Làm cách nào để bảo vệ mạng ngân sách thấp khỏi các máy chủ DHCP giả mạo?

Tôi đang giúp một người bạn quản lý kết nối internet được chia sẻ trong một tòa nhà chung cư với 80 căn hộ - 8 cầu thang với 10 căn hộ trong mỗi căn hộ. Mạng được đặt với bộ định tuyến internet ở một đầu của tòa nhà, được kết nối với một công tắc 16 cổng không được quản lý giá rẻ ở cầu thang đầu tiên nơi 10 căn hộ đầu tiên cũng được kết nối. Một cổng được kết nối với một công tắc giá rẻ 16 cổng khác ở cầu thang tiếp theo, nơi 10 căn hộ đó được kết nối, v.v. Sắp xếp một chuỗi các thiết bị chuyển mạch, với 10 căn hộ làm nan hoa trên mỗi "cúc". Tòa nhà có hình chữ U, khoảng 50 x 50 mét, cao 20 mét - vì vậy, từ bộ định tuyến đến căn hộ xa nhất có lẽ khoảng 200 mét bao gồm cả cầu thang lên xuống.

Chúng tôi có một số vấn đề khá lớn với việc mọi người kết nối các bộ định tuyến wifi sai cách, tạo ra các máy chủ DHCP lừa đảo làm gián đoạn các nhóm lớn người dùng và chúng tôi muốn giải quyết vấn đề này bằng cách làm cho mạng thông minh hơn (thay vì thực hiện tìm kiếm nhị phân ).

Với kỹ năng kết nối mạng hạn chế của mình, tôi thấy có hai cách - DHCP-snooping hoặc chia toàn bộ mạng thành các VLans riêng cho từng căn hộ. Các VLans riêng biệt cung cấp cho mỗi căn hộ kết nối riêng của họ với bộ định tuyến, trong khi DHCP snooping vẫn sẽ cho phép chơi trò chơi và chia sẻ tệp LAN.

DHCP snooping sẽ hoạt động với loại cấu trúc liên kết mạng này, hay điều đó phụ thuộc vào mạng nằm trong một cấu hình trung tâm và nói đúng? Tôi không chắc chắn nếu có các cấp độ DHCP snooping khác nhau - giả sử như các thiết bị chuyển mạch đắt tiền của Cisco sẽ làm bất cứ điều gì, nhưng những thiết bị rẻ tiền như TP-Link, D-Link hoặc Netgear sẽ chỉ làm điều đó trong một số cấu trúc liên kết nhất định?

Và liệu hỗ trợ Vlan cơ bản có đủ tốt cho cấu trúc liên kết này không? Tôi đoán ngay cả các công tắc được quản lý giá rẻ cũng có thể gắn thẻ lưu lượng truy cập từ mỗi cổng bằng thẻ Vlan của riêng nó, nhưng khi công tắc tiếp theo trong chuỗi daisy nhận được gói trên cổng của nó, thì nó sẽ tước hoặc thay thế thẻ Vlan bằng thẻ của chính nó. thẻ trunk (hoặc bất cứ tên nào dành cho lưu lượng đường trục).

Tiền rất eo hẹp và tôi không nghĩ chúng ta có thể mua được Cisco chuyên nghiệp (tôi đã tham gia chiến dịch này trong nhiều năm), vì vậy tôi rất thích một lời khuyên về giải pháp nào có hỗ trợ tốt nhất cho thiết bị mạng cấp thấp và nếu có một số mô hình cụ thể được khuyến khích? Ví dụ, các thiết bị chuyển mạch HP cấp thấp hoặc thậm chí các thương hiệu ngân sách như TP-Link, D-Link, v.v.

Nếu tôi đã bỏ qua một cách khác để giải quyết vấn đề này thì đó là do tôi thiếu kiến ​​thức. :)

Tôi nghĩ bạn nên đi theo con đường đa Vlan - và không chỉ vì vấn đề máy chủ DHCP. Hiện tại, bạn có một mạng phẳng lớn và ở một mức độ nào đó, người dùng sẽ phải tự bảo vệ an ninh của mình, cá nhân tôi thấy đó là một thiết lập khá khó chấp nhận.

Các công tắc duy nhất cần được quản lý là của bạn. Ngoài ra, bạn cung cấp cho mỗi căn hộ một cổng duy nhất trên một Vlan cụ thể - mọi thứ ở phía dưới đó sẽ hoàn toàn không biết về Vlan và bạn có thể hoạt động bình thường.

