Назад | Перейти на главную страницу

Как защитить сеть от подключения плохого устройства с DHCP?

У меня есть сеть из 500+ компьютеров, в моем районе есть много компаний, которые иногда приносят свои роутеры. Если они делают это скрытно и не отключают службу DHCP на устройстве, многие устройства получают неправильные адреса, и на их поиск уходит много времени. Есть ли решение?

Я подумал об изолировании отдела или здания с VLAN с отдельными подсетями. Я также подумал об использовании static arp на основных коммутаторах и поместил запись с 192.168.0.1 и 192.168.1.1 в свой DHCP. Есть ли в этом смысл, обезопасит ли это изменение адреса каким-либо образом?

Есть много способов защитить это:

  1. Разделите вашу сеть на VLAN. Вы можете настроить маршрутизацию между VLAN, которые должны взаимодействовать друг с другом.
  2. Настройте внутренние брандмауэры, чтобы не разрешать DHCP-пакеты, поступающие не с авторизованного сервера (т. Е. Обнаруживать их с помощью IP-адреса отправителя)
  3. Используйте 802.1x для авторизации каждого клиента, подключенного к сети. Это лучшее решение, но оно будет самым медленным в реализации (необходимо проверить и добавить каждое устройство вручную). Конечно, вы можете настроить это только на доступных портах, серверам не нужно это проверять.

Не существует серебряной пули, как надежно избежать плохих серверов DHCP и не ограничивать пользователей, вы должны сбалансировать это.

Изучите технологию DHCP Snooping - она ​​должна быть доступна в любом коммутаторе / маршрутизаторе корпоративного класса. И все же его довольно просто настроить. Какие у вас переключатели?

В отношении того, что предлагали другие:

  • 802.1X предотвратит использование сети всеми клиентами, не прошедшими аутентификацию, то есть этими компаниями.
  • VLAN не помогут - в лучшем случае они смогут ограничить масштаб ущерба.
  • «Использовать брандмауэр DHCP» - DHCP Snooping - это тот самый брандмауэр.

Кстати: как вам удалось создать такую ​​большую сеть?