GUÍA DE CONFIGURACIÓN PARA LA PROTECCIÓN CONTRA ATAQUES
DHCP EN SWITCHES CISCO
Objetivo
Proteger el switch y la red contra ataques relacionados con el protocolo DHCP, como la
suplantación de servidores DHCP (rogue DHCP) y el agotamiento de direcciones IP (DHCP
starvation).
Requisitos previos
• Acceso al switch Cisco a través de la línea de comandos (CLI).
• Privilegios de administración para realizar cambios en la configuración.
• Conocimiento de las VLANs y puertos específicos que requieren acceso a DHCP.
1. Habilitar DHCP Snooping en el Switch
Descripción: DHCP Snooping es una función de seguridad que permite al switch diferenciar
entre fuentes confiables y no confiables de tráfico DHCP. Esto evita que dispositivos no
autorizados actúen como servidores DHCP en la red.
Comandos:
1. Accede al modo de configuración global.
Switch# configure terminal
2. Habilita DHCP Snooping en el switch.
Switch(config)# ip dhcp snooping
2. Especificar las VLANs para DHCP Snooping
Descripción: Define en qué VLANs se aplicará DHCP Snooping. Esto asegura que solo las VLANs
donde se usa DHCP están protegidas y evita posibles problemas en VLANs sin DHCP.
Comandos:
1. En el modo de configuración global, especifica las VLANs que requieren DHCP
Snooping (ajusta los números de VLAN según tu red).
Switch(config)# ip dhcp snooping vlan 10,20,30
3. Configurar los Puertos de Confianza para DHCP Snooping
Descripción: Solo los puertos conectados a servidores DHCP legítimos deben configurarse
como confiables. Esto permite que el tráfico DHCP legítimo pase sin restricciones. Los demás
puertos, por defecto, se configuran como no confiables, lo que evita que dispositivos no
autorizados ofrezcan direcciones IP a través de DHCP.
�Comandos:
1. Accede a la interfaz de configuración del puerto donde está conectado el servidor
DHCP o un dispositivo de confianza.
Switch(config)# interface GigabitEthernet0/1
2. Configura el puerto como confiable para DHCP Snooping.
Switch(config-if)# ip dhcp snooping trust
3. Sal del modo de configuración de la interfaz.
Switch(config-if)# exit
4. Configurar la Limitación de Tasa en Puertos no Confiables
Descripción: Limitar el número de paquetes DHCP en puertos no confiables ayuda a mitigar
ataques de DHCP starvation, que buscan agotar el pool de direcciones IP.
Comandos:
1. Accede al rango de interfaces para los puertos de acceso donde se conectan los
dispositivos finales.
Switch(config)# interface range GigabitEthernet0/2 - 24
2. Configura la tasa de paquetes DHCP permitidos por segundo (ajusta según la carga de
la red; por ejemplo, 15 paquetes por segundo).
Switch(config-if-range)# ip dhcp snooping limit rate 15
3. Sal del modo de configuración de interfaz.
Switch(config-if-range)# exit
5. Verificación de la Configuración de DHCP Snooping
Descripción: Después de la configuración, es importante verificar que DHCP Snooping esté
activo y funcionando correctamente en el switch. Esto se hace usando los siguientes comandos
de verificación.
Comandos:
1. Para verificar el estado general de DHCP Snooping:
Switch# show ip dhcp snooping
2. Para ver la lista de direcciones IP asignadas a dispositivos (binding) en los puertos
configurados:
Switch# show ip dhcp snooping binding
6. (Opcional) Protección Adicional: Habilitar ARP Inspection
Descripción: Dynamic ARP Inspection (DAI) es una medida de seguridad complementaria que
evita ataques de suplantación de ARP (ARP Spoofing), validando las respuestas ARP en función
de las entradas en la base de datos DHCP Snooping.
�Comandos:
1. Habilita ARP Inspection en las VLANs configuradas para DHCP Snooping.
Switch(config)# ip arp inspection vlan 10,20,30
2. Configura puertos de confianza para ARP Inspection. Al igual que con DHCP Snooping,
solo los puertos conectados a servidores o dispositivos confiables deben configurarse
como confiables.
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# ip arp inspection trust
Switch(config-if)# exit
Al implementar estos pasos, el switch estará protegido contra ataques comunes de DHCP,
como rogue DHCP y DHCP starvation. DHCP Snooping actúa como una defensa en primera
línea al diferenciar los puertos de confianza y los de acceso en la red, asegurando que solo el
servidor DHCP legítimo pueda asignar direcciones IP. Esto fortalece la seguridad de la red y
previene problemas de conectividad causados por dispositivos no autorizados.
