Перейти до

Безопасность использования DHCP сервера в сети


Рекомендованные сообщения

Хотим у себя поднять DHCP, плюсы очевидны, а вот как дошло дело до минусов то возник такой вопрос: что будет если в сети кто-то спецом или ненароком поставит какой-то роутер или ещё какую железку у которой окажется включен встроенный DHCP? Как будут уживаться в сети два (а может и больше) DHCP сервера? Как исключить такую подмену? Спасибо за помощь.

Ссылка на сообщение
Поделиться на других сайтах

dhcpdrop это интересно... но что делать если какой-то кулхацкер у себя дома тоже поставит dhcpdrop? или заведёться вирь который работает по принципу dhcpdrop'а?

Ссылка на сообщение
Поделиться на других сайтах

dhcpdrop это интересно... но что делать если какой-то кулхацкер у себя дома тоже поставит dhcpdrop? или заведёться вирь который работает по принципу dhcpdrop'а?

он в своем влане все зафлудит только

 

а когда свой легальный dhcpdrop, то он сводится в роутер с транковым портом, где куча вланов, которые чекаются через dhcpdrop

Ссылка на сообщение
Поделиться на других сайтах

Ну во-первых нету у меня вланов, а во-вторых не понимаю чем вланы помогут если dhcpdrop заберёт все свободные адреса у моего DHCP?

Ссылка на сообщение
Поделиться на других сайтах

Ну во-первых нету у меня вланов, а во-вторых не понимаю чем вланы помогут если dhcpdrop заберёт все свободные адреса у моего DHCP?

 

 

Почитайте http://ru.wikipedia.org/wiki/VLAN

 

Если есть желание и средства, можно каждого хомячка поместить в отдельный Vlan и отдавать ip с привязкой только к маку.

Таким образом каждый абонент будет изолирован друг от друга (логически) и навредить сможет разве что себе.

Ссылка на сообщение
Поделиться на других сайтах

Что такое влан я вкурсе дела... но тут выходит что при использовании вланов отпадает потребность в dhcpdrop... ставить в каждый дом железку с вланами пока накладно по финансам, поэтому и ищем адекватное решение на том что есть. dhcpdrop конечно поможет от левых dhcp серверов, но как защитить основной dhcp сервер от такого dhcpdrop'а без использования умных железок?

Ссылка на сообщение
Поделиться на других сайтах
как защитить основной dhcp сервер от такого dhcpdrop'а без использования умных железок?

а серверу то что станется?

если дом per vlan дорого, то ваша колбаса будет работать через раз и те же деньги, если не больше вы будете тратить на обслуживание и поиски неисправностей в каком то из домов

Ссылка на сообщение
Поделиться на других сайтах

Что такое влан я вкурсе дела... но тут выходит что при использовании вланов отпадает потребность в dhcpdrop... ставить в каждый дом железку с вланами пока накладно по финансам, поэтому и ищем адекватное решение на том что есть. dhcpdrop конечно поможет от левых dhcp серверов, но как защитить основной dhcp сервер от такого dhcpdrop'а без использования умных железок?

Начните с того чтобы поставить на "доступ" хотя бы управляемые свичи которые умеют минимум. Чтобы вы могли в дальнейшем управлять сетью.

Побейте сеть на сегменты.

Ссылка на сообщение
Поделиться на других сайтах

Ну, ставить везде управляемое г**но тоже, имхо не стоит. Если ставить, то нормальные коммутаторы.

По поводу dhcp и флудеров разных:

У меня в ядре стоит L3-коммутатор. Дальше звездой включены все дома. На домах: конвертор+неуправляемая мыльница. Даже если кто-то включает роутер случайно не в тот порт, то проблема возникает только у одного дома. И в течение довольно короткого времени вредитель вычисляется и блокируется.

Ссылка на сообщение
Поделиться на других сайтах

Даже единственный L2 свич с ACL на аггрегации решит проблему. Запросы разрешаются только с аплинк-порта в который включены сервера, с клиентских(конечных домов) рубятся. Если кто-то и включит роутер наоборот(весьма частая ситуация кстати), то чудеса будут только внутри одного дома, по звонку туда топает монтажник и за 2 минуты находит кабель виноватого абонента.

 

Ну а если сеть медная с гирляндами свичей - ничто не поможет ;)

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...