Análisis Profundo del Protocolo DHCP

Conceptos Clave, Ciclo de Comunicación y Ciberseguridad

1. Ciclo de Comunicación DHCP: DORA y Mensajes Auxiliares

El proceso de asignación de una dirección IP se articula mediante el intercambio de cuatro mensajes clave, conocido como el ciclo DORA, seguido de mensajes de control para manejo de errores y liberación.

DHCPDISCOVER (Cliente)

Mensaje de difusión (`broadcast`) enviado por el cliente para localizar y buscar servidores DHCP activos en la red. El cliente aún no tiene dirección IP.

DHCPOFFER (Servidor)

El servidor DHCP responde con una oferta de dirección IP disponible y otros parámetros de configuración (máscara, gateway, tiempo de concesión).

DHCPREQUEST (Cliente)

El cliente acepta la oferta o solicita la renovación de una concesión existente. Si acepta una oferta de un servidor, implícitamente rechaza las demás.

DHCPACK (Servidor)

Mensaje de confirmación final. El servidor envía los parámetros de red definitivos, cierra el ciclo y el cliente comienza a usar la dirección IP.

Mensajes de Control (Error/Liberación)

  • DHCPDECLINE: El cliente informa que la dirección IP ofrecida ya está en uso por otro dispositivo.
  • DHCPNACK: El servidor indica al cliente que la dirección IP solicitada no es válida para el ámbito o ya ha caducado.
  • DHCPRELEASE: El cliente informa al servidor que ha terminado de usar la dirección IP asignada, liberándola inmediatamente para que pueda ser reasignada.

2. Gestión de Direcciones y Concesiones

Métodos de Asignación de Direcciones IP

Dinámica: Asignación temporal de IP por un tiempo limitado (Lease Time). Usado en la mayoría de las redes, ideal para dispositivos móviles o invitados.

Automática: Asignación permanente de IP en el primer contacto. El cliente siempre recibe la misma IP, pero la asignación sigue siendo automática (sin intervención manual directa del administrador por IP/MAC).

Manual (Estática): El administrador asocia una IP específica a una dirección MAC en el servidor. Ideal para servidores, impresoras de red o cualquier dispositivo que requiera una IP fija conocida.

Tiempo de Concesión (Lease Time)

Es el periodo durante el cual el cliente tiene derecho a usar la dirección IP. El cliente intenta renovar la concesión cuando ha transcurrido el 50% del tiempo total.

  • Concesión Corta: Favorece la movilidad y la eficiencia en el uso de direcciones (se recuperan rápido), pero genera más tráfico DHCP (más solicitudes de renovación/asignación).
  • Concesión Larga: Reduce la sobrecarga de red (menos tráfico DHCP), pero aumenta el riesgo de agotamiento de direcciones IP si hay mucha rotación de dispositivos.

Reservas y Exclusiones

  • Reservas: Asignan una dirección IP dentro del pool a una MAC específica (Asignación Manual) para garantizar que dicho dispositivo siempre reciba esa IP.
  • Exclusiones: Direcciones IP dentro del rango del ámbito que el servidor nunca asignará automáticamente, típicamente reservadas para dispositivos configurados estáticamente fuera del DHCP.

3. Vulnerabilidades y Mitigación de Ataques

Ataques Comunes

Agotamiento de DHCP (DHCP Starvation): Un atacante satura el servidor DHCP con peticiones falsas (usando diferentes direcciones MAC falsificadas) hasta consumir todas las direcciones IP disponibles en el pool. Esto resulta en un ataque de denegación de servicio (DoS) para nuevos clientes legítimos.

Suplantación de Identidad de DHCP (DHCP Spoofing/Rogue Server): El atacante instala un servidor DHCP falso. Los clientes lo contactan y este servidor malicioso les ofrece direcciones IP no válidas o configura parámetros de red para forzar el uso de un gateway (Man-in-the-Middle) o servidores DNS/WINS controlados por el atacante.

El agotamiento a menudo precede a la suplantación: un atacante satura el servidor legítimo (Starvation) para garantizar que los nuevos clientes solo puedan recibir una respuesta (un DHCPOFFER malicioso) de su servidor DHCP falso (Spoofing).

Mitigación: DHCP Snooping

El DHCP Snooping es un mecanismo de seguridad implementado típicamente en switches gestionados (capa 2) que protege la red contra ataques de agotamiento y suplantación.

  • Tabla de Vinculación: Crea y mantiene una tabla de vinculación (binding table) de IP, MAC, Puerto para mensajes DHCPACK válidos.
  • Confianza de Puertos: Clasifica los puertos del switch como **confiables** (donde se conecta el servidor DHCP legítimo) o **no confiables** (donde se conectan los clientes).
  • Filtrado: Descarta automáticamente mensajes DHCPOFFER o DHCPACK provenientes de puertos no confiables (evitando Spoofing) y limita el número de DHCPDISCOVER por puerto (mitigando Starvation).
  • Opción 82: Se utiliza para agentes de retransmisión DHCP, añadiendo información sobre el puerto físico y el VLAN del cliente, lo que mejora la traza y la validación en entornos complejos.

4. Diferencias Clave entre DHCPv4 y DHCPv6

Aunque ambos cumplen la misma función, DHCP para IPv4 (DHCPv4) y DHCP para IPv6 (DHCPv6) operan con diferencias fundamentales en su modelo de administración y la información que proporcionan.

Aspecto DHCPv4 DHCPv6
Modelo de Administración Se activa y administra por interfaz lógica (como un ámbito o alcance). No requiere configuración explícita; la funcionalidad se activa en la interfaz física.
Manejo de Máscara de Subred La máscara de subred es proporcionada obligatoriamente por el servidor DHCP. La información de la máscara de subred es proporcionada por los anuncios de enrutador (Router Advertisements), no por el servidor DHCPv6.
Opción de Nombre de Host Opción estándar disponible para establecer el nombre del nodo. No existe la opción de nombre de host DHCPv6.