Universidad de Caldas

Ingeniería de Sistemas y Computación

Redes de Computadores II

Práctica: Monitorización de tráfico y Servicios DHCP

Objetivos
✔ Configurar puertos de monitoreo en la red.
✔ Configurar el servicio DHCP.
✔ Prevenir ataques de DHCP spoofing.
✔ Configurar parámetros básicos de administración de switches.

Monitorización de tráfico
Para monitorear el tráfico de la red, se requiere una configuración adicional en los switches debido a la
diferencia de funcionamiento entre estos y los hubs:
Cuando un hub recibe tráfico en un puerto, el hub envía una copia de este tráfico a través de todos los
puertos excepto por el que se recibió.
Después de que un switch inicia, empieza la construcción de la tabla de reenvío de Capa 2 con base en
las direcciones MAC origen de las distintas tramas recibidas. Después de que la tabla está llena, el
switch reenvía tráfico que está destinado a una MAC directamente a través del puerto correspondiente.

En un switch, después de que se ha llenado la tabla MAC, el tráfico unicast se envía sólo a través del
puerto asociado con la MAC destino, así, la activación de un sniffer en un puerto de un switch sólo
capturará el tráfico correspondiente a tráfico de broadcast, a tráfico multicast y al tráfico unicast
desconocido que se procesa mediante inundaciones.
Para que la monitorización de tráfico sea efectiva, se requiere una configuración adicional en el switch
que permita recibir copias del tráfico de interés en puerto en el que se encuentra el sniffer.
Esta característica se conoce como Port mirroring, RAP (Roving Analysis Port) ó SPAN (Switched Port
Analyzer), dependiendo del fabricante. En cualquier caso, la configuración del monitoreo de tráfico
requiere que se defina cuáles puertos se quieren monitorear y en qué puerto se encuentra el sniffer.

Topología para monitorización de tráfico

1. Conecte tres hosts al mismo switch.

2. Verifique que no haya configuración previa en el switch.
3. Identifique las direcciones IP de los distintos hosts e inicie un ping indefinido entre dos de los
hosts utilizando la opción –t para que la prueba continúe con un número indefinido de mensajes.
4. Inicie un sniffer en el tercer host para capturar el tráfico generado entre los otros dos hosts.
5. Verifique qué tráfico se captura.
Si el switch opera correctamente, sólo debe reenviar tráfico a los puertos en los que se
encuentran los hosts origen y destino del mensaje.
La configuración del switch para monitorización de tráfico, requiere la identificación de los
puertos origen y destino del tráfico que se quiere capturar:
Puerto origen: Puerto monitoreado usando las características de monitoreo de puerto.
Puerto destino: Puerto usado para monitorear los puertos origen (en este puerto se ubica el
analizador de protocolos).

6. Sin suspender el ping ni la captura de tráfico, filtre los paquetes mostrados durante la captura,
de modo que sólo se muestre el tráfico ICMP. ¿Hay tráfico capturado?
7. Configuración del switch.
Consulte en los manuales de configuración de los switches disponibles para las prácticas (3Com
4500, Cisco Catalyst 2950 y Cisco Catalyst 2960) ó a través de Internet cómo debe realizarse la
configuración de los switches para que sea posible capturar desde un tercer host, el tráfico
generado entre otros dos dispositivos conectados a distintos puertos del switch.
Observación: Debe conocer cómo realizar la configuración de cualquiera de estos modelos de
switch, pues no es posible garantizar que el día de la práctica se cuente con uno de ellos
específicamente.

8. Verificación: Debe verificarse que con la configuración elegida se ha conseguido el objetivo

esperado. Debe mostrar los resultados de la captura de tráfico y poder justificar que son los
resultados esperados.
9. ¿Qué cambios deberían hacerse en la configuración si se quiere capturar tráfico entre dos hosts
de la VLAN 10 y se tiene un sniffer instalado en un puerto de la VLAN 20?

