Como protejo uma rede de baixo orçamento de servidores DHCP desonestos?

Navegue suas respostas
22

Estou ajudando um amigo a gerenciar uma conexão de internet compartilhada em um apartamento construído com 80 apartamentos - 8 escadas com 10 apartamentos em cada. A rede é projetada com o roteador de internet em uma extremidade do prédio, conectado a um switch de 16 portas não gerenciado e barato na primeira escada, onde os 10 primeiros apartamentos também estão conectados. Uma porta é conectada a outro switch cheapo de 16 portas na próxima escada, onde esses 10 apartamentos estão conectados e assim por diante. Tipo de uma cadeia de interruptores, com 10 apartamentos como raios em cada "margarida". O prédio é em forma de U, medindo aproximadamente 50 x 50 metros, 20 metros de altura - de modo que, do roteador até o apartamento mais distante, provavelmente são cerca de 200 metros, incluindo escadas para cima e para baixo.

Temos alguns problemas com pessoas conectando os roteadores wifi da maneira errada, criando servidores DHCP desonestos que interrompem grandes grupos de usuários e desejamos resolver esse problema tornando a rede mais inteligente (em vez de fazer um físico desconectando a busca binária).

Com minhas habilidades de rede limitadas, vejo duas formas - procurar por DHCP ou dividir toda a rede em VLANs separadas para cada apartamento. VLANs separadas fornecem a cada apartamento sua própria conexão privada com o roteador, enquanto a detecção de DHCP ainda permitirá jogos em LAN e compartilhamento de arquivos.

O espionagem de DHCP funciona com esse tipo de topologia de rede, ou isso depende de a rede estar em uma configuração de hub-and-spoke adequada? Não tenho certeza se existem diferentes níveis de espionagem de DHCP - digamos que os switches Cisco caros farão qualquer coisa, mas os mais baratos, como TP-Link, D-Link ou Netgear, só o farão em certas topologias?

E o suporte básico à VLAN será bom o suficiente para essa topologia? Eu acho que até mesmo switches gerenciados baratos podem marcar o tráfego de cada porta com sua própria tag VLAN, mas quando o próximo switch da cadeia recebe o pacote em sua porta “downlink”, ele não tira ou substitui a tag VLAN por sua própria tag trunk-tag (ou qualquer que seja o nome para o tráfego de backbone).

O dinheiro está apertado, e eu não acho que podemos pagar Cisco de nível profissional (eu tenho feito campanha por isso há anos), então eu adoraria alguns conselhos sobre qual solução tem o melhor suporte em equipamentos de rede de baixo custo e se existem alguns modelos específicos que são recomendados? Por exemplo, switches HP low-end ou até mesmo marcas de baixo custo como TP-Link, D-Link, etc.

Se eu negligenciei outra maneira de resolver este problema, é devido à minha falta de conhecimento. :)

    
por Kenned 28.10.2013 / 13:33

4 respostas

19

Acho que você deve seguir a rota de várias VLANs - e não apenas por causa do problema do servidor DHCP. No momento, você tem uma grande rede plana e, embora em algum grau, os usuários devem cuidar de sua própria segurança, eu pessoalmente acho uma configuração bastante inaceitável.

Os únicos switches que precisam ser gerenciados são os seus. Além disso, você dá a cada apartamento uma única porta em uma VLAN específica - qualquer coisa a jusante do que será completamente inconsciente da VLAN e você pode funcionar normalmente.

Em termos de seus switches - as portas switch-to-switch precisarão ser configuradas como portas de tronco e você precisará ser consistente com suas IDs de VLAN. Em outras palavras, a VLAN100 DEVE corresponder à VLAN100 em qualquer outro lugar na rede.

Além disso, você pode definir uma configuração de "Roteador em um dispositivo", com cada VLAN (e seu pool associado de IP *) configurado apenas para rotear para a Internet e NÃO para outros locais internos. redes.

* Eu não conseguia pensar em nenhum outro lugar para manter isso, mas lembre-se que, idealmente, você deveria estar dando às suas VLANs seu próprio pool de IPs. A maneira mais fácil de fazer isso é manter um dos octetos igual ao ID da VLAN, por exemplo, 

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Uma vez que tudo isso esteja em vigor, você pode realmente começar a fazer coisas como Qualidade de Serviço, monitoramento de tráfego e assim por diante, se desejar!

A solicitação "LAN Games" parece ser um pedido relativamente pequeno para mim, e certamente não é o que eu penso. Eles ainda podem jogar normalmente através do NAT indo para a Internet e de volta - não é o ideal, mas não é diferente para cada apartamento ter sua própria conexão, que é a norma aqui no Reino Unido. No entanto, caso a caso, você pode adicionar roteamento inter-VLAN completo entre os apartamentos que desejam compartilhar sua rede dessa maneira.

Na verdade, você PODERIA adicionar roteamento Inter-VLAN completo em todos os lugares - isso resolveria seus problemas de DHCP, permitiria QoS, mas ainda seria um problema de segurança em massa na minha opinião.

