DHCP
¿Qué es DHCP?
DHCPProtocolo basado en UDP (RFC 2131, puertos 67/68) que asigna automáticamente direcciones IP y parámetros de red a los clientes que se conectan.
El Dynamic Host Configuration Protocol, especificado en la RFC 2131 para IPv4 y en la RFC 8415 para IPv6 (DHCPv6), automatiza la asignación de direcciones IP y la distribución de parámetros de red como máscara de subred, puerta de enlace, servidores DNS, NTP u opciones de arranque PXE. El intercambio clásico es DORA: Discover, Offer, Request, Acknowledge sobre UDP en los puertos 67 (servidor) y 68 (cliente). Como el protocolo original no autentica, servidores DHCP maliciosos en la LAN pueden entregar valores de puerta de enlace o DNS controlados por el atacante (rogue DHCP). Las mitigaciones incluyen DHCP snooping en los switches, port-security, IP source guard, dynamic ARP inspection y control de admisión 802.1X.
● Ejemplos
- 01
Un portátil que se conecta al Wi-Fi recibe 192.168.1.45/24, gateway 192.168.1.1 y DNS 1.1.1.1 del punto de acceso.
- 02
Un atacante conecta un servidor DHCP fraudulento que dirige a las víctimas a un resolver DNS malicioso.
● Preguntas frecuentes
¿Qué es DHCP?
Protocolo basado en UDP (RFC 2131, puertos 67/68) que asigna automáticamente direcciones IP y parámetros de red a los clientes que se conectan. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa DHCP?
Protocolo basado en UDP (RFC 2131, puertos 67/68) que asigna automáticamente direcciones IP y parámetros de red a los clientes que se conectan.
¿Cómo funciona DHCP?
El Dynamic Host Configuration Protocol, especificado en la RFC 2131 para IPv4 y en la RFC 8415 para IPv6 (DHCPv6), automatiza la asignación de direcciones IP y la distribución de parámetros de red como máscara de subred, puerta de enlace, servidores DNS, NTP u opciones de arranque PXE. El intercambio clásico es DORA: Discover, Offer, Request, Acknowledge sobre UDP en los puertos 67 (servidor) y 68 (cliente). Como el protocolo original no autentica, servidores DHCP maliciosos en la LAN pueden entregar valores de puerta de enlace o DNS controlados por el atacante (rogue DHCP). Las mitigaciones incluyen DHCP snooping en los switches, port-security, IP source guard, dynamic ARP inspection y control de admisión 802.1X.
¿Cómo defenderse de DHCP?
Las defensas contra DHCP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para DHCP?
Nombres alternativos comunes: Protocolo de configuración dinámica de host.
● Términos relacionados
- network-security№ 553
Dirección IP
Identificador numérico asignado a una interfaz de red para el enrutamiento en redes IP: 32 bits en IPv4 (RFC 791) o 128 bits en IPv6 (RFC 8200).
- network-security№ 1113
Subred
Rango contiguo de direcciones IP que comparten un prefijo común y definen un único dominio de difusión y un límite de enrutamiento en la red.
- network-security№ 1188
UDP
Protocolo de transporte sin conexión (RFC 768) que entrega datagramas individuales entre puertos con muy poca sobrecarga, sin garantías de fiabilidad ni orden.
- network-security№ 061
ARP
Protocolo de capa de enlace (RFC 826) que asocia una dirección IPv4 con la dirección MAC de un host del mismo dominio de difusión para poder entregar tramas.
- network-security№ 1206
VLAN
Una LAN virtual (IEEE 802.1Q) agrupa puertos de switch en dominios de difusión separados etiquetando las tramas Ethernet con un VLAN ID de 12 bits.
- attacks№ 343
Suplantación de DNS
Ataque que inyecta respuestas DNS falsificadas para redirigir a las víctimas de un dominio legítimo a una IP controlada por el atacante.