DHCP vs. direccionamiento IP estático

Las ofertas de DHCP filtran cierta información sobre una red. Las opciones contenidas revelan ciertos detalles sobre el diseño de la red y la infraestructura, que es para lo que está diseñado DHCP. La asignación estática no ofrece ninguno de estos detalles.

La amenaza aquí es una conexión no autorizada a la red. Puede ser un dispositivo que se conecta a una toma de red en vivo o un cliente inalámbrico que obtiene acceso a una WLAN. Una vez que la conexión no autorizada ha tenido lugar, la capacidad del atacante para hacer cualquier cosa una vez que se haya conectado es donde DHCP vs. Static entra en juego.

DHCP con registro de MAC es el modelo DHCP más robusto. No ofrece direcciones a ningún MAC del que no se haya informado, por lo que, en teoría, no se ofrecerá información a los dispositivos no autorizados. Lo mismo se aplica a la asignación estática, no hay ningún servidor que solicite el direccionamiento.

DHCP sin registro de MAC permitirá que los dispositivos no autorizados consuman una dirección IP.

El registro de MAC requiere que todos los dispositivos nuevos de cualquier tipo se registren en el sistema DHCP, lo que puede aumentar significativamente el tiempo que tarda un nuevo dispositivo en funcionar. No todos los dispositivos de red tienen su MAC publicado en un lugar donde puedan ser leídos fácilmente, por lo que algunos dispositivos de caso extremo pueden requerir algunas pruebas de prueba para determinar qué MAC están usando. Plug-and-go no funcionará (¡por diseño!). Además, si los dispositivos existentes tienen sus tarjetas de red intercambiadas por algún motivo, los técnicos deberán recordar volver a registrar el nuevo MAC. La cancelación del registro de viejos MAC es un paso crítico de este proceso y, a menudo, se omite hasta que se llena un alcance DHCP.

Hay un par de ataques que hacen que el DHCP con el registro de MAC sea menos útil. Si un atacante puede colocar un puente entre un dispositivo autorizado y su puerto de red (como una computadora portátil con dos NIC), puede averiguar la dirección MAC de ese dispositivo de manera muy simple. Cualquier tráfico supervisado de esta manera revelará la dirección MAC del dispositivo autorizado. La mayoría de las tarjetas de red permiten cambiar la dirección MAC, por lo que todo lo que el atacante debe hacer es cambiar la MAC en una de sus NIC, desconectar el dispositivo autorizado, conectar su dispositivo renombrado y obtener acceso en una MAC registrada.

En la conexión inalámbrica, una vez que un atacante ha entrado con éxito en una WLAN hasta el punto en que puede monitorear las ondas aéreas obtener información de MAC es igualmente fácil.

La defensa para esto es el control de acceso a la red. Para comunicarse con la red, el dispositivo conectado debe poder autenticarse a nivel de máquina. Esto se defiende contra la conexión de dispositivos no autorizados a una red, ya que evita que se produzcan conversaciones importantes en la red. En el escenario anterior, se denegará el acceso al dispositivo del atacante. No todos los dispositivos pueden usar NAC, especialmente las impresoras conectadas a la red, por lo que un atacante puede concentrarse en esos dispositivos, lo que significa que los eventos de desconexión de la red deben ser monitoreados en esos puertos.

En términos generales, en un entorno correctamente configurado, esta opción no afectará demasiado su seguridad. Dicho esto, DHCP puede tener algunos agujeros que vale la pena considerar.

Con DHCP (asumiendo que solo estás entregando direcciones a clientes conocidos) a una máquina desconocida que salta en la red no se le dará una dirección. Ahora, si está entregando arrendamientos a cualquier máquina que se conecte, está abriendo un problema de seguridad, pero la respuesta es "¡No haga eso!". Teóricamente, alguien podría conectarse a la red y buscar mensajes de difusión, para tener una idea de cómo se ve su red (servidores DNS, enrutadores, tal vez información filtrada basada en las identificaciones de los clientes DHCP y los rangos de IP a los que se asignan), pero si la gente se está conectando a su red (teóricamente segura), tiene un pez más grande para freír.

Con direcciones estáticas y sin servidor DHCP, hay menos fuga de información natural (la información del enrutador y DNS no se entregará, y tampoco habrá ninguna ID de cliente DHCP para filtrar información). Sin embargo, incluso en este caso, si un atacante se conecta a su red, puede simplemente sentarse allí silenciosamente a olfatear el tráfico hasta que detecte la misma información que obtendrían de las transmisiones DHCP. Les tomará más tiempo y será más difícil, pero todavía es posible.

Lo ideal sería desactivar los puertos de red no utilizados, asegurar cualquier conexión inalámbrica que tenga con WPA de buena calidad y, probablemente, realizar el filtrado de direcciones MAC en sus conmutadores de acceso y amp; puntos de acceso inalámbrico: si está haciendo todo lo posible, proporciona una barrera importante para que alguien logre acceder a su red y ayude a mitigar cualquier fuga de información que pueda obtener del DHCP (o sentarse y olfatear) poniendo otro obstáculo entre ellos y la parte más vulnerable de su red.

Un desafío con las direcciones IP asignadas dinámicamente es que esto puede hacer que sea más difícil construir reglas de firewall. A menudo, las reglas de firewall se crean utilizando direcciones IP codificadas para los hosts con los que se va a comunicar. Si esos hosts tienen una IP dinámica, entonces es más difícil codificar una política de firewall segura para ellos.

(La razón por la que generalmente es más seguro usar direcciones IP codificadas de forma rígida en su política de firewall, a diferencia de un nombre de host DNS, es así que la seguridad de su firewall no es vulnerable a la falsificación de DNS, el secuestro de DNS u otro DNS ataques.)

Otro problema de seguridad que no se menciona aquí todavía, es la posibilidad de ataques de intermediarios.

Si un atacante implementa un servidor DHCP no autorizado, esencialmente puede convertirse en la puerta de enlace, tanto para la comunicación a la intranet como a Internet.

La mitigación de este tipo de ataque, depende del hardware utilizado en la infraestructura. Si su hardware soporta reglas de bloqueo pr. puerto, rechazando paquetes con el puerto de origen 67.

Si no es así, escuchar pasivamente los servidores DHCP de red en la red también es una opción.