2
DHCP & DHCP Spoofing

En este apartado de la práctica, debe utilizarse un servidor DHCP para proporcionar parámetros de
configuración IP de forma automática a los distintos hosts de la red. Deben tenerse al menos dos
VLANs y usar el mismo servidor DHCP para ambar VLANs de forma simultánea.

Topología inicial para la configuración dinámica de hosts:

Direccionamiento
VLAN A → 172.20.10.0 / 24
VLAN B → 172.20.20.0 / 24
VLAN C → 172.20.30.0 / 24

IP para el servidor DHCP de acuerdo con

el grupo:

Grupo 1 → 172.20.10.11
Grupo 2 → 172.20.10.22
Grupo 3 → 172.20.10.33
…

Se requiere partir de esta topología para realizar la práctica: Se utiliza un switch de Capa 2 para crear
tres VLANs y conectar al menos un host a cada VLAN. A ese mismo switch debe estar conectado un
servidor DHCP que debe prestar los servicios de configuración dinámica de host para todas las VLANs.

Debe disponerse para el día de la práctica un servidor DHCP funcionando correctamente, ya sea
mediante el uso de una máquina Linux 1 ó el uso de un servidor gratuito para su operación sobre
Windows. En cualquier caso, para el inicio de la práctica es indispensable contar con un servidor
DHCP operando correctamente.

1. Verificar la correcta operación del servidor DHCP asignando el servidor DHCP a uno de los
puertos de la VLAN A y explorando que la configuración IP obtenida por el host de esta VLAN
sea efectivamente la configuración esperada.
2. Determinar las modificaciones necesarias para que a través de este único servidor DHCP
obtengan su configuración IP todos los hosts de la red. Realizar el esquema correspondiente y
definir los parámetros de configuración requeridos en cada dispositivo.
3. Realizar las modificaciones necesarias en la topología y/ó en las configuraciones de los
distintos dispositivos para permitir que todos los hosts de la topología obtienen su configuración
dinámica.

1 Guía para configuración del servicio DHCP sobre Debian

3
DHCP snooping
Cuando existen servidores DHCP no autorizados en la red, los clientes DHCP pueden obtener una
configuración IP incorrecta. Para asegurar que los clientes DHCP obtengan su configuración IP de
servidores válidos, puede definirse específicamente a través de qué puertos pueden enviarse respuestas
a solicitudes DHCP.

El DHCP spoofing es un tipo de ataque en el que un atacante escucha las solicitudes DHCP de los
clientes y responde a estas antes que el servidor autorizado. Una forma común de respuesta es incluir la
propia dirección del atacante como puerta de enlace, así, el atacante se convierte en un “man-in-the-
middle”.

El DHCP snooping es una característica que determina qué puertos de un switch pueden responder a
solicitudes DHCP clasificando los puertos como confiables ó no confiables.
La configuración genérica de esta función incluye:
• Activar el DHCP snooping globalmente
• Configurar DHCP snooping en una interfaz
• Configurar DHCP snooping para VLANs específicas
Para cada modelo de switch y versión del sistema operativo, los comandos son específicos, pero tienen
características similares.

1. Para explorar el efecto de tener dos servidores DHCP en la misma red, realice una conexión de su
red de trabajo con la de otro grupo.

4
2. Renueve las configuraciones IP de los clientes y observe el resultado. Puede realizar capturas de
tráfico para identificar de dónde se obtienen las respuestas a las distintas solicitudes DHCP.

3. Consulte las formas específicas de configuración requeridas en los distintos switches del laboratorio
(Cisco Catalyst 2950, Cisco Catalyst 2960 y 3Com 4500)

4. Configure adecuadamente la opción de DHCP snooping para que sólo se acepten respuestas a
solicitudes DHCP obtenidas desde el puerto al que está conectado el servidor DHCP del grupo.

5. Realice las pruebas correspondientes y muestre durante la práctica los resultados obtenidos.