Какие соображения следует учитывать при принятии решения об установке служб DCHP на машине, которая в настоящее время выполняет роль шлюза.
Какие проблемы / проблемы / соображения у вас возникнут в этом сценарии. Проблема не в стоимости, а в безопасности и ремонтопригодности. Что-нибудь еще?
Запуск службы DHCP на вашем шлюзе сам по себе небезопасен. Но это тоже не самый безопасный вариант. Любая сетевая служба потенциально может привести к компрометации, если служба имеет уязвимость в системе безопасности или неправильно настроена.
Дополнительный риск будет довольно небольшим, если вы примете некоторые базовые меры безопасности:
Это просто стандартные методы обеспечения безопасности, применимые к любой службе на любом хосте. По-прежнему возможно, что внутренний злоумышленник может воспользоваться уязвимостью нулевого дня в вашей службе DHCP, но это лучшая гарантия, которую вы можете получить с любой службой.
Но на этот вопрос нет универсального ответа. Каждому человеку необходимо сопоставить риски с затратами для себя и своей организации.
Просто убедитесь, что DHCP-сервер назначен правильному интерфейсу, и что UDP-порты 67 и 68 не открыты извне (если у вас не настроена какая-либо конфигурация реле). Все должно быть в порядке.
Независимо от того, под каким углом вы смотрите на это - вы делаете себя Больше небезопасно, но не обязательно достаточно небезопасно, чтобы оправдать отказ от реализации DHCP через шлюз, но вы сами сталкиваетесь с некоторыми проблемами. Вот несколько вопросов, на которые вы можете ответить сами, чтобы понять, оправдываете ли вы ценность
Если вас беспокоит безопасность, стоит помнить о серьезных последствиях взлома вашего DHCP-сервера внешними злоумышленниками, а также о последствиях внутренних атак, нарушающих целостность ваших данных.
Я думаю, что в любом случае Райан дал один из самых разумных советов - будьте бдительны, держите себя в курсе методологий злоумышленников и просматривайте журналы, когда позволяет время.