Si en una red no se va a usar direccionamiento dinámico se puede bloquear el tráfico del protodolo DHCP, pero si se necesita debemos permitir este protocolo. Los switches actuales nos permiten restringir este tráfico para que sólo los servidores autorizados (los que la gente de Sistemas gestiona) envíen este tipo de información evitando así que haya intrusos haciéndose pasar por servidores DHCP.
En general la aplicación de esta política de seguridad es tan fácil como:
- Activar la protección DHCP
- Identificar la IP de los servidores autorizados a entregar este protocolo
- Identificar desde qué puerto se recibirá este tráfico
Veamos un ejemplo en un switch de acceso de marca HP. En otras marcas será similar cambiando los comandos.
1. Activamos la protección de DHCP:
ACC-SW01 (config)#dhcp-snooping2. Indicamos que servidores son los oficiales:
ACC-SW01 (config)#dhcp-snooping authorized-server 10.10.10.103. Indicamos desde qué puertos aceptaremos este tráfico (cuál es el camino para llegar desde nuestro switch a los servidores autorizados). Desde un equipo ed acceso lo más probable es que sea el uplink:
ACC-SW01 (config)#dhcp-snooping authorized-server 10.10.10.15
ACC-SW01 (config)#dhcp-snooping trust trk1 (suponemos que el uplink es un trunk y se llama trk1)Esta es la idea básica... obviamente se puede complicar mucho :)