martes, 24 de diciembre de 2019

Seguridad en el protocolo DHCP

El servicio de DHCP es aquel que permite asignar direcciones de red IPv4 o IPv6 de forma automatizada, este es un servicio critico en cualquier organización y debe protegerse de forma adecuada. Una suplantación de identidad de este servicio podría configurar los adaptadores de red de los equipos de forma que facilitaría otros ataques conocidos y la posibilidad de interceptar la información enviada o recibida por dichos equipos.
El problema con el protocolo DHCP es el mismo que comparten otros servicios y protocolos de comunicación, se diseñaron pensando en funcionar de forma eficiente dentro de un entorno seguro, en muchos casos la Red Local de una organización.
Microsoft proporciona una serie de tecnologías que permiten implementar mejoras en la seguridad de un entorno que utilice asignación de direcciones mediante DHCP.

Autorización de Servidores DHCP
El servicio DHCP requiere autorización dentro de una infraestructura de Directorio Activo, si un servidor que forma parte de un Dominio de Microsoft instala el rol de DHCP necesita autorización de una cuenta con privilegios en Active Directory para iniciar el Servicio DHCP.


DHCP Cluster
Windows Server 2016 permite configurar un Clúster de Servidores DHCP, al utilizar dos o más servidores se evita la pérdida del servicio por la “caída” de uno de los equipos, gracias al Clúster se mantiene la totalidad del Pool de direcciones disponibles, además la característica DHCP Clúster permite optimizar las Cargas de trabajo entre los Servidores que componen el Clúster.

Protección de Nombres DNS en DHCP
El servicio de DHCP permite asociar identificadores del servidor DHCP a los registros DNS que se crean en las actualizaciones de los registros de equipo que reciben la configuración del adaptador de red con DHCP, utilizando este ID se puede proteger la suplantación de nombres en las Zonas DNS por parte de un equipo que no disponga de este identificador de DHCP y trate de suplantar el registro del nombre de equipo en el DNS.


El Uso de Credenciales para las actualizaciones dinámicas de los registros DNS desde el Servidor de DHCP es otra medida de seguridad que es interesante configurar


Habilitar DHCP Guard
En los entornos virtualizados se puede habilitar DHCP Guard, esta medida evita que las máquinas virtuales suplanten servidores DHCP, el servidor descartara todo el tráfico DHCP de Servidores no autorizados. LA configuración de esta característica es muy sencilla, tanto desde el entorno gráfico de la consola de administración de Hyper-V en características avanzadas del Adaptador de Red como por línea de comandos con Windows PowerShell como se aprecia en la siguiente imagen.


El Servicio de DHCP es indispensable para cualquier organización, una correcta administración de este servicio permite incrementar la seguridad de toda la Red y otros servicios relacionados como DNS. Además los registros de la actividad de DHCP pueden ayudar a detectar intrusiones y accesos no autorizados a la red.

Otros dispositivos de red como Routers o Switch deben ser configurados para completar la seguridad de la Red y el servicio de DHCP en este excelente artículo de Borja Merino se explica con detalle:

Defensas frente a ataques DHCP by Borja Merino

Estáis interesados en la protección de infraestructuras con tecnología de Microsoft apuntaros a nuestro curso HCHSW Hardening de Servidores Windows en TSS.

Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert y Autor del libro Windows Server 2016: Administración, seguridad y operaciones. Editorial 0xWord

Seguridad a lo Jabalí para Todos!!

No hay comentarios:

Publicar un comentario

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias