Filtrado de direcciones MAC en servidor DHCP Windows

dhcp

Recientemente en la empresa en la que trabajo surgió la necesidad de evitar la asignación de direcciones IP a dispositivos externos y ajenos a la compañía. Uno de los principales problemas, además de la seguridad, es el agotamiento de direcciones IP. Para resolverlo me di a la tarea de investigar alguna herramienta que pudiera hacer algún tipo de bloqueo por la dirección física de la tarjeta de red del dispositivo en cuestión. Encontré una herramienta del propio Microsoft ideal para realizar esta instalación.

 

El módulo está disponible en el siguiente enlace:

http://blogs.technet.com/cfs-filesystemfile.ashx/__key/telligent-evolution-components-attachments/01-4333-00-00-02-09-83-36/MacFilterCalloutInstaller.zip

Esta herramienta ayuda a filtrar peticiones DHCP hacia el servidor basado en direcciones MAC. Cuando un dispositivo trata de conectarse a la red, primeramente tratará de obtener una dirección IP del servidor DHCP. Esta herramienta verifica primero si la dirección MAC se encuentra en una lista de direcciones MAC (que nosotros mismos tendremos que configurar). Si la MAC se encuentra en la lista, se le asignará una dirección IP (Acción Allow) o será ignorada (Acción Deny), dependiendo de la configuración especificada.

El filtrado de MAC en nuestro servidor DHCP nos ayudará a asegurarnos que sólo los dispositivos conocidos puedan obtener una dirección IP para conectarse a nuestra red, agregando así un nivel más de seguridad y evitando el desperdicio de nuestras valiosas direcciones IP.

 

He instalado esta herramienta en un Windows 2008, pero debe funcionar también en 2003.

¿Cómo usar la herramienta?

Sencillo, solo sigue estos pasos:

  • Descargar la herramienta mencionada en el link de arriba y copiar el instalador a alguna ubicación de su servidor DHCP.
  • Ejecutar el instalador.0102
  • Una vez finalizada la instalación, notarás que se crearon los siguientes archivos y claves de registros: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
    1. CalloutDlls: Indica donde se encuentra ubicada la librería que hace posible esta configuración.
    2. CalloutEnabled: Inica si la herramienta está habilitada o no.
    3. CalloutMACAdress: Indica la ubicación del archivo donde se deben introducir las direcciones MAC y la acción a ejecutar.03
  • Abriremos el archivo MACList.txt y lo editaremos usando la siguiente sintaxis:MAC_ACTION={Allow|Deny}000d0c4a67fc000d0c4a67fa

    000d0c4a67fb

    Por ejemplo:04

Esta configuración no permitirá la asignación de direcciones IP por DHCP a las 3 direcciones MAC que se encentran en la lista.

  • Reiniciamos el servicio de DHCP desde la consola de servicios de Windows. Listo, sólo falta verificar que se están aplicando las reglas configuradas; lo podemos hacer desde la consola de DHCP o viendo el archivo de logs ubicado en Unidad:\Windows\System32\DHCP\MacFilterLogInfo.txt.

Ahora cuentamos con una herramienta para controlar la asignación de direcciones IP en nuestra red y hemos agregado un nivel de seguridad extra, podemos dormir  tranquilos, por el momento.

Deja un comentario