Las ofertas de DHCP filtran cierta información sobre una red. Las opciones contenidas revelan ciertos detalles sobre el diseño de la red y la infraestructura, que es para lo que está diseñado DHCP. La asignación estática no ofrece ninguno de estos detalles.
La amenaza aquí es una conexión no autorizada a la red. Puede ser un dispositivo que se conecta a una toma de red en vivo o un cliente inalámbrico que obtiene acceso a una WLAN. Una vez que la conexión no autorizada ha tenido lugar, la capacidad del atacante para hacer cualquier cosa una vez que se haya conectado es donde DHCP vs. Static entra en juego.
DHCP con registro de MAC es el modelo DHCP más robusto. No ofrece direcciones a ningún MAC del que no se haya informado, por lo que, en teoría, no se ofrecerá información a los dispositivos no autorizados. Lo mismo se aplica a la asignación estática, no hay ningún servidor que solicite el direccionamiento.
DHCP sin registro de MAC permitirá que los dispositivos no autorizados consuman una dirección IP.
El registro de MAC requiere que todos los dispositivos nuevos de cualquier tipo se registren en el sistema DHCP, lo que puede aumentar significativamente el tiempo que tarda un nuevo dispositivo en funcionar. No todos los dispositivos de red tienen su MAC publicado en un lugar donde puedan ser leídos fácilmente, por lo que algunos dispositivos de caso extremo pueden requerir algunas pruebas de prueba para determinar qué MAC están usando. Plug-and-go no funcionará (¡por diseño!). Además, si los dispositivos existentes tienen sus tarjetas de red intercambiadas por algún motivo, los técnicos deberán recordar volver a registrar el nuevo MAC. La cancelación del registro de viejos MAC es un paso crítico de este proceso y, a menudo, se omite hasta que se llena un alcance DHCP.
Hay un par de ataques que hacen que el DHCP con el registro de MAC sea menos útil. Si un atacante puede colocar un puente entre un dispositivo autorizado y su puerto de red (como una computadora portátil con dos NIC), puede averiguar la dirección MAC de ese dispositivo de manera muy simple. Cualquier tráfico supervisado de esta manera revelará la dirección MAC del dispositivo autorizado. La mayoría de las tarjetas de red permiten cambiar la dirección MAC, por lo que todo lo que el atacante debe hacer es cambiar la MAC en una de sus NIC, desconectar el dispositivo autorizado, conectar su dispositivo renombrado y obtener acceso en una MAC registrada.
En la conexión inalámbrica, una vez que un atacante ha entrado con éxito en una WLAN hasta el punto en que puede monitorear las ondas aéreas obtener información de MAC es igualmente fácil.
La defensa para esto es el control de acceso a la red. Para comunicarse con la red, el dispositivo conectado debe poder autenticarse a nivel de máquina. Esto se defiende contra la conexión de dispositivos no autorizados a una red, ya que evita que se produzcan conversaciones importantes en la red. En el escenario anterior, se denegará el acceso al dispositivo del atacante. No todos los dispositivos pueden usar NAC, especialmente las impresoras conectadas a la red, por lo que un atacante puede concentrarse en esos dispositivos, lo que significa que los eventos de desconexión de la red deben ser monitoreados en esos puertos.