Về mặt chuyển mạch của bạn - các cổng chuyển đổi sang chuyển đổi sẽ cần được định cấu hình như các cổng trung kế và bạn sẽ cần phải nhất quán với Vlan ID của mình. Nói cách khác, Vlan100 PHẢI tương ứng với Vlan100 ở mọi nơi khác trên mạng.

Ngoài ra, bạn có thể thiết lập cấu hình "Bộ định tuyến trên thiết bị định tuyến", với mỗi Vlan (Và nhóm liên kết của IP *) chỉ được định cấu hình để định tuyến qua lại internet và KHÔNG tới các mạng nội bộ khác.

* Tôi không thể nghĩ ra bất cứ nơi nào khác để gắn kết điều này, nhưng hãy nhớ rằng lý tưởng nhất là bạn nên cung cấp cho Vlan của mình nhóm IP của riêng họ. Cách dễ nhất để làm điều này là giữ một trong các octet giống như Vlan ID, vd

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Khi tất cả điều này đã được thực hiện, bạn thực sự có thể bắt đầu đưa nó đến những nơi như Chất lượng dịch vụ, giám sát giao thông, v.v. nếu bạn muốn!

Yêu cầu "Trò chơi LAN" dường như là một yêu cầu tương đối thích hợp, đối với tôi và chắc chắn không phải là điều tôi nghĩ đến. Họ vẫn có thể chơi game bình thường thông qua NAT bằng cách truy cập Internet và quay lại - không lý tưởng, nhưng không khác gì với mỗi căn hộ có kết nối riêng, đó là tiêu chuẩn ở đây tại Vương quốc Anh. Tuy nhiên, trong từng trường hợp cụ thể, bạn có thể thêm định tuyến giữa các Vlan đầy đủ giữa các căn hộ muốn chia sẻ mạng của họ theo cách đó.

Trên thực tế, COULD của bạn thêm định tuyến Inter-Vlan đầy đủ ở mọi nơi - điều đó sẽ khắc phục các sự cố DHCP của bạn, cho phép QoS nhưng theo tôi vẫn là một vấn đề bảo mật lớn.

Một điều tôi chưa đề cập ở đây là DHCP của bạn - có lẽ hiện tại bạn có một phạm vi duy nhất cho tất cả các khách hàng của mình. Nếu bạn đặt chúng vào các mạng riêng biệt thì bạn sẽ cần quản lý một phạm vi riêng cho từng Vlan. Đó thực sự phụ thuộc vào thiết bị và cơ sở hạ tầng, vì vậy tôi sẽ bỏ cái này ngay bây giờ.

Tùy thuộc vào ngân sách của bạn, ít nhất hãy chọn một công tắc được quản lý và đặt từng tầng trên Vlan.

Để giải quyết hoàn toàn vấn đề bảo mật và DHCP của bạn, nếu hệ thống cáp cho phép, hãy nhận một công tắc được quản lý 24 cổng cho mỗi hai tầng. Nếu hệ thống cáp không cho phép, sử dụng bảng vá để kéo dài thời gian chạy có thể rẻ hơn so với nhiều thiết bị chuyển mạch.

Bạn có thể tiết kiệm thiết bị bằng cách sử dụng 10/100 thiết bị chuyển mạch được quản lý, tuy nhiên, tùy thuộc vào nhà cung cấp, nó có thể đòi hỏi rất nhiều chuyên môn để thiết lập (Cisco).

Khi một lập trình viên bắt đầu thiết lập mạng lưới hơn 1000 cổng trong tòa nhà văn phòng 8 tầng bằng sợi, tôi có thể nói rằng GUI chuyển đổi được quản lý D-link được ghép nối với hướng dẫn sẽ cho phép bạn làm bất cứ điều gì bạn cần. Tôi không nói rằng bạn phải sử dụng D-Link, tôi chỉ nói rằng tôi không nghĩ bạn sẽ thất vọng. Các công tắc được quản lý D-Link (Cấp 2+) có giá phải chăng và có thể chạy DHCP trên công tắc (không khuyến nghị điều này, nhưng đây là một tùy chọn). Họ có tầng chuyển đổi "Thông minh" thấp hơn có thể làm mọi thứ bạn cần.

