Gracias: 
Me agrada: 
Me desagrada: 
Mitigar Rogue DHCP Server mediante el uso de VLAN
Como dijimos anteriormente, otra medida que podemos emplear es migrar nuestra red LAN a VLAN, de esa forma podemos aislar los mensajes de un DHCP intruso y evitar que se propaguen por medio de la red.
Debemos tener en cuenta que en los equipos de red, todas las interfaces se comunican con la VLAN1 por defecto. Por consiguiente, al no manejar una administración de las VLAN permitidas y los puertos del switch, cualquier intruso puede mandar sus mensajes por la VLAN1.
A continuación, presentamos un diagrama en donde utilizaremos un switch planet como administrador de las VLAN.
Si mantenemos el switch planet con a configuración por defecto, es decir, sin el uso de VLAN, el Rogue DHCP puede enviar mensajes por nuestra red e incluso nosotros podemos capturar una de estas ip al hacer un simple DHCP Client.
¿Por qué recibimos una ip por la ether3?
Como mencionamos anteriormente, la VLAN1 esta por defecto asignada en todos los puertos de los equipos de red. El intruso puede mandar las ip de su red LAN y nuestra interfaces ethernet las recibirán al no haber un control en la red.
¿Cómo podemos migrar a VLAN?
Al configurar nuestro switch de forma administrable, podemos colocar los puertos de nuestros clientes en modo acceso, de esta forma, permitimos el paso de nuestra VLAN sobre la que asignamos el servidor DHCP, mientras que las que provengan de algún nodo de los clientes quedaran aisladas, ya que estas se estarán enviando bajo la VLAN1.
1Migrar la red a VLAN es sencillo, para esto tenemos que crear una VLAN sobre la interfaz que conecta hacia nuestro switch. De esta forma la red se estará enviando con la etiqueta VLAN en lugar de la interfaz ethernet.
2Asignamos el segmento LAN 192.168.30.0/24 a nuestra VLAN100.
3Colocamos el servidor DHCP sobre nuestra interfaz VLAN100.
Ingresamos al switch planet
1Creamos la VLAN 100 dentro de nuestro switch
GSD-1002M(config)# vlan 100
GSD-1002M(config-vlan)# name INTERNET
GSD-1002M(config-vlan)# exit
2Asignamos la vlan sobre la interfaz gi1 que conecta hacia el servidor, esta debe estar como modo trunk.
GSD-1002M(config)# int gi1
GSD-1002M(config-if)# switchport mode trunk
GSD-1002M(config-if)# switchport trunk allowed vlan add 100
3Colocamos nuestras interfaces gi3 y gi7 en modo acceso para la vlan100. Estas interfaces serán los equipos de nuestros clientes.
En este punto es donde evitamos el Rogue DHCP Server. Tengamos en cuenta que al no usar VLAN, los mensajes DHCP del intruso los podemos recibir porque se envían a través de la VLAN1.
Ahora al cambiar el modo de administración de puerto a acceso, la comunicación esta establecida por la VLAN100 de nuestro servidor, mientras que los mensajes intruso no se pueden propagar a los nodos de otros clientes.
GSD-1002M(config)# int gi7
GSD-1002M(config-if)# switchport mode access
GSD-1002M(config-if)# switchport access vlan 100
GSD-1002M(config-if)# exit
GSD-1002M(config)# int gi3
GSD-1002M(config-if)# switchport mode access
GSD-1002M(config-if)# switchport access vlan 100
Ahora, si intentamos hacer un cliente dhcp nuevamente en nuestra interfaz ether3, observamos que ya no recibe direccionamiento dado que hemos aislado al Rogue DHCP Server.
Nuestra comunicación solo puede recibir los mensajes que vengan de la VLAN100 del enlace troncal, las demás como VLAN1 en el puerto de acceso no podrán comunicarse.
Citar