Descubriendo qué es el DHCP Spoofing (suplantación de DHCP, en español), por qué es peligroso y qué medidas tomar para proteger la seguridad de tu red.
El spoofing es una amenaza cada vez más insidiosa en el panorama informático actual. En este artículo profundizaremos en una variante específica de spoofing que ataca el protocolo DHCP, ampliamente utilizado en redes de cualquier tamaño. Se trata del DHCP Spoofing, un ataque que puede comprometer la seguridad de tu red. Veremos en detalle en qué consiste, por qué representa un riesgo significativo y qué medidas adoptar para protegerte.
El DHCP y el proceso DORA
DHCP (Dynamic Host Configuration Protocol) es un protocolo usado para asignar dinámicamente una dirección IP a los clientes de una red, junto con otros parámetros de configuración, como:
- Dirección DNS, necesaria para la resolución de nombres de dominio;
- Máscara de subred, para definir el rango del direccionamiento IP local;
- Gateway predeterminado, que funciona como punto de acceso a la red externa;
La asignación de una dirección IP se realiza a través de un proceso dividido en cuatro fases, conocido como DORA (Discover, Offer, Request, Acknowledgment), que implica el intercambio de mensajes específicos entre el cliente y el servidor DHCP:
- DHCP Discover: El cliente envía un mensaje de búsqueda para encontrar un servidor DHCP disponible. Esta solicitud incluye su dirección MAC, que permite al servidor identificar el dispositivo.
- DHCP Offer: El servidor DHCP responde ofreciendo una dirección IP elegida de un grupo de direcciones disponibles.
- DHCP Request: El cliente acepta la oferta y envía un mensaje de solicitud para confirmar el uso de la dirección IP propuesta.
- DHCP Acknowledgement (Ack): El servidor confirma la asignación de la dirección IP y envía los otros parámetros de red al cliente.
La dirección IP asignada no es permanente, sino que tiene una duración limitada, definida por el DHCP lease time. Al finalizar este intervalo, el cliente debe solicitar la renovación para continuar usando la misma dirección IP, evitando así tener que obtener una nueva.
¿Cómo se perpetra el DHCP Spoofing?
Aunque el DHCP permite una configuración rápida y automática de los hosts de red, presenta algunas vulnerabilidades serias. En primer lugar, el protocolo no incluye ninguna forma de autenticación, haciendo imposible verificar la identidad de las partes involucradas. Además, el intercambio de mensajes entre el cliente y el servidor DHCP ocurre completamente en broadcast. Esto significa que cualquier dispositivo conectado a la red puede interceptar y, potencialmente, manipular las comunicaciones.
Estas debilidades pueden ser explotadas para llevar a cabo un ataque de DHCP Spoofing.
Mecanismo de ataque
Un cibercriminal introduce en la red un servidor DHCP malicioso, diseñado para interceptar las solicitudes de configuración enviadas por los clientes. El objetivo es responder más rápido que el servidor DHCP legítimo, engañando a los dispositivos para que acepten parámetros de red alterados.
Una vez que los clientes establecen la conexión con el servidor malicioso, el atacante puede transmitir configuraciones fraudulentas para manipular el tráfico de red. Este escenario lleva a un ataque de tipo Man-in-the-Middle (MitM), en el que el criminal tiene el control de las comunicaciones de los dispositivos comprometidos y puede ejecutar acciones ilícitas, incluyendo:
- Robo de datos sensibles, como credenciales de acceso;
- Redireccionamiento del tráfico, potencialmente hacia sitios de phishing y servidores C2 (Command & Control);
Para aumentar las probabilidades de éxito, los atacantes a menudo combinan el DHCP spoofing con otro ataque, conocido como DHCP Starvation. Este método implica el envío masivo de solicitudes DHCP con direcciones MAC falsificadas, causando la asignación de todas las direcciones IP disponibles. El resultado es que el servidor DHCP legítimo agota su grupo de direcciones, impidiendo que los nuevos clientes obtengan una configuración válida y forzándolos a conectarse al servidor malicioso del atacante.
Estrategias defensivas contra el DHCP Spoofing
El DHCP Spoofing o suplantación de DHCP representa una amenaza seria para la seguridad de las infraestructuras de red. Por eso, es fundamental adoptar medidas de protección eficaces para mitigar los riesgos.
Algunas prácticas recomendadas:
- Implementar DHCP Snooping: Esta funcionalidad de seguridad se puede habilitar en los switches de red para prevenir ataques basados en DHCP. Usa una tabla de enlace para almacenar los hosts legítimos y sus configuraciones de red. De este modo, las solicitudes DHCP provenientes de dispositivos no autorizados son bloqueadas, impidiendo la asignación de direcciones IP fraudulentas.
- Utilizar configuraciones de seguridad de puertos: Las configuraciones de seguridad de puertos permiten asociar la dirección MAC del servidor DHCP a un puerto específico del switch, limitando el número de dispositivos que pueden conectarse a la red a través de ese puerto. Esto ayuda a prevenir ataques como el DHCP Starvation, ya que se limita el uso de direcciones MAC falsificadas por parte de los atacantes.
- Adoptar la segmentación VLAN: El uso de VLAN (Virtual Local Area Network) en combinación con DHCP Snooping permite segmentar la red y controlar más eficazmente las comunicaciones entre los hosts. Al separar los dispositivos en grupos aislados, se reduce el riesgo de ataques laterales y se limita la superficie de ataque disponible para un posible agresor.
- Confiar en profesionales de ciberseguridad: Para una protección avanzada, es recomendable recurrir a expertos del sector.
