Evitando servidor DHCP duplicado na rede

Qualquer tipo de segurança de rede é impossível, exceto o controle estrito do acesso à rede. Se você estiver permitindo que as pessoas conectem um hardware aleatório, que o hardware esteja executando um servidor DHCP, e esse servidor achar que deve distribuir endereços, você terá conflitos.

A melhor solução em que consigo pensar, sem outras alterações em seu ambiente, é determinar em qual porta de rede o servidor DHCP não autorizado está sendo executado e desligá-lo. Você pode fazer isso manualmente para problemas raros / ocasionais, mas também há sistemas de prevenção de intrusão que podem fazer isso reconhecendo que uma resposta DHCP foi enviada de um endereço MAC não autorizado, determine qual porta de switch está associada a esse MAC & desabilitando a porta (a Cisco possui um software que pode fazer isso, e você provavelmente também pode configurar o Sort para fazer isso com algum trabalho).

Uma solução melhor é provavelmente segmentar sua rede para que cada apartamento / usuário receba uma vLAN. Isso evita que um dispositivo desonesto afete todo o seu complexo.

Ao ativar "DHCP Snooping" em um switch gerenciado que suporta esse recurso.

Quando o seu computador precisa de suporte DHCP, ele transmite uma mensagem de solicitação DHCP na rede local. Se houver mais de um servidor DHCP no segmento de rede, o primeiro servidor DHCP que responder será o servidor DHCP que fornece as informações necessárias ao seu computador.

Há outra opção em potencial, que seria negar somente a entrada de respostas DHCP de todas as portas físicas, exceto a porta conectada ao servidor válido - porta de destino UDP 68 (certeza de que 67/68 são bootps / bootpc).

Dessa forma, você não impede que os clientes solicitem endereços, mas evita que nada que não esteja conectado às portas permitidas responda. Você quer isso apenas na borda da rede, portas de acesso direto, etc.