DHCP snooping: más seguridad para tu red

El protocolo de co­n­fi­gu­ra­ción dinámica de host (DHCP) sirve para si­m­pli­fi­car la co­n­fi­gu­ra­ción de la red: en lugar de co­n­fi­gu­rar de forma in­di­vi­dual cada di­s­po­si­ti­vo ha­bi­li­ta­do para la red, cada cliente y cada PC, hoy en día se utiliza no­r­ma­l­me­n­te el protocolo DHCP. Cada pa­r­ti­ci­pa­n­te en la red recibe su dirección IP, máscara de subred y demás a través de un servidor. Esto no solo si­m­pli­fi­ca el trabajo con redes grandes, sino que también minimiza las fuentes de error: como la asi­g­na­ción de di­re­c­cio­nes es dinámica, no puede ocurrir que a dos di­s­po­si­ti­vos se les asigne la misma dirección IP. Asimismo, reduce el espacio de di­re­c­cio­nes requerido: si el di­s­po­si­ti­vo sale de la red, la dirección IP queda libre au­to­má­ti­ca­me­n­te para un nuevo su­s­cri­p­tor de red.

Sin embargo, esta si­m­pli­fi­ca­ción crea al mismo tiempo una puerta de acceso para los piratas in­fo­r­má­ti­cos. Cuando confías en alguien para que haga el trabajo por ti, in­e­vi­ta­ble­me­n­te cedes el control. De esta manera pueden ocurrir cosas que en principio pasan des­ape­r­ci­bi­das, pero que están su­ce­die­n­do en un segundo plano. Esto también puede ocurrir con el protocolo DHCP, si bien hay una solución: para evitar un mal uso del protocolo DHCP, se puede usar el llamado DHCP snooping. ¿Cómo funciona esta te­c­no­lo­gía de seguridad?

En el protocolo DHCP, un servidor garantiza que cada cliente reciba su co­n­fi­gu­ra­ción. Para esto, el cliente primero envía una solicitud broadcast a la red. Con esto el su­s­cri­p­tor de la red desea de­te­r­mi­nar qué se­r­vi­do­res DHCP están di­s­po­ni­bles y pueden responder. Todos los se­r­vi­do­res DHCP di­s­po­ni­bles responden a esta solicitud. Si hay varios se­r­vi­do­res co­ne­c­ta­dos a la red, el cliente se­le­c­cio­na aquel cuya respuesta llega primero. Después el cliente realiza la asi­g­na­ción de di­re­c­cio­nes con el servidor DHCP. Es entonces cuando sale a relucir el punto débil del sistema y los piratas in­fo­r­má­ti­cos pueden apro­ve­char­se de él.

¿Cómo es posible? Añadiendo más se­r­vi­do­res (los llamados se­r­vi­do­res DHCP no au­to­ri­za­dos) a la red. Cuando uno de estos se­r­vi­do­res consigue enviar una respuesta al cliente en primer lugar, el miembro de la red recibe la in­fo­r­ma­ción de co­n­fi­gu­ra­ción a través del servidor malicioso. El servidor DHCP no au­to­ri­za­do enviará datos in­co­rre­c­tos o ma­ni­pu­la­dos, de manera que el cliente no se configura bien. Esta acción permite dirigir al cliente hacia una puerta de enlace in­co­rre­c­ta, lo que se conoce como DHCP spoofing. A través de ella, los de­li­n­cue­n­tes pueden registrar la tra­n­s­fe­re­n­cia de datos y obtener in­fo­r­ma­ción co­n­fi­de­n­cial, lo que también se conoce como ataque de in­te­r­me­dia­rio. Por otro lado, la asi­g­na­ción in­co­rre­c­ta de dirección puede causar un ataque de de­ne­ga­ción de servicio, quedando toda la red queda pa­ra­li­za­da. No obstante, gracias al DHCP snooping se evita el contacto con se­r­vi­do­res ma­li­cio­sos.

El DHCP snooping protege no solo de ac­ti­vi­da­des de­li­c­ti­vas, sino también de fuentes de error derivadas del uso de routers adi­cio­na­les. Si se instala un nuevo router en una red ya existente, esto puede confundir al protocolo DHCP: el nuevo router asigna di­re­c­cio­nes que no se deberían asignar, lo que puede causar errores de conexión. Es­pe­cia­l­me­n­te en un contexto em­pre­sa­rial, esto puede ocasionar problemas si los empleados conectan sus propios di­s­po­si­ti­vos a la red sin el co­no­ci­mie­n­to del ad­mi­ni­s­tra­dor.

El DHCP snooping es una función de seguridad de segundo nivel del modelo OSI. La función está integrada en el co­n­mu­ta­dor o switch, el cual conecta a los clientes con los se­r­vi­do­res DHCP. En otras palabras, se trata de un protocolo que primero verifica toda la in­fo­r­ma­ción DHCP que pasa a través del co­n­mu­ta­dor. Solo los paquetes aprobados que provengan de se­r­vi­do­res de confianza se envían a los clientes.

