Problemas con servicio DHCP



  • Hola a todos:

    En la mañana de hoy detectamos un problema en una de nuestras subredes, en nuestra red tenemos configurado el DHCP estático, o sea, la dirección IP asociada a la MAC, el punto es q' algunas pcs clientes están obteniendo el IP por DHCP de una dirección IP que no pertenece a nuestro rango, hay más, nuestra red es clase A(10.x.x.x) y la IP a la q' me refiero es clase C (192.168.0.254), cuando estas misma pcs ponen el IP fijo se conectan sin prob a nuestra red y tienen todos los servicios q' brindamos. Sospechamos q' es un DHCP ilegal q' montaron en esta subred en particular de manera malintencionada o no pero q' está afectando a algunas pcs, algo a destacar es q' hemos visto q' es un prob aleatorio, hay pcs q' estan conectadas al mismo switch q' pueden tener o no el problema, lo q' tambien hemos detectado como decia al principio q' es solo en una de las 3 subredes q' tenemos, un dato +: revisamos en system logs/dhcp y todas las IP q' asigna el servidor DHCP están en el rango 192.168.0.x, en los logs q' se ponen a continuación sustituimos las direcciones MAC por el texto dirección MAC.

    May 17 13:00:22 dhcpd: DHCPREQUEST for 192.168.0.129 from dirección via vlan1: unknown lease 192.168.0.129.
    May 17 13:00:23 dhcpd: DHCPREQUEST for 192.168.0.246 from dirección via vlan1: unknown lease 192.168.0.246.
    May 17 13:00:25 dhcpd: DHCPINFORM from 192.168.0.232 via vlan1: unknown subnet for client address 192.168.0.232
    May 17 13:00:34 dhcpd: DHCPREQUEST for 192.168.0.129 from dirección MAC via vlan1: unknown lease 192.168.0.129.
    May 17 13:00:38 dhcpd: DHCPREQUEST for 192.168.0.246 from  dirección MAC via vlan1: unknown lease 192.168.0.246.
    May 17 13:01:40 dhcpd: DHCPINFORM from 192.168.0.232 via vlan1: unknown subnet for client address 192.168.0.232
    May 17 13:01:42 dhcpd: DHCPREQUEST for 192.168.0.129 from  dirección MAC via vlan1: unknown lease 192.168.0.129.
    May 17 13:01:43 dhcpd: DHCPINFORM from 192.168.0.232 via vlan1: unknown subnet for client address 192.168.0.232
    May 17 13:01:45 dhcpd: DHCPREQUEST for 192.168.0.246 from dirección MAC via vlan1: unknown lease 192.168.0.246.

    GRACIAS POR ADELANTADO

    YBC



  • :) hola.

    1. en caso de ser intencional es un comun ataque para denegacion de servicio, lo que hace necesario que busques el equipo que esta dando el servicio de dhcp ilegal, por ejemplo una vez que tengas un equipo con dicha ip fuera de tus rangos ubica el equipo que te dio la ip, asi como su mac y bloquea el acceso de ese equipo a tu red (claro esto depende de las posibilidades que te preste el equipo que tengas en la capa de acceso a usuarios por ejemplo el suiche)

    2. en muchos casos usuarios con pocos conocimientos conectan equipos Acces Point o Acces Router a las redes y muchos de estos estan por defecto configurados para dar el servicio de dhcp justo en el rango definido por IANA de redes locales (192.168.x.y), lo que pudiera estar pasando.

    En cualquiera de los dos escenarios se requiere un rastreo minucioso para ubicar el equipo y las personas que estan habilitando otro dhcp en tu red.



  • Gracias por la ayuda, ya ubiqué el equipo, no así su MAC, quisiera me diera una opción de como hacerlo, en cuanto a bloquearlo pudiese hacerlo mediante una regla de filtrado en el propio pfsense, y de ser así  tendría q' bloquear el pto del DHCP?

    Gracias de antemano

    YBC



  • Todo parece indicar q' es una Máquina virtual, ya tengo su MAC, ahora me queda descubrir en q' host se encuentra, alguna idea de como hacerlo.

    Gracias de antemano.

    YBC


Locked