Uma coisa que eu não abordei aqui é o seu DHCP - presumivelmente você tem um único escopo no momento para todos os seus clientes. Se você colocá-los em redes separadas, será necessário gerenciar um escopo separado para cada VLAN. Isso é realmente dependente de dispositivos e infra-estrutura, então vou deixar isso por enquanto.

    
por 28.10.2013 / 14:27
6

Dependendo do seu orçamento, no mínimo, escolha um switch gerenciado e coloque cada andar em uma VLAN.

Para resolver completamente seu problema de segurança e DHCP, se o cabeamento permitir, obtenha um switch gerenciado de 24 portas para cada dois andares. Se o cabeamento não permitir, o uso de patch panels para estender as corridas provavelmente será mais barato do que outros switches.

Você pode economizar em equipamentos usando switches gerenciados 10/100 usados, no entanto, dependendo do fornecedor, pode ser necessário ter muita experiência para configurar (Cisco).

Como programador para configurar uma rede de mais de 1.000 portas em um prédio de 8 andares com fibra, posso dizer que a GUI de switches gerenciados do D-link emparelhado com o manual permitirá que você faça qualquer coisa que precisar. Eu não estou dizendo que você tem que usar a D-Link, só estou dizendo que não vai ficar desapontado. Os switches gerenciados da D-Link (Nível 2+) são acessíveis e podem executar o DHCP no switch (não recomendando isso, mas é uma opção). Eles têm um nível de switch "inteligente" mais baixo que pode fazer tudo que você precisa.

Se você fizer uma VLAN por andar, um / 23 (512 hosts) deve ser suficiente (vá maior se você planeja alguma vez distribuir sem fio). Se você fizer uma VLAN por apartamento, um / 27 (30 hosts) deve fazer.

A maneira mais fácil de fazer DHCP para várias VLANs, na minha opinião, seria pegar um PI de framboesa e usar ISC DHCP . Você pode usar qualquer máquina de baixa potência que tenha uma NIC que suporte VLANs. (Pessoalmente, eu pegava um roteador EdgeMax por US $ 99 e rodava o DHCP nisso!)

Basta escolher um intervalo / sub-rede IP por cada VLAN, sua configuração ISC DHCP para uma VLAN pode ser algo como isto: 

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Você pode colocar opções globais fora de cada escopo, então, no mínimo, você acabará com algo assim: 

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Se cada apartamento tiver vários conectores de rede, configure o protocolo spanning tree para evitar loops. Isso pode atrasar as coisas se você não configurá-lo corretamente, fazendo com que cada porta demore 30 segundos ou mais para vir para cima, então certifique-se de testá-lo. Há uma opção que você deseja ativar, acredito que a Cisco chama de PortFast.

Eu não fiz isso pessoalmente, mas aparentemente o Windows server facilita muito a configuração.

Considere também:

  • Um encaminhador DNS de cache local, modelagem de tráfego e talvez QoS para VoIP melhorariam a capacidade de resposta geral (caso seu hardware seja capaz de executar tais serviços na velocidade da linha).

  • Se você planeja atualizar câmeras de segurança ou distribuir sem fio, pode valer a pena comprar equipamentos POE.

  • Como muitos roteadores sem fio baratos não funcionam como AP autônomos, o melhor que você pode esperar é que os locatários usem um NAT duplo. Se todos pudessem fazer o plugin de seu roteador para sua rede através da porta WAN / Internet, isso melhoraria a segurança e eliminaria o problema de DHCP também. Uma folha de instruções bem impressa com marcas comuns de roteadores pode economizar alguns equipamentos e problemas; no entanto, a conformidade total seria difícil.

  • Use uma ferramenta como namebench para encontrar os servidores DNS mais rápidos para o seu ISP.

Boa sorte!

    
por 28.10.2013 / 15:07
1

Se você tiver um roteador decente, uma solução possível é configurar uma VLAN por apartamento e atribuir um endereço / 30 a cada VLAN. Crie também um escopo DHCP para cada VLAN que apenas atribua um endereço IP.

Por exemplo:

  • vlan 100
    • sub-rede 10.0.1.0/30
    • roteador 10.0.1.1
    • usuário 10.0.1.2
  • vlan 104
    • sub-rede 10.0.1.4/30
    • roteador 10.0.1.5
    • usuário 10.0.1.6

Isso resolve o problema de jogos entre apartamentos porque o roteador pode rotear entre os apartamentos. Ele também resolve o problema do DHCP desonesto porque o tráfego DHCP é isolado para a VLAN daquele apartamento e eles só recebem um endereço IP.

    
por 28.10.2013 / 15:30
-2

Eu escolheria o PPPOE e um servidor simples, como ... o mikrotik ou qualquer outro suporte. Este parece ser o caminho mais fácil. Tenho certeza que você já resolveu isso, mas para qualquer um vai ter esse problema ... pppoe é a resposta mais rápida.

    
por 10.09.2015 / 21:02
Demasiados erros de soma de verificação incorretos no TCPDUMP Por que meu servidor executa um arpejo E menor através do alto-falante do PC a cada cinco minutos?