Nowe posty

xx Jaki linux na laptop/tablet hybrydowy? (28)
Dzisiaj o 12:49:44
xx Repozytoria Archa (9)
Wczoraj o 14:22:11
xx Otwaty port 123 udp (4)
Wczoraj o 13:52:00
xx Brak możliwości instalacji aplikacji na Opensuse Tumbleweed. (7)
Wczoraj o 12:45:32
xx konfiguracja sieci domowej (6)
2019-12-14, 23:58:47
xx petla while (11)
2019-12-14, 22:14:49
xx Ktoś zna datę przejścia Minta 19.3 z bety do oficjala? (47)
2019-12-14, 14:28:28
xx Jak,Zrobić kopię całego dysku? (3)
2019-12-14, 08:39:41
xx Brak rozdzielczości 16:9 ubuntu 19.04 (1)
2019-12-14, 01:46:25
xx Dziwne połączenia sieciowe! Co to jest? (14)
2019-12-13, 22:59:42

Autor Wątek: Zabezpieczenie przed nieautoryzowanym serwerem DHCP  (Przeczytany 869 razy)

Offline pld

  • Users
  • Użytkownik
  • **
  • Wiadomości: 53
    • Zobacz profil
Zabezpieczenie przed nieautoryzowanym serwerem DHCP
« dnia: 2018-12-21, 00:23:51 »
Witam,

posiadam serwer pełniący rolę DHCP, DNS, GATEWAY, FIREWALL. Do eth0 podpięte łącze internetowe, eth1(dhcp interface) sieć LAN - switch sieciowy.

Jak można zabezpieczyć się przed podłączeniem obcego serwera DHCP do switch'a i nadawaniu błędnych adresów przez niego urządzeniom?
Przez iptables nie da się tego zrobić, bo jak rozumiem komunikacja między urządzeniami w sieci LAN odbywa się na warstwie switcha sieciowego i nie przechodzi przez mój serwer ?

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2547
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • keybase.io/pkraszewski
Odp: Zabezpieczenie przed nieautoryzowanym serwerem DHCP
« Odpowiedź #1 dnia: 2018-12-21, 20:12:51 »
To możesz zrobić tylko z poziomu switcha. Taka sytuacja - do szukanie w necie - nazywa się "rogue DHCP server".

Dla Cisco
Po pierwsze, filtracje robi się albo globalnie, albo per VLAN:
switch(config)# ip dhcp snooping                  // Globalnie
switch(config)# ip dhcp snooping vlan 2,3,5-7     // W konkretnych VLANach
To wytnie ci ruch serwerowy DHCP ze wszystkich portów. Teraz musisz zezwolić na ruch serwerowy na porcie, na którym działa rzeczywisty serwer DHCP, np:

switch(config)# int fa1/1                        // Zakładam, że legitymacyjny serwer DHCP jest za tym portem
switch(config-if)# ip dhcp snooping trust        // To odblokowuje funkcję serwera na tym porcie
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline Sebastian Romańczukiewicz

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 3
    • Zobacz profil
Odp: Zabezpieczenie przed nieautoryzowanym serwerem DHCP
« Odpowiedź #2 dnia: 2019-02-13, 16:24:09 »
Cześć,

Jeżeli Twój switch nie posiada funkcjonalności dhcp snoopingu możesz na portach gdzie masz klientów zablokować za pomocą ACL ruch przychodzący do portu ETH na porcie UDP:68.

Pozdrawiam,