Blog

ACTUALIDAD
Seguridad en DHCP - Suplantacion de identidad y otros ataques
4 Nov 2019

Seguridad DHCP

Seguridad en DHCP

El servicio de DHCP es aquel que permite asignar direcciones de red IPv4 o IPv6 de forma automatizada. Este es un servicio crítico en cualquier organización y debe protegerse de forma adecuada.

Una suplantación de identidad de este servicio podría configurar los adaptadores de red de los equipos, de forma que facilitaría otros ataques conocidos y la posibilidad de interceptar la información enviada o recibida por dichos equipos.

El problema con el protocolo DHCP es el mismo que comparten otros servicios y protocolos de comunicación: se diseñaron pensando en funcionar de forma eficiente dentro de un entorno seguro, en muchos casos la Red Local de una organización.

Microsoft proporciona una serie de tecnologías que permiten implementar mejoras en la seguridad de un entorno que utilice asignación de direcciones mediante DHCP.

Autorización de Servidores DHCP

El servicio DHCP requiere autorización dentro de una infraestructura de Active Directory. Si un servidor que forma parte de un dominio de Microsoft instala el rol de DHCP, necesitará autorización de una cuenta con privilegios en en el Directorio Activo para iniciar el servicio DHCP.

Seguridad en DHCP: suplantación de identidad del servicio DHCP

DHCP Cluster

Windows Server 2016 permite configurar un clúster de servidores DHCP. Al utilizar dos o más servidores se evita la pérdida del servicio por la “caída” de uno de los equipos.

Gracias al clúster se mantiene la totalidad del Pool de direcciones disponibles; además, la característica DHCP Clúster permite optimizar las cargas de trabajo entre los servidores que componen el clúster.

Protección de Nombres DNS en DHCP

El servicio de DHCP permite asociar identificadores del servidor DHCP a los registros DNS que se crean en las actualizaciones de los registros de equipo, que reciben la configuración del adaptador de red con DHCP. Utilizando este identificador se puede proteger la suplantación de nombres en las zonas DNS por parte de un equipo que no disponga de este identificador de DHCP y trate de suplantar el registro del nombre de equipo en el DNS.

DHCP Clúster y protección de nombres DNS en DHCP - Seguridad DHCP

El uso de credenciales para las actualizaciones dinámicas de los registros DNS desde el Servidor de DHCP es otra medida de seguridad que es interesante configurar.

Seguridad en DHCP: suplantación de identidad del servicio DHCP

Habilitar DHCP Guard

En los entornos virtualizados se puede habilitar DHCP Guard; esta medida evita que las máquinas virtuales suplanten servidores DHCP. El servidor descartará todo el tráfico DHCP de servidores no autorizados.

La configuración de esta característica es muy sencilla, tanto desde el entorno grafico de la consola de administración de Hyper-V, en características avanzadas del adaptador de red, como por línea de comandos con Windows PowerShell, como se aprecia en la siguiente imagen.

DHCP Clúster y protección de nombres DNS en DHCP - Seguridad DHCP

El servicio de DHCP es indispensable para cualquier organización: una correcta administración de este servicio permite incrementar la seguridad de toda la red y otros servicios relacionados como DNS. Además, los registros de la actividad de DHCP pueden ayudar a detectar intrusiones y accesos no autorizados a la red.

Otros dispositivos de red como routers o switches deben ser configurados para completar la seguridad de la red y el servicio de DHCP. En este excelente artículo de Borja Merino se explica con detalle:

Defensas frente a ataques DHCP by Borja Merino: https://www.securityartwork.es/2012/03/07/defensas-frente-a-ataques-dhcp

Si estáis interesados en saber cómo mejorar la protección de infraestructuras basadas en tecnologías de Microsoft apuntaros a nuestro curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel HCHSW, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert, Editor en www.seguridadjabali.com y Autor del libro Windows Server 2016: Administración, seguridad y operaciones. Editorial 0xWord

Posicionamiento Web SEO: David Moreno Rozas

Seguridad en DHCP