Безопасность использования DHCP сервера в сети

[Огст Гыук 57]

Хотим у себя поднять DHCP, плюсы очевидны, а вот как дошло дело до минусов то возник такой вопрос: что будет если в сети кто-то спецом или ненароком поставит какой-то роутер или ещё какую железку у которой окажется включен встроенный DHCP? Как будут уживаться в сети два (а может и больше) DHCP сервера? Как исключить такую подмену? Спасибо за помощь.

[Mikca 1]

http://www.google.com.ua/search?hl=ru&q=dhcp+snooping

[Prime 51]

если нет девайсов со снупингом, можно юзать dhcpdrop - весьма эффективная вещь

[Огст Гыук 57]

dhcpdrop это интересно... но что делать если какой-то кулхацкер у себя дома тоже поставит dhcpdrop? или заведёться вирь который работает по принципу dhcpdrop'а?

[Prime 51]

dhcpdrop это интересно... но что делать если какой-то кулхацкер у себя дома тоже поставит dhcpdrop? или заведёться вирь который работает по принципу dhcpdrop'а?

он в своем влане все зафлудит только

 

а когда свой легальный dhcpdrop, то он сводится в роутер с транковым портом, где куча вланов, которые чекаются через dhcpdrop

[Огст Гыук 57]

Ну во-первых нету у меня вланов, а во-вторых не понимаю чем вланы помогут если dhcpdrop заберёт все свободные адреса у моего DHCP?

[route 69]

Ну во-первых нету у меня вланов, а во-вторых не понимаю чем вланы помогут если dhcpdrop заберёт все свободные адреса у моего DHCP?

 

 

Почитайте http://ru.wikipedia.org/wiki/VLAN

 

Если есть желание и средства, можно каждого хомячка поместить в отдельный Vlan и отдавать ip с привязкой только к маку.

Таким образом каждый абонент будет изолирован друг от друга (логически) и навредить сможет разве что себе.

[Огст Гыук 57]

Что такое влан я вкурсе дела... но тут выходит что при использовании вланов отпадает потребность в dhcpdrop... ставить в каждый дом железку с вланами пока накладно по финансам, поэтому и ищем адекватное решение на том что есть. dhcpdrop конечно поможет от левых dhcp серверов, но как защитить основной dhcp сервер от такого dhcpdrop'а без использования умных железок?

[Prime 51]

как защитить основной dhcp сервер от такого dhcpdrop'а без использования умных железок?

а серверу то что станется?

если дом per vlan дорого, то ваша колбаса будет работать через раз и те же деньги, если не больше вы будете тратить на обслуживание и поиски неисправностей в каком то из домов

[route 69]

Что такое влан я вкурсе дела... но тут выходит что при использовании вланов отпадает потребность в dhcpdrop... ставить в каждый дом железку с вланами пока накладно по финансам, поэтому и ищем адекватное решение на том что есть. dhcpdrop конечно поможет от левых dhcp серверов, но как защитить основной dhcp сервер от такого dhcpdrop'а без использования умных железок?

Начните с того чтобы поставить на "доступ" хотя бы управляемые свичи которые умеют минимум. Чтобы вы могли в дальнейшем управлять сетью.

Побейте сеть на сегменты.

[leda 114]

Ну, ставить везде управляемое г**но тоже, имхо не стоит. Если ставить, то нормальные коммутаторы.

По поводу dhcp и флудеров разных:

У меня в ядре стоит L3-коммутатор. Дальше звездой включены все дома. На домах: конвертор+неуправляемая мыльница. Даже если кто-то включает роутер случайно не в тот порт, то проблема возникает только у одного дома. И в течение довольно короткого времени вредитель вычисляется и блокируется.

[nightfly 1 239]

вообще не понимаю драммы - нормальные Л2 на дом и Л3 на агрегацию решают одновременно все такие детские проблемы.

[KaYot 3 708]

Даже единственный L2 свич с ACL на аггрегации решит проблему. Запросы разрешаются только с аплинк-порта в который включены сервера, с клиентских(конечных домов) рубятся. Если кто-то и включит роутер наоборот(весьма частая ситуация кстати), то чудеса будут только внутри одного дома, по звонку туда топает монтажник и за 2 минуты находит кабель виноватого абонента.

 

Ну а если сеть медная с гирляндами свичей - ничто не поможет