Предотвращение дублирования DHCP-сервера в сети
Как я могу предотвратить дублирование DHCP-сервера в сети от вмешательства? Является ли это возможным?
Я не прошу какой-либо реальный сценарий, который происходит, просто любопытство. В моем жилом комплексе есть сеть и интернет, кто-то вызвал проблемы со всей сетью, потому что они подключили свой беспроводной маршрутизатор с включенным сервером DHCP.
Как бы вы предотвратили такие конфликты / проблемы в сети, или это невозможно без брандмауэра и управления машинами в вашей сети?
4 ответа
Любой вид сетевой безопасности невозможен, если не считать строгого контроля доступа к сети. Если вы разрешаете людям подключать случайную часть оборудования, на этом оборудовании работает DHCP-сервер, и этот сервер считает, что он должен раздавать адреса, у вас будут конфликты.
Лучшее решение, которое я могу придумать без каких-либо других изменений в вашей среде, - это определить, на каком сетевом порту работает мошеннический DHCP-сервер, и отключить его. Вы можете сделать это вручную для редких / случайных проблем, но есть также Системы предотвращения вторжений, которые могут сделать это, распознавая, что ответ DHCP был отправлен с неавторизованного MAC-адреса, определить, какой порт коммутатора связан с этим MAC, и отключить порт (У Cisco есть программное обеспечение, которое может сделать это, и вы также можете, вероятно, настроить Sort для выполнения некоторой работы).
Лучшее решение, вероятно, состоит в том, чтобы сегментировать вашу сеть, чтобы каждая квартира / пользователь получал виртуальную локальную сеть. Это позволяет избежать одного мошеннического устройства, влияющего на весь ваш комплекс.
Включив "DHCP Snooping" на управляемом коммутаторе, который поддерживает эту функцию.
Когда вашему компьютеру требуется поддержка DHCP, он передает сообщение с запросом DHCP в локальной сети. Если в сегменте сети имеется более одного DHCP-сервера, первым отвечающим DHCP-сервером будет DHCP-сервер, предоставляющий необходимую информацию вашему компьютеру.
Есть еще один потенциальный вариант, который будет запрещать только DHCP-ответы, входящие со всех физических портов, кроме порта, подключенного к действительному серверу - UDP-порт назначения 68 (почти наверняка, 67/68 - это bootps/bootpc).
Таким образом, вы не запрещаете клиентам запрашивать адреса, но вы предотвращаете ответ от сообщений, не подключенных к разрешенным портам. Вы хотели бы это только на границе сети, портов прямого доступа и т. Д.