DHCP Snooping

dhcp snooping cisco escenario con un servidor DHCP deshonesto haciéndose pasar por el servidor DHCP legítimo en una red

1. Introducción a DHCP Snooping

DHCP Snooping Cisco es una función de seguridad creada originalmente por Cisco para proteger su red de servidores DHCP deshonestos y del agotamiento de direcciones IP.

En una red típica, DHCP simplifica la configuración asignando automáticamente la configuración IP a los clientes. Pero esta comodidad conlleva un riesgo: los dispositivos maliciosos pueden hacerse pasar por servidores DHCP y secuestrar el tráfico o denegar el acceso a otros usuarios.

Esta lección le muestra cómo los atacantes explotan DHCP y cómo DHCP Snooping defiende su red filtrando mensajes, verificando fuentes y manteniendo zonas de confianza.

Empecemos por entender los dos tipos principales de ataques DHCP.

servidor dhcp cisco con un router, un switch y un cliente que solicita una dirección IP

Probablemente ya sepa que DHCP (Dynamic Host Configuration Protocol) desempeña un papel fundamental en su red.

Asigna automáticamente a los dispositivos la configuración esencial como:

  • Direcciones IP,
  • Máscaras de subred,
  • Pasarelas por defecto,
  • Servidor DNS

Pero imaginemos un escenario. ¿Y si un dispositivo malicioso se hace pasar por el servidor DHCP de su red?

dhcp snooping cisco escenario con un servidor DHCP deshonesto haciéndose pasar por el servidor DHCP legítimo en una red

En esta situación pueden producirse dos grandes amenazas:

  • Ataques Man-in-the-Middle (MITM) (interceptación de sus datos sensibles) o
  • DHCP starvation (denegación de acceso a la red a dispositivos legítimos)

Suena alarmante, ¿verdad? No se preocupe. Antes de explicar cómo DHCP Snooping resuelve estos problemas, primero vamos a desglosar los ataques DHCP: el ataque Man-in-the-Middle y DHCP Starvation.

Esto le dará el contexto que necesita para ver cómo DHCP Snooping protege su red.

Profundicemos juntos en los detalles.

2. Comprender los ataques DHCP

Ataque Man-in-the-Middle

Paso 1 – DHCP Discover

Cuando un dispositivo se conecta a la red, comienza enviando un mensaje DHCP DISCOVER.

dhcp snooping cisco escenario de ataque que muestra un DHCP Descubrir mensaje enviado por un cliente en una red con un servidor DHCP rogue

Es como preguntar: «¿Hay algún servidor DHCP que pueda darme una dirección IP?».

En este punto, todo es normal, el dispositivo simplemente difunde su solicitud a toda la red local.

Paso 2 – El servidor rebelde se une

El mensaje DISCOVER llega tanto al servidor DHCP legítimo como a un dispositivo fraudulento que se hace pasar por uno.

dhcp snooping cisco paso que muestra DHCP Discover difusión llegar tanto legítima y pícaro servidores DHCP en la red

Ese servidor falso responde rápidamente con una falsa DHCP OFFER.

Paso 3 – Por orden de llegada

Ambos servidores responden con una DHCP OFFER.

dhcp snooping cisco paso que muestra tanto los servidores DHCP legítimos como los falsos que envían mensajes DHCP OFFER al cliente

El cliente suele aceptar la oferta que le llegue primero, que suele ser la más dudosa.

Paso 4 – Oferta maliciosa aceptada

El cliente recibe primero la OFERTA DHCP falsa y la acepta.

dhcp snooping cisco ejemplo mostrando un cliente aceptando la DHCP OFFER de un servidor rogue antes que el servidor legítimo

Paso 5 – Envío de la DHCP Request

El dispositivo confirma su elección enviando una DHCP REQUEST al servidor falso.

Sin saberlo, acepta utilizar configuraciones de red maliciosas.

dhcp snooping cisco escenario donde el cliente envía un DHCP REQUEST al servidor rogue confirmando el uso de su configuración maliciosa.

Por desgracia, el dispositivo no tiene forma de saber que acaba de aceptar la configuración de un servidor malicioso.
En este punto, el servidor malicioso ha conseguido engañar a tu dispositivo con una configuración IP maliciosa.

Paso 6 – Configuración completada

El rogue server responde con un DHCP ACK, asignando:

  • Una dirección IP
  • Una máscara de subred
  • Una puerta de enlace predeterminada que apunta al dispositivo del atacante
  • Servidor DNS (posiblemente también malicioso)
dhcp snooping cisco ejemplo mostrando rogue DHCP server sending DHCP ACK with incorrect IP settings to the client

Paso 7

A partir de ahora, todo el tráfico de tu dispositivo se enruta a través del atacante.

dhcp snooping cisco diagrama que muestra un ataque Man-in-the-Middle donde el tráfico se enruta a través de un servidor DHCP rogue después de asignar la configuración de puerta de enlace malicioso.

Cada paquete enviado por su dispositivo ahora pasa a través del servidor falso antes de llegar a su destino.

Desde aquí, el atacante puede:

  • Interceptar sus datos: Pueden capturar información sensible como contraseñas.
  • Manipule su tráfico: Por ejemplo, redirigiéndole a sitios web falsos que parecen legítimos.

Este es un ejemplo clásico de un ataque Man-in-the-Middle demuestra cómo DHCP puede ser abusado para comprometer una red.

