Forum Linux.pl

System => Konfiguracja => Wątek zaczęty przez: pld w 2018-12-21, 00:23:51

Tytuł: Zabezpieczenie przed nieautoryzowanym serwerem DHCP
Wiadomość wysłana przez: pld w 2018-12-21, 00:23:51

Witam,

posiadam serwer pełniący rolę DHCP, DNS, GATEWAY, FIREWALL. Do eth0 podpięte łącze internetowe, eth1(dhcp interface) sieć LAN - switch sieciowy.

Jak można zabezpieczyć się przed podłączeniem obcego serwera DHCP do switch'a i nadawaniu błędnych adresów przez niego urządzeniom?
Przez iptables nie da się tego zrobić, bo jak rozumiem komunikacja między urządzeniami w sieci LAN odbywa się na warstwie switcha sieciowego i nie przechodzi przez mój serwer ?

Tytuł: Odp: Zabezpieczenie przed nieautoryzowanym serwerem DHCP
Wiadomość wysłana przez: Paweł Kraszewski w 2018-12-21, 20:12:51

To możesz zrobić tylko z poziomu switcha. Taka sytuacja - do szukanie w necie - nazywa się "rogue DHCP server".

Dla Cisco
Po pierwsze, filtracje robi się albo globalnie, albo per VLAN:

Kod: [Zaznacz]

switch(config)# ip dhcp snooping                  // Globalnie
switch(config)# ip dhcp snooping vlan 2,3,5-7     // W konkretnych VLANach

To wytnie ci ruch serwerowy DHCP ze wszystkich portów. Teraz musisz zezwolić na ruch serwerowy na porcie, na którym działa rzeczywisty serwer DHCP, np:

Kod: [Zaznacz]

switch(config)# int fa1/1                        // Zakładam, że legitymacyjny serwer DHCP jest za tym portem
switch(config-if)# ip dhcp snooping trust        // To odblokowuje funkcję serwera na tym porcie

Tytuł: Odp: Zabezpieczenie przed nieautoryzowanym serwerem DHCP
Wiadomość wysłana przez: Sebastian Romańczukiewicz w 2019-02-13, 16:24:09

Cześć,

Jeżeli Twój switch nie posiada funkcjonalności dhcp snoopingu możesz na portach gdzie masz klientów zablokować za pomocą ACL ruch przychodzący do portu ETH na porcie UDP:68.

Pozdrawiam,