DHCP SNOOPING

--------------

SERVIDOR FALSO
|
|
f0/3
PC1-------f0/1 SWITCH g0/1--------g0/1 ROUTER 0
f0/2
|
|
PC2 ------------|

dhcp snooping permite protejer a los clientes del ofertamiento de un servidor falso
en la red como se describe en la figura :
el router 0 es el servidor dhcp principal en la red pero a su vez existe un
servidor dhcp falso que va ofertar direcciones ip
con el fin de que el cliente puedan asociarse, arrandar direcciones ip y desde ahi
generar algun ataque, montar algun fishing o
redirteccionar el trafico. DHCP snooping funciona definiendo interfaces confiables
y no confiables. En este caso las interfaces
confiables son aquellas desde las cuales se pueden recibir ofertas de DHCP.

En nuestro caso la interfaz g0/1 de nuestro SWITCH es una confiable producto de que
el ROUTER 0 es el que esta conectado a ese
puerto del switch y es el que cuenta con el servicio DCHp legitimo en la red, sin
embargo los puertos por los cuales yo
conecto clientes son púertos que yo puedo realizar mensajes DISCOVER-peticiones sin
embargo no pueden realizar OFERTAS DHCP,
eso aplica para los clientes o puertos en los cuales un servidor dhcp maliciosa se
podria colocar

DHCP snooping funciona basado en vlans, se puede configurar de manera global, se

puede asociar a una vlan especifica y
funciona asociado a un puerto, las interfaces confiables se asocian a los puertos y
con eso se puede limitar el ofertamiento de
direcciones DHCP.

CONFIGURACION :
---------------
Primero habilitamos la interfaz del router y configuramos el servicio DHCP en el
ROUTER 0 . luego verificamos que en el
servidor falso esta configurado con otra direccion de red y ademas esta configurado
el servicio dhcp

podria darse el caso que los clientes tomen la direccion ip del segmento malicioso
del servidor dhcp falso lo cual
podria sifnifdicar un atauqe, ademas el gateway y dns de los clientes correspionde
al ip dels ervido dhcp malicioso
y cone ste podria redireccionar tod el trafico al servidor malicioso y para
evistar esto lo que se puede hacer es
configurar dhcp snooping

Switch(config)#ip dhcp snooping //configuramos dhcp snooping de manera global

Switch(config)#ip dhcp snooping vlan 1 //configuramos dhcp snooping para la unica
vlan que existe es decir la vlan 1
Switch(config)#ip dhcp snooping database flash:test

//definimos una base de datos de asociaciones para dhcp que va estar alojada en la
memoria flash de nombre "test"
Este archivo va guardar todas aquellas asociaciones que se hayan creado todo lo que
vaya asociar el servicio en relacion
a las ip de los equipos, asociacion con las dir MAC y eso se guarda en una base de
datosd que luego en un incio del switch la configuracion se puede rescatar y
cargar

Switch(config)#interface g0/1
Switch(config-if)#ip dhcp snooping trust // Configuramos la interfaz confiable

Switch(config)#no ip dhcp snooping information option //este comando permite

pasar las consultar dhcp
Router(config)#ip dhcp relay information trust-all

Comandos de verificacion :
*show ip dhcp snooping // sirve para verificar la interfaz confiable (trusted)
*show ip dhcp snooping binding //permite ver asocaciones de clientes que han
adquirido direcciones ip desde el servidor dhcp real principal
con los equipos podran solicitar direcciones ip al servidor confiable