- Este debate tiene 7 respuestas, 5 mensajes y ha sido actualizado por última vez el hace 4 días, 11 horas por
.
-
Entradas
-
Buenas noches Alvaro una consulta esta tecnica para evitar ataques DHCP donde se recomienda configurar en los Switch o en los Router. O depende del escenario ??
Hola Jose!
Este es un mecanismo de protección que debe configurarse en los SWITCHES, esto lo mencionamos en el minuto 8 de la clase teórica de DHCP Snooping.
Los usuarios finales son los que van a implementar el ataque e intercambiar los mensajes DORA a través del switch. Los usuarios finales se conectan a los switches y no así a los routers. Podrías configurarlo en un router en el caso que tu dispositivo tenga un módulo de switching instalado y los usuarios finales se conecten directamente a este módulo (no todos los routers soportan esto).Atento a tus comentarios!
Saludos cordiales.
Hola Profesor:
Disculpeme, tengo una duda, lo que pasa es que e tratado de implementar sobre el mismo escenario de red la técnica de DHCP Snooping pero en Packet Tracer y lo que pasa es que al activar la caracteristica de DHCP Snooping para la vlan 1, la teoria indica que todos los puertos por defecto deben estar en Untrusted cuando activas DHCP Snooping para un determinada vlan, lo cual es cierto, luego active el puerto en el switch que conecta con el router que hace la funcion de Servidor DHCP Legitimo, hasta ahi muy bien, pero luego cuando quiero que la maquina del usuario obtenga los parametros de configuracion IP por intermedio del servidor DHCP Legitimo, ya no me valida, a comparación de lo que usted hizo en el video donde si obtiene los parametros de configuracion, bueno basado en esto, mi duda es la siguiente:En la teoria usted indica que los puertos untrusted se deben conectar a dispositivos finales y APs y los puertos Trusted con los dispositivos intermedios que gestionamos como routers, switches, firewalls, etc. pero si los puertos untrusted no pueden aceptar los mensajes DHCP Offer y ACK de los servidores DHCP, entonces como es que llegan a obtener sus parámetros de configuración si los dispositivos finales no van a rebicir estos mensajes Offer y ACK?
Hola Edward!
Recuerda que la teoría indica que los puertos untrusted (DEL SWITCH) no pueden RECIBIR (Recepción) mensajes DHCP Offer y Ack pero pueden ENVIARLOS (Transmisión). Los mensajes Offer y Ack van a SALIR de los puertos untrusted, no van a INGRESAR a los puertos untrusted. Por lo tanto no hay ningún problema para los dispositivos finales ya que ellos no deberían generar estos mensajes o de lo contrario serían servidores DHCP ilegítimos.
Por el otro lado en los puertos trusted si puedes RECIBIR mensajes DHCP Offer y Ack ya que te los están enviando desde servidores legítimos hacia los puertos del switch.
Respecto a tu problema de Packet Tracer, lastimosamente he visto muchos comentarios que esa característica viene con muchas fallas en ese software, así que no te recomendaría trabajar DHCP Snooping en PT. Envíame la topología para validar!
Atento a tus comentarios.
Saludos.
Hola Álvaro!!!
Disculpa en una red que quiero implementar DHCP Snooping para la red wifi de que emiten los APs.
Tengo una VLAN 20 para usuarios de la empresa, una VLAN 30 para usuarios invitados y tengo una VLAN 10 como nativa, todas estas configuradas en los puertos troncales de los APS de los switches de acceso.
Para implementar DHCP Snoping ya tengo mapeado cuales serían los puertos trusted, pero en este caso habría algún problema que el Servidor DHCP de la empresa entrega IPs de DNS diferentes para diferenciar los usuarios de la empresa y para los invitados.Te agradezco por tu ayuda.
Saludos
Hola Alexander!
NO deberían existir problemas ya que el tema de restricción de la comunicación, se da en los puertos unstrusted del switch donde se reciben mensajes DHCP Offer y DHCP Ack, además que no interesa el contenido de esos mensajes. En los puertos trusted tus mensajes DHCP se dejaran pasar sin problemas.
Saludos! =)
- Debes estar registrado para responder a este debate.