Consulta sobre seguridad de servidores dhcp.

12/10/2007 - 05:14 por MCP Steven Rodriguez Zapata. | Informe spam
Hi Support.

Estoy actualmente estudiando el material del mva "Servicios Básicos de
Redes", y me encontre con estó.

Detección de servidores DHCP no autorizados mediante la integración con
Active Directory®
Si se inicia un servidor DHCP en la red involuntariamente pueden producirse
diferentes problemas en ella. Para evitar que se produzca esta situación,
Windows 2000 Server y la familia de Windows Server 2003 proporcionan un
método de autorización para servidores DHCP, así como medios para detectar y
apagar servidores no autorizados.
Cuando un servidor DHCP que es miembro de un dominio y utiliza Windows 2000
o Windows Server 2003 intenta iniciar una sesión en la red, se consulta a
Active Directory y se compara su dirección IP con la lista de servidores DHCP
autorizados. Si se encuentra una coincidencia, se autoriza al equipo servidor
como servidor DHCP.


La pregunta es:

Digamos que una persona malintensionada de la empresa logra conectarse a la
red y logra crear un servidor Windows server 2003 con dhcp y el servidor
tiene un nombre y direccion IP de un servidor autorizado dentro de la empresa
que el logro octener maliciosamente. El servidor de la empresa que se ejecuta
como active directory autorizará al equipo servidor como servidor DHCP?

peinso que es una gran brecha de seguridad de ser asi. y como solución seria
bueno que los servidores dhcp tengan SID de equipo, ya que si el servidor que
funciona como active directory puede autoriar a un servidor solamente con
comparar si ese servidor intruso tiene una dirección IP y ya!! lo autoriza
como servidor dhcp?.

Espero que me hayas entendido, y me ayudes a entender un poco mas esta
pequeña idea que me maquino en el cerebro, y tambien si es asi como se puede
evitar, independiente de la recomendación de no dejar que una persona
malintencionada entre en la red, que otra? para evitar estó.


Thank you very much.
 

Leer las respuestas

#1 MTahl
12/10/2007 - 18:40 | Informe spam
La pregunta es:

Digamos que una persona malintensionada de la empresa logra conectarse a
la
red y logra crear un servidor Windows server 2003 con dhcp y el servidor
tiene un nombre y direccion IP de un servidor autorizado dentro de la
empresa
que el logro octener maliciosamente. El servidor de la empresa que se
ejecuta
como active directory autorizará al equipo servidor como servidor DHCP?



No es necesario que un equipo sea miembro del dominio para usar DHCP.
Mientras tengas acceso a la red y conectes cualquier cosa que tenga un
servidor DHCP, ya tienes un problema.

peinso que es una gran brecha de seguridad de ser asi. y como solución
seria
bueno que los servidores dhcp tengan SID de equipo, ya que si el servidor
que
funciona como active directory puede autoriar a un servidor solamente con
comparar si ese servidor intruso tiene una dirección IP y ya!! lo autoriza
como servidor dhcp?.



Y desde cuando un equipo no tiene SID ? que yo sepa, todos lo tienen. Eso de
la "brecha de seguridad" es una afirmacion muy a la ligera. Ten en cuenta
ademas que estariamos en un escenario de denegacion de servicio y nunca en
un escenario en el que se podrian ver comprometidos los equipos.
Si por ejemplo usas OWA y no utilizas SSL, podriamos decir que no es una
bueba practica, pero, lo es por como has realizado la implementacion. Si no
usas SSL, es tu problema, no es OWA el que tienen una "brecha de seguridad".

Espero que me hayas entendido, y me ayudes a entender un poco mas esta
pequeña idea que me maquino en el cerebro, y tambien si es asi como se
puede
evitar, independiente de la recomendación de no dejar que una persona
malintencionada entre en la red, que otra? para evitar estó.



No es necesario reinventar la rueda. Si utilizas autentificacion 802.1x en
los switches, tienes control sobre todos los dispositivos que se pueden
conectar a la red. Ningun equipo que previamente no se autentifique puede
conectarse a la red.
http://www.microsoft.com/downloads/...x?familyidÙaef757-f528-41be-a01f-99a60c9a855d&displaylang=en

Lo de autorizar un servidor DHCP en AD no sirve de mucho desde esta
perspectiva, bueno, no sirve de nada. Si no podemos controlar los puntos de
acceso a la red, solo nos queda monitorizar el posible uso de servidores
DHCP no autorizados. Como ?
Con herramientas especificas para ello:
http://www.networksecurityhome.com/...overy.html
O mejor aun: con sistemas IDS. No es nada complicado, por poner un ejemplo,
crear una regla en Snort que alerte de trafico DHCP que no proviene de
servidores autorizados.
Esos metodos no es que eliminen el problema, pero al menos, vas a poder
detectarlo y poner los medios para solucionarlo.

Saludos.

Preguntas similares