de servidores DHCP de confianza

Descripción de los puertos y no confiables y los servidores DHCP

Los servidores DHCP proporcionan direcciones IP y otra información de configuración a los clientes DHCP de la red. El uso de puertos de confianza para el servidor DHCP protege contra el envío de concesiones por parte de servidores DHCP no autorizados.

Los puertos que no son de confianza eliminan el tráfico de los servidores DHCP para evitar que servidores no autorizados proporcionen información de configuración a los clientes.

De forma predeterminada, todos los puertos troncales son de confianza para DHCP y todos los puertos de acceso no son de confianza.

Puede configurar una anulación del comportamiento predeterminado para establecer un puerto troncal como no confiable, lo que bloquea todos los mensajes del servidor DHCP de entrada desde esa interfaz. Esto es útil para evitar un ataque de servidor DHCP no autorizado, en el que un atacante ha introducido un servidor no autorizado en la red. La información proporcionada a los clientes DHCP por este servidor tiene el potencial de interrumpir su acceso a la red. El servidor no autorizado también puede asignarse a sí mismo como el dispositivo de puerta de enlace predeterminado para la red. A continuación, un atacante puede olfatear el tráfico de red y perpetrar un ataque "man in the middle", es decir, dirige erróneamente el tráfico destinado a un dispositivo de red legítimo a un dispositivo de su elección.

También puede configurar un puerto de acceso como de confianza. Si conecta un servidor DHCP a un puerto de acceso, debe configurar el puerto como de confianza. Antes de hacerlo, asegúrese de que el servidor sea físicamente seguro, es decir, de que el acceso al servidor esté supervisado y controlado.

Habilitación de un servidor DHCP de confianza (ELS)

Nota:

En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS).

Puede configurar cualquier interfaz en un conmutador que se conecte a un servidor DHCP como interfaz de confianza (puerto). La configuración de un servidor DHCP en una interfaz de confianza protege contra el envío de concesiones de servidores DHCP no autorizados.

De forma predeterminada, todas las interfaces de acceso no son de confianza y todas las interfaces troncales son de confianza. Sin embargo, puede invalidar la configuración predeterminada de las interfaces de acceso configurando un grupo de interfaces de acceso dentro de una VLAN, especificando una interfaz para que pertenezca a ese grupo y, a continuación, configurando el grupo como de confianza.

Antes de poder configurar un servidor DHCP de confianza, debe configurar una VLAN. Consulte Configuración de VLAN para conmutadores de la serie EX compatibles con ELS (procedimiento de CLI).

Para configurar una interfaz de acceso que no es de confianza como interfaz de confianza para un servidor DHCP mediante la CLI:

  1. Configure un grupo dentro de una VLAN con una interfaz de acceso específica:
  2. Configure ese grupo para trusted que la interfaz especificada contenida en el grupo sea una interfaz de confianza:

Habilitación de un servidor DHCP de confianza (no ELS)

Puede protegerse contra servidores DHCP no autorizados que envíen concesiones no autorizadas a su red mediante el uso de servidores y puertos DHCP de confianza. De forma predeterminada, para DHCP, todos los puertos troncales son de confianza y todos los puertos de acceso no son de confianza. Y solo puede configurar el servidor DHCP en una interfaz; es decir, no se admite el uso de una VLAN.

Los puertos de confianza permiten a los servidores DHCP proporcionar direcciones IP y otra información a los dispositivos solicitantes. Los puertos que no son de confianza eliminan el tráfico de los servidores DHCP para evitar que servidores no autorizados proporcionen información de configuración a los clientes.

Para configurar un puerto para alojar un servidor DHCP, escriba el siguiente comando desde la CLI de Junos:

donde, la interfaz, ge-0/0/8 es cualquier interfaz confiable y físicamente segura que sea válida para su red.

Habilitación de un servidor DHCP de confianza (enrutadores de la serie MX)

Puede configurar cualquier interfaz en un dispositivo de conmutación que se conecte a un servidor DHCP como interfaz de confianza (puerto). La configuración de un servidor DHCP en una interfaz de confianza protege contra el envío de concesiones de servidores DHCP no autorizados.

De forma predeterminada, todas las interfaces de acceso no son de confianza y todas las interfaces troncales son de confianza. Sin embargo, puede invalidar la configuración predeterminada de las interfaces de acceso configurando un grupo de interfaces de acceso dentro de un dominio de puente, especificando una interfaz para que pertenezca a ese grupo y, a continuación, configurando el grupo como de confianza.

Antes de poder configurar un servidor DHCP de confianza, debe configurar un dominio de puente.

Para configurar una interfaz de acceso que no es de confianza como interfaz de confianza para un servidor DHCP mediante la CLI:

  1. Configure un grupo dentro de un dominio de puente con una interfaz de acceso específica:

  2. Configure ese grupo para trusted que la interfaz especificada contenida en el grupo sea una interfaz de confianza:

Comprobar que un servidor DHCP de confianza funciona correctamente

Propósito

Compruebe que un servidor de confianza DHCP está funcionando en el conmutador. Vea lo que sucede cuando el servidor DHCP es de confianza y, a continuación, no es de confianza.

Acción

Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.

Muestre la información de espionaje DHCP cuando la interfaz en la que el servidor DHCP se conecta al conmutador sea de confianza. El siguiente resultado se produce cuando se envían solicitudes desde las direcciones MAC y el servidor ha proporcionado las direcciones IP y las concesiones:

Significado

Cuando la interfaz en la que el servidor DHCP se conecta al conmutador se ha establecido en de confianza, el resultado (consulte el ejemplo anterior) muestra, para cada dirección MAC, la dirección IP asignada y el tiempo de concesión, es decir, el tiempo, en segundos, restante antes de que expire la concesión.

Si el servidor DHCP se hubiera configurado como no confiable, no se agregaría ninguna entrada a la base de datos de espionaje DHCP y no se mostraría nada en la salida del show dhcp snooping binding comando.

Configuración de una interfaz troncal como no confiable para la seguridad DHCP (procedimiento de la CLI)

Antes de poder configurar un grupo de interfaces, debe configurar una VLAN. Consulte Configuración de VLAN para conmutadores de la serie EX compatibles con ELS (procedimiento de CLI).

Las interfaces troncales que no son de confianza admiten las siguientes funciones de seguridad DHCP cuando están habilitadas en la VLAN:

  • Espionaje de DHCP y DHCPv6

  • Inspección dinámica de ARP

  • Inspección de descubrimiento de vecinos IPv6

Para configurar una interfaz de tronco como no confiable, debe configurar un grupo de interfaces dentro de una VLAN, agregar la interfaz de tronco al grupo y, a continuación, configurar el grupo como no confiable. Un grupo debe tener al menos una interfaz.

Para configurar una interfaz troncal como no confiable para la seguridad DHCP:

  1. Configure un grupo dentro de una VLAN con la interfaz troncal como miembro:
  2. Configure el grupo de manera untrusted que la interfaz especificada contenida en el grupo sea una interfaz que no sea de confianza: