it-swarm-es.com

DHCP frente a direccionamiento IP estático

¿Cómo se comparan el DHCP y el direccionamiento IP estático, desde un punto de vista de seguridad? ¿Cuáles son los riesgos/beneficios asociados con cada uno?

Sé que la solución preferida entre los dos variará con el tamaño y el diseño de la red, pero solo estoy buscando una explicación más general de cómo se comparan.

Responda solo desde un punto de vista de seguridad, sin tener en cuenta temas como los gastos generales de la red y los costos de infraestructura, a menos que afecten directa y significativamente la confidencialidad, integridad o disponibilidad del sistema.

20
Iszi

Las ofertas de DHCP filtran información sobre una red. Las opciones contenidas revelan ciertos detalles sobre el diseño y la infraestructura de la red, que es lo que DHCP está diseñado para hacer. La asignación estática no ofrece ninguno de estos detalles.

La amenaza aquí es la conexión no autorizada a la red. Puede ser un dispositivo que se conecta a un conector de red en vivo o un cliente inalámbrico que obtiene acceso a una WLAN. Una vez que la conexión no autorizada ha tenido lugar, la capacidad del atacante para hacer algo una vez que se ha conectado es donde entra en juego DHCP vs. Static.

DHCP con registro MAC es el modelo DHCP más robusto. No ofrece direcciones a ningún MAC del que no se le haya informado, por lo que en teoría no se ofrecerá información a los dispositivos no autorizados. Lo mismo es cierto para la asignación estática, no hay servidor para pedir direccionamiento.

DHCP sin registro de MAC permitirá que dispositivos no autorizados consuman una dirección IP.

El registro MAC requiere que todos los dispositivos nuevos de cualquier tipo se registren con el sistema DHCP, lo que puede aumentar significativamente el tiempo que tarda un nuevo dispositivo en funcionar. No todos los dispositivos de red tienen su MAC publicado donde pueden leerse fácilmente, por lo que algunos dispositivos Edge-case pueden requerir algunas pruebas de banco para descubrir qué MAC están usando. Plug-and-go no funcionará (¡por diseño!). Además, si los dispositivos existentes tienen sus tarjetas de red intercambiadas por algún motivo, los técnicos deberán recordar volver a registrar el nuevo MAC. El registro de MACs antiguas es un paso crítico de este proceso, y a menudo se pierde hasta que se llena un alcance de DHCP.

Hay un par de ataques que hacen que DHCP con registro MAC sea menos útil. Si un atacante puede colocar un puente entre un dispositivo autorizado y su puerto de red (como una computadora portátil con dos NIC), puede descubrir la dirección MAC de ese dispositivo de manera muy simple. Cualquier tráfico monitoreado de esta manera revelará la dirección MAC del dispositivo autorizado. La mayoría de las tarjetas de red permiten cambiar la dirección MAC, por lo que todo lo que el atacante tiene que hacer es cambiar la MAC en una de sus NIC, desconectar el dispositivo autorizado, conectar su dispositivo numerado nuevamente y obtener acceso a una MAC registrada.

En la conexión inalámbrica, una vez que un atacante ha entrado con éxito en una WLAN hasta el punto de poder monitorear las ondas de radio; Obtener información MAC es igualmente fácil.

La defensa para esto es el control de acceso a la red. Para comunicarse con la red, el dispositivo conectado debe poder autenticarse a nivel de máquina. Esto defiende contra dispositivos no autorizados que se conectan a una red, ya que evita que se produzca una conversación de red significativa. En el escenario anterior, se negaría el acceso al dispositivo del atacante. No todos los dispositivos PUEDEN usar NAC, especialmente las impresoras conectadas a la red, por lo que un atacante puede enfocarse en esos dispositivos, lo que significa que los eventos de desconexión de la red deben monitorearse en esos puertos.

21
sysadmin1138

En general, en un entorno configurado correctamente, esta opción no afectará demasiado su seguridad. Dicho esto, DHCP puede tener algunos agujeros que vale la pena considerar.

Con DHCP (suponiendo que solo esté entregando direcciones a clientes conocidos) una máquina desconocida que salta a la red no recibirá una dirección. Ahora, si está entregando contratos de arrendamiento a cualquier máquina que se conecta, está abriendo un problema de seguridad, pero la respuesta es "¡No haga eso!".
Teóricamente alguien podría conectarse a la red y buscar mensajes de difusión, para tener una idea de cómo se ve su red (servidores DNS, enrutadores, tal vez alguna información filtrada basada en ID de clientes DHCP y los rangos de IP que obtienen asignado a), pero si las personas se conectan a su red (teóricamente segura), tendrá que freír peces más grandes.

Con direcciones estáticas y sin servidor DHCP, hay menos pérdida de información natural (el enrutador y la información DNS no se entregarán, y tampoco habrá ninguna ID de cliente DHCP para filtrar información). Sin embargo, incluso en este caso, si un atacante ingresa a su red, puede sentarse tranquilamente olfateando el tráfico hasta que obtengan la misma información que habrían obtenido de las transmisiones DHCP: les llevará más tiempo y será más difícil, pero Aún es posible.


Idealmente, debería estar desactivando los puertos de red no utilizados, asegurando cualquier conexión inalámbrica que tenga con WPA de buena calidad y probablemente haciendo el filtrado de direcciones MAC en sus interruptores de acceso y puntos de acceso inalámbrico: si está haciendo todo eso, proporciona una barrera sustancial para alguien logra ingresar a su red y ayuda a mitigar cualquier fuga de información que puedan obtener de DHCP (o sentarse y oler) al poner otro obstáculo entre ellos y la parte más vulnerable de su red.

10
voretaq7

Un desafío con las direcciones IP asignadas dinámicamente es que esto puede dificultar un poco la creación de reglas de firewall. A menudo, las reglas de firewall se crean utilizando direcciones IP codificadas para los hosts con los que se va a comunicar. Si esos hosts tienen una IP dinámica, entonces es más difícil codificar una política de firewall segura para ellos.

(La razón por la que generalmente es más seguro usar direcciones IP codificadas en su política de firewall, en lugar de un nombre de host DNS, es de esta manera que la seguridad de su firewall no es vulnerable a la suplantación de DNS, el secuestro de DNS u otros ataques DNS).

5
D.W.

Otro problema de seguridad que aún no se menciona aquí es la posibilidad de ataques de hombre en el medio.

Si un atacante implementa un servidor DHCP falso, puede convertirse esencialmente en la puerta de enlace, tanto para la comunicación a la intranet como a Internet.

La mitigación para este tipo de ataque depende del hardware utilizado en la infraestructura. Si su hardware admite reglas de bloqueo pr. puerto, rechazando paquetes con el puerto fuente 67.

De lo contrario, escuchar pasivamente los servidores DHCP rouge en la red también es una opción.

4
Dog eat cat world