1. Seguridad de la Información
MITIGANDO ATAQUES ESPIAS
“DHCP Snooping” y “IP Source Guard”
ITI. Erick Aguila Martínez
2. Los usuarios maliciosos pueden enviar información falsa por las puertas de
enlace, es decir desviando información por un DHCP falso, donde los datos son
enviados a un servidor y pueden ser vistos por el atacante.
Introducción
ITI. Erick Aguila Martínez
3. Los switches catalyst poseen DHCD Snooping para prevenir estos ataques
asignando puertos confiables y no confiables asegurando en los confiables DHCP
legítimos para pasar datos a VLAN s
DHCP Snooping
ITI. Erick Aguila Martínez
4. Switch(config)# Ip dhcp snooping
Comando para activar DHCP snooping en el software
Switch(config)# Ip dhcp snooping vlan [valn-id]
Identificar donde se implementara
Configuración
ITI. Erick Aguila Martínez
5. Switch(config)# interface type mod/num
Configurar confiables
Switch(config)# interface type mod-num
Configurar no confiables
Configuración
Switch(config)#ip dhcp snooping trust
Switch(config)# ip dhcp snooping limit rate rate
El parámetro rate puede ser un valor numérico de 1 a 2048
ITI. Erick Aguila Martínez
6. Configuración
Switch(config)# show ip dhcp snooping [binding]
Comando de verificación
EL parámetro binding se utiliza para mostrar todas las relaciones
de DHCP recibidas
ITI. Erick Aguila Martínez
7. IP Source Guard
Es una forma de mitigar el falseo de direcciones IP y los switches catalyst pueden
usar esta característica ayudándose de DHCP Snooping
IP MAC
ITI. Erick Aguila Martínez
8. Configuración
Switch(config)# ip dhcp snooping
Se debe configurar DHCP Snooping
Switch(config)# ip source binding mac-address
vlan vlan-id ip-address interface type mod/num
Y para los host que no usan DHCP
ITI. Erick Aguila Martínez
9. Configuración
Switch(config)# ip dhcp snooping
Se debe configurar DHCP Snooping
Switch(config)# ip source binding mac-address
vlan vlan-id ip-address interface type mod/num
Y para los host que no usan DHCP
ITI. Erick Aguila Martínez
10. Configuración
Switch(config)# interface type mod/num
Se habilita IP Source Guard en uno o más puertos
Switch(config-if)# ip verify source [port-security]
ITI. Erick Aguila Martínez
11. Configuración
Switch(config)# show ip verify source
[interface type mod/num]
Comando de verificación
Switch(config)# show ip source binding
[ip-address] [mac-address]
[dhcp-snooping | static]
[interface type mod/num][vlan vlan-id]
ITI. Erick Aguila Martínez