Servidor DHCP no autorizado
¿Qué es Servidor DHCP no autorizado?
Servidor DHCP no autorizadoServidor DHCP no autorizado conectado a la red que entrega configuraciones IP a los clientes, redirigiendo intencional o accidentalmente el tráfico a infraestructura del atacante.
Un servidor DHCP rogue es cualquier servicio DHCP que opera en una red sin autorización. Puede ser malicioso (una Raspberry Pi en una sala de reuniones, una VM en un host comprometido, o un router casero) o un dispositivo mal configurado. Como los clientes aceptan el primer DHCPOFFER, el servidor rogue puede dictar gateway, DNS, NTP, WPAD y otras opciones, habilitando MITM, secuestro DNS y captura de credenciales. Suele ser la segunda fase tras un starvation DHCP. Defensas: DHCP snooping con puerto confiable para el servidor legítimo, RA Guard para IPv6, control de acceso a la red (802.1X) antes de todo tráfico DHCP, y escaneos continuos de la red para detectar respondedores DHCP inesperados.
● Ejemplos
- 01
Raspberry Pi colocada con dnsmasq como DHCP y DNS para hacer MITM al tráfico corporativo.
- 02
Router doméstico conectado a una toma de oficina anunciándose como servidor DHCP.
● Preguntas frecuentes
¿Qué es Servidor DHCP no autorizado?
Servidor DHCP no autorizado conectado a la red que entrega configuraciones IP a los clientes, redirigiendo intencional o accidentalmente el tráfico a infraestructura del atacante. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Servidor DHCP no autorizado?
Servidor DHCP no autorizado conectado a la red que entrega configuraciones IP a los clientes, redirigiendo intencional o accidentalmente el tráfico a infraestructura del atacante.
¿Cómo funciona Servidor DHCP no autorizado?
Un servidor DHCP rogue es cualquier servicio DHCP que opera en una red sin autorización. Puede ser malicioso (una Raspberry Pi en una sala de reuniones, una VM en un host comprometido, o un router casero) o un dispositivo mal configurado. Como los clientes aceptan el primer DHCPOFFER, el servidor rogue puede dictar gateway, DNS, NTP, WPAD y otras opciones, habilitando MITM, secuestro DNS y captura de credenciales. Suele ser la segunda fase tras un starvation DHCP. Defensas: DHCP snooping con puerto confiable para el servidor legítimo, RA Guard para IPv6, control de acceso a la red (802.1X) antes de todo tráfico DHCP, y escaneos continuos de la red para detectar respondedores DHCP inesperados.
¿Cómo defenderse de Servidor DHCP no autorizado?
Las defensas contra Servidor DHCP no autorizado combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Servidor DHCP no autorizado?
Nombres alternativos comunes: Servidor DHCP malicioso, DHCP no autorizado.
● Términos relacionados
- attacks№ 312
Suplantación de DHCP
Ataque en el que un adversario responde a peticiones DHCP con ofertas falsificadas para imponer un gateway, DNS u otras opciones maliciosas a los clientes víctima.
- attacks№ 313
Starvation de DHCP
Ataque de denegación de servicio de capa 2 que inunda un servidor DHCP con peticiones DISCOVER falsas usando MAC suplantadas hasta agotar su pool de direcciones.
- attacks№ 062
Suplantación ARP
Ataque en la red local que envía mensajes ARP falsificados para asociar la MAC del atacante con la IP de otro host y desviar el tráfico.
- attacks№ 343
Suplantación de DNS
Ataque que inyecta respuestas DNS falsificadas para redirigir a las víctimas de un dominio legítimo a una IP controlada por el atacante.
- attacks№ 1207
VLAN hopping
Ataque a switches que permite a un host enviar o recibir tramas en una VLAN a la que no debería pertenecer, abusando de la negociación de trunking o del doble etiquetado 802.1Q.
● Véase también
- № 363Ataque DTP
- № 492Ataque HSRP / VRRP