Nếu bạn thực hiện Vlan trên mỗi tầng thì a / 23 (512 máy chủ) là đủ (sẽ lớn hơn nếu bạn dự định tung ra mạng không dây). Nếu bạn thực hiện Vlan cho mỗi căn hộ, a / 27 (30 máy chủ) nên làm.

Theo tôi, cách dễ nhất để làm DHCP cho nhiều Vlan là lấy một quả mâm xôi PI và sử dụng ISC DHCP . Bạn có thể sử dụng bất kỳ máy có công suất thấp nào có NIC hỗ trợ Vlan. (Cá nhân, tôi sẽ lấy bộ định tuyến EdgeMax với giá 99 đô la và chạy DHCP trên đó!)

Chỉ cần chọn một dải IP / mạng con cho mỗi Vlan, cấu hình ISC DHCP của bạn cho Vlan có thể trông giống như thế này:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Bạn có thể dán các tùy chọn toàn cầu bên ngoài mỗi phạm vi, do đó, ít nhất bạn sẽ kết thúc với một cái gì đó như thế này:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Nếu mỗi căn hộ có nhiều giắc cắm mạng được thiết lập giao thức cây bao trùm để tránh các vòng lặp. Điều này có thể làm mọi thứ chậm lại nếu bạn không cấu hình đúng cách khiến mỗi cổng mất 30 giây trở lên, vì vậy hãy đảm bảo bạn kiểm tra nó. Có một tùy chọn bạn sẽ muốn kích hoạt, tôi tin rằng Cisco gọi nó là PortFast.

Tôi đã không làm điều này cá nhân, nhưng rõ ràng máy chủ Windows làm cho nó rất dễ dàng để thiết lập nó.

Cũng xem xét:

• Bộ chuyển tiếp DNS bộ đệm cục bộ, định hình lưu lượng truy cập và có lẽ QoS cho VoIP sẽ cải thiện khả năng phản hồi tổng thể (nếu phần cứng của bạn có khả năng chạy các dịch vụ nói ở tốc độ đường truyền).

• Nếu bạn có kế hoạch nâng cấp camera an ninh hoặc triển khai mạng không dây, có thể đáng để nhận thiết bị POE.

• Do nhiều Bộ định tuyến không dây giá rẻ không hoạt động như các AP độc lập, điều tốt nhất bạn có thể hy vọng là người thuê sẽ sử dụng Double NAT. Nếu mọi người đều cắm bộ định tuyến của họ vào mạng của bạn thông qua cổng WAN / Internet sẽ cải thiện bảo mật và loại bỏ vấn đề DHCP. Một tờ hướng dẫn được in tốt với các nhãn hiệu bộ định tuyến phổ biến có thể giúp bạn tiết kiệm một số thiết bị và rắc rối; tuy nhiên, việc tuân thủ đầy đủ sẽ khó khăn.

• Sử dụng một công cụ như namebench để tìm các máy chủ DNS nhanh nhất cho ISP của bạn.

Chúc may mắn!

Nếu bạn có một bộ định tuyến hợp lý, một giải pháp khả thi là thiết lập một Vlan cho mỗi căn hộ và gán địa chỉ / 30 cho mỗi Vlan. Đồng thời tạo phạm vi DHCP cho mỗi Vlan chỉ gán một địa chỉ IP.

Ví dụ:

• vlan 100
  • mạng con 10.0.1.0/30
  • bộ định tuyến 10.0.1.1
  • người dùng 10.0.1.2
• vlan 104
  • mạng con 10.0.1.4/30
  • bộ định tuyến 10.0.1.5
  • người dùng 10.0.1.6

Điều này giải quyết vấn đề chơi game giữa các căn hộ vì bộ định tuyến có thể định tuyến giữa các căn hộ. Nó cũng giải quyết vấn đề DHCP lừa đảo vì lưu lượng DHCP bị cô lập với Vlan của căn hộ đó và họ chỉ nhận được một địa chỉ IP.

Tôi sẽ chọn PPPOE và một máy chủ đơn giản, như ... mikrotik hoặc bất cứ thứ gì hỗ trợ nó. Điều này có vẻ là cách dễ dàng. Tôi chắc chắn bạn đã giải quyết nó ngay bây giờ, nhưng đối với bất kỳ ai cũng sẽ có vấn đề này ... pppoe là câu trả lời nhanh nhất.