Para ga­ra­n­ti­zar que solo los se­r­vi­do­res correctos puedan in­te­r­fe­rir en la provisión de in­fo­r­ma­ción de co­n­fi­gu­ra­ción, el DHCP snooping utiliza varios pasos. En primer lugar, debes es­pe­ci­fi­car un puerto seguro para tu servidor o se­r­vi­do­res. Cualquier di­s­po­si­ti­vo que intente unirse a la red a través de otro puerto se considera inseguro, lo que incluye a todos los clientes: un host en el que se ejecuta un servidor DHCP se va a co­n­si­de­rar inseguro si no ha sido aprobado por el ad­mi­ni­s­tra­dor. Cuando un paquete DHCP que solo puede ser enviado por un servidor (DHCPOFFER, DHCPACK, DHCPMAK) llega a través de un puerto no fiable, el co­n­mu­ta­dor bloquea el reenvío y el cliente no recibe la in­fo­r­ma­ción.

Los piratas in­fo­r­má­ti­cos también pueden intentar in­te­rru­m­pir la red simulando ser uno de los clientes exi­s­te­n­tes y re­cha­za­n­do las ofertas del servidor DHCP. Por ello, el DHCP snooping utiliza una base de datos que el sistema crea y actualiza de manera in­de­pe­n­die­n­te. El protocolo lee toda la in­fo­r­ma­ción DHCP (pero no los datos reales después de la conexión exitosa) y extrae la in­fo­r­ma­ción necesaria para la tabla de aso­cia­cio­nes de DHCP snooping.

El sistema incluirá en la base de datos todos los hosts que provengan de un puerto que no es de confianza. La in­fo­r­ma­ción re­co­pi­la­da incluye la dirección MAC, la dirección IP ad­ju­di­ca­da, el puerto co­n­mu­ta­dor utilizado, la subred lógica (VLAN) y la duración del tiempo de concesión. De esta manera el DHCP snooping puede ga­ra­n­ti­zar que solo los clientes ori­gi­na­les que pa­r­ti­ci­pa­ron en la co­mu­ni­ca­ción puedan enviar comandos al servidor. Y es que solo en los casos de clientes ori­gi­na­les la dirección MAC y el puerto co­n­mu­ta­dor del di­s­po­si­ti­vo coinciden con la in­fo­r­ma­ción al­ma­ce­na­da en la base de datos.

Además, algunos di­s­po­si­ti­vos de red pueden usar el DHCP snooping para generar un informe de defensa. Los informes o logs se pueden reenviar y luego analizar. El método distingue dos errores de do­cu­me­n­ta­ción: por un lado, la di­s­cre­pa­n­cia entre la dirección MAC actual y la in­fo­r­ma­ción al­ma­ce­na­da en la base de datos y, por el otro, los paquetes de servidor enviados a través de un puerto no fiable.

El primer tipo de mensaje de error suele deberse a aspectos de la red mal im­ple­me­n­ta­dos en el di­s­po­si­ti­vo de un cliente y, por lo general, no son motivo de preo­cu­pa­ción. El segundo tipo de mensajes de error, sin embargo, indica una intención criminal: alguien ha intentado in­fi­l­trar­se de­li­be­ra­da­me­n­te en la red con un servidor DHCP no au­to­ri­za­do. Dado que el DHCP snooping registra todo, es posible iniciar in­ve­s­ti­ga­cio­nes es­pe­cí­fi­cas sobre tales casos pro­ble­má­ti­cos.

Se pro­po­r­cio­na aún más seguridad al habilitar la opción 82, también conocida como in­fo­r­ma­ción de agente de re­tra­n­s­mi­sión DHCP. En este caso, el co­n­mu­ta­dor activa la co­mu­ni­ca­ción entre el cliente y el servidor, pro­ce­di­mie­n­to útil si los clientes y los se­r­vi­do­res no están en la misma subred. Cuando el cliente envía una solicitud al servidor DHCP, el co­n­mu­ta­dor agrega in­fo­r­ma­ción adicional al en­ca­be­za­do de esa solicitud. Con esto, el servidor puede co­mu­ni­car­se con el co­n­mu­ta­dor y, por lo tanto, saber la ubicación del cliente.

El servidor DHCP lee los detalles adi­cio­na­les y asigna las di­re­c­cio­nes IP según la in­fo­r­ma­ción de ubicación. El servidor envía el paquete de respuesta al cliente a través del co­n­mu­ta­dor. Si el paquete llega al co­n­mu­ta­dor, este reconoce, a partir de la in­fo­r­ma­ción aún contenida, que la co­mu­ni­ca­ción realmente se está eje­cu­ta­n­do a través del mismo. Después el di­s­po­si­ti­vo elimina los datos de la opción 82 del en­ca­be­za­do y reenvía la respuesta.