El DHCP Snooping es una característica de routers y switches que provee seguridad filtrando los mensajes DHCP "no confiables" y construyendo y manteniendo una tabla de asociaciones DHCP Snooping.

Un mensaje "no confiable" es un mensaje que es recibido desde fuera de la red o del firewall y que puede ser parte de un ataque contra tu red.

La tabla de asociaciones DHCP Snooping contiene las direcciones MAC, direcciones IP, tiempo de concesión, tipo de asociación, número de VLAN e interfaz que corresponde a las interfaces locales "no confiables" de un switch, no contiene información de los hosts conectados a una interfaz "confiable".

En términos de seguridad una interfaz "no confiable" es una interfaz que está configurada para recibir mensajes desde fuera de la red local o actúa como un firewall. Una interfaz "confiable" es una interfaz configurada para recibir solamente mensajes desde dentro de la red.

Analizando el diagrama en MikroTik lo podemos configurar de la siguiente manera:

PASO 1:
SW1 y SW2 son dispositivos habilitados para DHCP snooping y la opción 82. Primero, debemos crear un puente, asignar interfaces y marcar puertos de confianza. Utilice estos comandos en SW1 :

/interface bridge
add name=bridge
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2 trusted=yes

PASO 2:
La configuración de SW2 será similar, pero también debemos marcar ether1 como confiable, ya que esta interfaz va a recibir mensajes DHCP con la opción 82 ya agregada. Debe marcar todos los puertos como confiables si van a recibir mensajes DHCP con la opción 82 agregada, de lo contrario estos mensajes se eliminarán. Además, agregamos ether3 al mismo puente y dejamos este puerto sin confianza, imagine que hay un servidor DHCP no autorizado. Utilice estos comandos en SW2 :

/interface bridge
add name=bridge
/interface bridge port
add bridge=bridge interface=ether1 trusted=yes
add bridge=bridge interface=ether2 trusted=yes
add bridge=bridge interface=ether3

PASO 3:
Luego debemos habilitar DHCP snooping y la Opción 82. En caso de que su servidor DHCP no sea compatible con la opción 82 de DHCP o si no implementa ninguna política relacionada con la Opción 82, esta opción se puede desactivar. Use estos comandos en SW1 y SW2 :

/interface bridge
set [find where name="bridge"] dhcp-snooping=yes add-dhcp-option82=yes

Ahora ambos dispositivos analizarán qué mensajes DHCP se reciben en los puertos del puente. El SW1 es responsable de agregar y eliminar la opción 82 de DHCP. El SW2 limitará la forma del servidor DHCP fraudulento que recibe cualquier mensaje de descubrimiento y eliminará los mensajes malintencionados del servidor DHCP de ether3.

¿Encontró su respuesta?