DHCP Starvation Attack

A diferencia de un ataque Man-in-the-Middle, aquí el objetivo no es interceptar el tráfico, sino agotar todas las direcciones IP disponibles para que los usuarios legítimos no puedan conectarse a la red.

Inundar el servidor

El atacante comienza enviando cientos o miles de mensajes DHCP DISCOVER en muy poco tiempo.

dhcp snooping cisco ejemplo de un ataque DHCP starvation donde un atacante inunda el servidor DHCP con mensajes DHCP DISCOVER falsos usando diferentes direcciones MAC.

Vamos a desglosarlo:

  1. El dispositivo del atacante utiliza una única dirección MAC física (ejemplo MAC1).
  2. En cada mensaje DHCP DISCOVER, falsifica una dirección MAC de cliente diferente en el campo chaddr de la cabecera DHCP.
  3. El servidor DHCP cree que cada mensaje es de un cliente único y asigna una dirección IP para cada uno.
  4. Al final, el conjunto de direcciones IP del servidor se agota por completo.

El resultado del ataque

Una vez agotada la reserva DHCP, se denegará el acceso a cualquier nuevo dispositivo legítimo que intente unirse a la red.

dhcp snooping cisco diagrama que muestra el servidor DHCP incapaz de asignar direcciones IP después de un ataque de hambre DHCP por un dispositivo pícaro utilizando clientes falsos

¿Y ahora qué?

  • Los clientes legítimos envían mensajes DHCP DISCOVER pero no reciben respuesta.
  • No consiguen obtener direcciones IP y no pueden unirse a la red.
  • Los usuarios experimentan pérdidas de conectividad, aunque la infraestructura de red esté operativa.

Ahora que ha visto cómo se puede abusar de DHCP, pasemos a ver cómo DHCP Snooping previene estos ataques y protege su red.

3. Funcionamiento de DHCP Snooping

DHCP Snooping actúa como un cortafuegos para el tráfico DHCP, vigila lo que entra, comprueba si es de confianza y bloquea cualquier cosa sospechosa.

Veamos cómo funciona esta protección.

Zonas de confianza frente a zonas que no lo son

Para aplicar eficazmente las reglas de seguridad, el conmutador debe separar la red en dos zonas:

dhcp snooping cisco diagrama que muestra la división de la red en zonas de confianza y no confianza para filtrar el tráfico DHCP

🟩 Zona de confianza
Incluye las interfaces que se conectan a dispositivos conocidos y seguros, como el servidor DHCP o el router.

🟥 Zona no fiable
Esto cubre los puertos utilizados por los dispositivos de usuario final, donde podrían aparecer servidores DHCP fraudulentos.

Filtrado de mensajes DHCP en puertos

Una vez clasificados los puertos, el conmutador aplica reglas estrictas:

dhcp snooping cisco diagrama mostrando puertos confiables y no confiables en un switch con reglas de filtrado de mensajes DHCP

En puertos de confianza

Todos los mensajes DHCP están permitidos: DISCOVER, OFFER, REQUEST, ACK, etc.
Estos provienen de su servidor DHCP legítimo.

dhcp snooping cisco diagrama que muestra el puerto de confianza que permite todos los mensajes DHCP de un servidor DHCP legítimo

🚫 En puertos no confiables

Sólo se permiten mensajes de cliente (como DISCOVER o REQUEST).
Los mensajes de tipo servidor (OFFER, ACK, NAK) están bloqueados.

dhcp snooping cisco diagrama que muestra el mensaje del servidor DHCP bloqueado en el puerto no fiable para evitar la comunicación del servidor rogue

Esto impide que los servidores DHCP fraudulentos asignen configuraciones IP falsas.

DHCP Snooping comprueba los ataques por inanición

Ahora, ¿qué pasa con el DHCP Starvation?

DHCP Snooping inspecciona todos los mensajes DHCP DISCOVER que llegan a puertos no confiables.

Aquí está el truco:
Compara la dirección MAC de la trama Ethernet con el campo CHADDR de la cabecera DHCP.

Si no coinciden, es señal de spoofing y el switch desecha el paquete.

dhcp snooping cisco previene el DHCP starvation inspeccionando direcciones MAC y CHADDR no coincidentes en mensajes DHCP DISCOVER

Esta sencilla validación impide que los atacantes inunden el grupo de IP con clientes falsos.

DHCP Snooping Binding Table

A medida que se valida el tráfico DHCP, el switch construye una tabla de vinculación, una base de datos dinámica de todos los clientes DHCP legítimos.

Cada entrada contiene:

  • Dirección MAC
  • Dirección IP
  • Puerto y VLAN
  • Tiempo de alquiler
dhcp snooping cisco mostrando DHCP Snooping Binding Table con dirección MAC, IP, lease, VLAN, e información de la interfaz.

Esta función ayuda a los administradores a verificar los clientes DHCP activos en el conmutador.

4. Conclusión

Recapitulemos rápidamente:

Las vulnerabilidades de DHCP pueden provocar ataques Man-in-the-Middle y DHCP Starvation, que pueden afectar gravemente a la integridad y disponibilidad de su red.

DHCP Snooping mitiga estas amenazas mediante:

  • Dividir la red en zonas fiables y no fiables
  • Filtrado de mensajes DHCP no autorizados
  • Verificación de la integridad de los mensajes DHCP
  • Seguimiento dinámico de clientes legítimos en una tabla de vinculación

Esta protección es potente, pero sólo si está bien configurada.

Ahora ya sabes cómo DHCP Snooping protege tu red, a continuación, vamos a ver cómo configurarlo paso a paso en un switch Cisco.