Seguro para instalar serviços DHCP e gateway na mesma máquina?

3

Quais considerações você teria ao decidir instalar os serviços DCHP em uma máquina atualmente em serviço na função de gateway?

Quais problemas / preocupações / considerações você teria nesse cenário. O custo não é a preocupação, mas sim a segurança, a manutenção. Mais alguma coisa?

    
por llazzaro 14.02.2010 / 01:07

3 respostas

3

A execução de um serviço DHCP no seu gateway não é insegura, por si só. Mas também não é a opção mais segura. Qualquer serviço de rede pode levar a um comprometimento, se o serviço tiver uma vulnerabilidade de segurança ou não estiver configurado corretamente.

O risco adicional seria muito pequeno se você tomasse algumas precauções básicas de segurança:

  • O serviço DHCP deve ouvir apenas na rede local e interna.
  • Verifique se o seu software de servidor DHCP tem alguma vulnerabilidade remota conhecida. Se você encontrar algum, considere mudar para uma implementação DHCP alternativa.
  • Atualize / atualize seu software do servidor DHCP imediatamente quando as correções de segurança forem liberadas.
  • Verifique periodicamente os registros do servidor DHCP em busca de atividades suspeitas.

Estas são apenas as práticas de segurança padrão que se aplicam a qualquer serviço, em qualquer host. Ainda é possível que um invasor interno explore uma vulnerabilidade de dia zero em seu serviço DHCP, mas essa é a melhor garantia que você pode obter com qualquer serviço.

Mas não há resposta universal para essa pergunta. Cada pessoa precisa pesar os riscos versus os custos para si e para sua organização.

    
por 14.02.2010 / 01:57
0

Apenas certifique-se de ter o servidor DHCP atribuído à interface correta e de que as portas UDP 67 e 68 não estejam abertas para o exterior (a menos que você tenha algum tipo de configuração de retransmissão configurada). Deve ficar bem.

    
por 14.02.2010 / 01:23
0

Não importa em qual ângulo você olhe - Você está se tornando mais inseguro, não inseguro a ponto de justificar a não implementação do DHCP através do seu gateway, mas você está se conduzindo a alguns problemas. Heres algumas perguntas que você pode responder por si mesmo para ver se você justifica o valor

  • Você tem vários usuários que podem administrar o gateway / servidor DHCP?
  • Em caso afirmativo, que tipo de senha requisitos estão em vigor?
  • O seu servidor é estritamente compatível com RFC 2131 ou ele suporta o 3118 em várias sub-redes? (Tenha em mente que você pode VLAN / Area hop muito facilmente com um servidor DHCP seqüestrado que suporta autenticação)
  • O gateway também é usado como uma área IS-IS L2 ou L1 + 2?

Se você estiver preocupado com a segurança, vale a pena ter em mente as graves implicações de um comprometimento do seu servidor DHCP por invasores externos, mas também das implicações de ataques internos que comprometem sua integridade de dados.

Acho que Ryan deu alguns dos conselhos mais sólidos em todo caso - Seja vigilante, Mantenha-se atualizado sobre as metodologias do invasor e revise os registros quando o tempo permitir.

    
por 14.02.2010 / 05:49

Tags