DHCP snooping es una funcionalidad de seguridad disponible en los

switches

prevenir que un servidor dhcp no autorizado entre en nuestra red.

Podra realizar un ataque Man in The Middle ( MiTM ) y por tanto,
interceptar el trfico, capturar credenciales, escuchar
conversaciones no cifradas, intentar suplantar la identidad de
terceros

definimos los puertos sobre los que el trfico del DHCP server
confiable puede transitar. Es decir, definimos como trust los
puertos donde tenemos servidores dhcp, relays dhcp y los trunks
entre los switches
Definimos como trust los puertos trunk entre switches, firewalls,
dhcp relays y dispositivos intermedios porque los paquetes de
concesin de DHCP deben transitar por ellos.
Un ejemplo sera un paquete DHCP OFFER o DHCP ACK. En un
puerto no autorizado no podemos dejar pasar un paquete dhcp
offer. Esto es, un cliente no enviar jams un paquete dhcp de este
tipo puesto que es una respuesta de un servidor dhcp.





Configuracin :
1. definimos dhcp snooping globalmente sobre la/s vlan/s, en
este ejemplo vlan 100 y vlan 101
2. definimos los puertos confiables ( el del servidor, los trunks
entre switches y los relays si hubiera )
3. Activamos dhcp snooping
Configuramos a nivel global en el switch y lo activamos :
ip dhcp snooping vlan 100,101
no ip dhcp snooping information option
ip dhcp snooping
Autorizamos los puertos del servidor dhcp y los trunks:
interface GigabitEthernet0/1
description FIREWALL
switchport mode trunk
spanning-tree portfast
ip dhcp snooping trust

interface GigabitEthernet0/2
description UPLINK A SWITCH
switchport mode trunk
ip dhcp snooping trust






Configure the basic switch parameters and trunking.
Configure VTP on ALS1 and ALS2.
Configure IP routing, the VLANs, VLAN SVIs, and HSRP on DLS1 and DLS2.
Configure port security.
Configure snooping DHCP.
Spoofing DHCP es un tipo de ataque se utiliza principalmente para asignar direcciones IP y la
informacin de configuracin de un dispositivo no autorizado . Esto puede conducir a una
denegacin de servicio o la intercepcin de trfico. El atacante responde a una solicitud DHCP,
alegando tener la puerta de enlace y DNS vlido . Un servidor DHCP vlido tambin podra
responder a la solicitud , pero si la respuesta del atacante alcanza al solicitante en primer lugar, se
utiliza la informacin no vlida del atacante.
Para ayudar a proteger la red de un ataque de ese tipo , puede utilizar snooping DHCP.
Snooping DHCP es una caracterstica Cisco Catalyst que determina qu puertos de switch se les
permite responder a las peticiones DHCP . Los puertos estn identificados como de confianza o no
. Puertos de confianza permiten todos los mensajes DHCP , mientras que los puertos que no se
confa slo permiten ( ingreso) peticiones DHCP .
Puertos de confianza pueden alojar un servidor DHCP o puede ser un enlace ascendente hacia un
servidor DHCP. Si un dispositivo no autorizado en un puerto que no se confa intenta enviar un
paquete de respuesta de DHCP en la red, el puerto est desactivado . Desde una perspectiva
snooping DHCP, puertos de acceso no son de confianza no deben enviar ninguna respuesta del
servidor DHCP , como por ejemplo un DHCPOFFER , DHCPACK o DHCPNAK .

Habilitar DLS1 y DLS2 a confiar en la informacin de DHCP desde ALS1 y ALS2 para que el servidor
DHCP puede responder a la ALS1 y ALS2 confianza solicitudes de puerto. Esto se logra mediante el
comando ip dhcp relay information trust-all.


DLS1(config)# ip dhcp relay information trust-all
DLS2(config)# ip dhcp relay information trust-all

Nota: No es necesario habilitar DHCP snooping en los switches de capa de distribucin, aunque
esto permitira DLS1 y DLS2 confen ALS1 y ALS2 como agentes de retransmisin.


Configure ALS1 y ALS2 a confiar en la informacin de DHCP slo en los puertos troncales, y limitar
la tasa que las solicitudes se reciben en los puertos de acceso.

Configuracin de DHCP snooping en los switches de capa de acceso implica el siguiente proceso:
Gire espiar a nivel global mediante el comando ip dhcp snooping.

Configurar las interfaces de confianza con el comando ip dhcp snooping trust. De forma
predeterminada, todos los puertos se consideran que no son de confa, menos que se configure de
forma esttica de fiar.

Configurar un lmite de tasa de solicitud DHCP en los puertos de acceso de usuario para limitar el
nmero de solicitudes de DHCP que se permiten por segundo. Esto se configura con el ip dhcp
snooping rate_in_pps tasa lmite. Este comando evita los ataques de starvation attacks DHCP
mediante la limitacin de la tasa de las peticiones DHCP en los puertos que no se confa.
Configurar las VLAN que utilizarn snooping DHCP. En este escenario, DHCP snooping se utilizar
en el estudiante y el personal de las VLAN.
ALS1(config)# ip dhcp snooping
ALS1(config)# interface range fastethernet 0/7 - 12
ALS1(config-if-range)# ip dhcp snooping trust
ALS1(config-if-range)# exit
ALS1(config)# interface range fastethernet 0/15 - 24
ALS1(config-if-range)# ip dhcp snooping limit rate 20
ALS1(config-if-range)# exit
ALS1(config)# ip dhcp snooping vlan 100,200
ALS2(config)# ip dhcp snooping
ALS2(config)# interface range fastethernet 0/7 - 12
ALS2(config-if-range)# ip dhcp snooping trust
ALS2(config-if-range)# exit
ALS2(config)# interface range fastethernet 0/15 - 24
ALS2(config-if-range)# ip dhcp snooping limit rate 20
ALS2(config-if-range)# exit
ALS2(config)# ip dhcp snooping vlan 100,200


ALS2# show ip dhcp snooping