DHCP Snooping es una funcionalidad de seguridad de capa 2 que evitará que posibles servidores DHCP ilegítimos (no autorizados) que hayan conseguido ser conectados a la red puedan proporcionar una configuración de red a los clientes de una sede.
Básicamente lo que haremos será configurar DHCP Snooping en los switches para indicar cual es el DHCP real del centro. De esto modo, las peticiones DHCP de los clientes se cursarán siempre por el «camino» correcto hacía el servidor legítimo (autorizado) de nuestra red.
Supongamos el siguiente escenario:
En este caso el servidor legítimo asignará direcciones IP desde la 192.168.200.50. Por otro lado, el servidor ilegítimo está configurado para asignar IP’s a partir de la 192.168.200.30.
Lo primero que haremos será habilitar DHCP Snooping de manera global en el switch:
SWITCH_A(config)#ip dhcp snooping Especificamos sobre que VLAN’s queremos que se aplique DHCP Snooping. Puede ser una o varias, en este caso será únicamente la VLAN 200:
SWITCH_A(config)#ip dhcp snooping vlan 200El siguiente paso será declarar como «trust» los puertos confiables hacía el servidor DHCP. Normalmente las conexiones uplinks entre switches y el puerto donde se encuentre conectado el servidor. En este caso solamente sería la interfaz fastethernet 10 ya que solamente tenemos un switch.
SWITCH_A(config)#interface f 0/10
SWITCH_A(config-if)#ip dhcp snooping trust
SWITCH_A(config-if)#endUna vez realizado estos pasos DHCP Snooping está funcionando y podremos ver reflejadas las asignaciones de las direcciones IP a los clientes dentro del mismo switch con el siguiente comando:
SWITCH_A#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- -----------------
00:00:0C:EE:D3:89 192.168.200.50 86400 dhcp-snooping 200 FastEthernet0/1
00:0A:F3:36:2A:E9 192.168.200.51 86400 dhcp-snooping 200 FastEthernet0/3
00:60:2F:D4:82:14 192.168.200.52 86400 dhcp-snooping 200 FastEthernet0/2
Total number of bindings: 3Como podemos observar, una vez configurado DHCP Snooping nos aseguramos que el servidor DHCP real de la sede es el que está asignando las direcciones IP a los clientes. Una manera muy sencilla y eficaz para evitar ataques DHCP Spoofing.
