Como proteger a rede contra a conexão de dispositivos ruins com o DHCP?

Navegue suas respostas
1

Eu tenho uma rede com mais de 500 computadores, na minha área há muitas empresas de cooperação que às vezes trazem seus próprios roteadores. Se eles fizerem isso de maneira sorrateira e não desativar o serviço DHCP no dispositivo, muitos dispositivos obterão endereços incorretos e levará muito tempo para encontrá-lo. Existe alguma solução?

Pensei em isolar o departamento ou a construção com VLANs com sub-redes separadas. Eu também pensei em usar arp estática nos switches principais e colocar a entrada com 192.168.0.1 e 192.168.1.1 no meu DHCP. Faz sentido, será que vai garantir mudanças de endereço de alguma forma?

    
por galq 02.11.2015 / 08:53

2 respostas

3

Há muitas maneiras de protegê-lo:

  1. Divida sua rede para VLANs. Você pode configurar o roteamento entre as VLANs que precisam se comunicar entre si.
  2. Configurar firewalls internos para não permitir pacotes DHCP que não sejam de um servidor autorizado (ou seja, detectá-lo com IP de remetentes)
  3. Use 802.1x para autorização de cada cliente conectado à rede. Esta é a melhor solução, mas mais lenta de implementar (você precisa verificar e adicionar cada dispositivo manualmente). Claro que você pode configurar isso apenas em portas acessíveis, os servidores não precisam verificar isso.

Não há um marcador de prata sobre como evitar com segurança servidores DHCP ruins e não limitar seus usuários, você precisa equilibrá-los.

    
por 02.11.2015 / 09:02
1

Explore a tecnologia "DHCP Snooping" - ela deve estar disponível em qualquer switch / roteador de classe empresarial. E, no entanto, é bastante simples de configurar. Quais opções você tem?

Em relação ao que os outros sugeriram:

    O
  • 802.1X impedirá o uso da rede por todos os clientes não autenticados, ou seja, essas empresas.
  • As VLANs não ajudam - no máximo, poderão limitar o escopo do dano.
  • "Use o firewall do DHCP" - DHCP Snooping é este mesmo firewall

BTW: como você conseguiu uma rede tão grande?

    
por 02.11.2015 / 15:12

Tags

Existe um comando whereis equivalente no PASE? Configuração da zona não funciona