аукцион / donate / услуги / RSS / распечатать / вход 
Мой мир
Вконтакте
Одноклассники

[20 марта 2018 | 27 апреля 2018 | 28 апреля 2018]

Cisco защита от клиентского DHCP

Продолжу заметки на полях. И затрону такую щепетильную проблему как подключение несанкционированных устройств к сети предприятия. Недавно у друга была проблема с тем, что у одного из арендаторов постоянно падала сеть. Точнее часть компьютеров работала в интернете правильно, а часть не могла получить доступ даже к локальным ресурсам сети. Вся сеть была настроена на оборудовании Cisco, проблем в других VLAN этого же коммутатора не наблюдалось. Проведя более детальное обследование было выяснено, что виной всему подключенные роутеры с WiFi. Дело в том, что роутеры были подключены LAN-портом и выдавали свой DHCP в сеть. Получалось так, что в сети образовалось несколько DHCP-серверов и они мешали друг другу работать. Конечно, же это проблема арендатора, что он сам себе устраивает такие проблемы, но у компании Cisco есть решение подобной проблемы. За одно данное решение поможет избежать проблем не только в сети арендаторов, но и обезопасит локальную сеть от подобных нештатных ситуаций. Существуют атаки основанные на создании фиктивного DHCP-сервера, но чаще всего виной всему человеческий фактор.

Для решения данной задачи будет применён Rogue DHCP Server. Суть данной технологии в том, что на коммутаторе порты делятся на два типа. Первый — это доверенные порты, на которых может быть DHCP-сервер. Второй — это защищаемые порты, на которых не может быть легитимных DHCP-серверов. Порты на которых будут работать DHCP необходимо указать, все остальные автоматически считаются не доверенными. Настройка довольно простая. Состоит всего из трёх частей:

KKIMK(config)# ip dhcp snooping
KKIMK(config)# ip dhcp snooping vlan 199

KKIMK(config)# interface fa 0/1
KKIMK(config-if)# ip dhcp snooping trust

Можно даже принудительно указать IP-адрес используемого DHCP-сервера. Но так как у каждого арендатора он свой, то достаточно и такого уровня защиты, так как свитч всё-равно физически защищен и подменить трафик до легитимного порта невозможно.

KKIMK(config)#ip dhcp-server 10.0.0.2

Так же не забывайте, что после запуска этого механизма, на портах включается проверка MAC-адресов. Чтобы избежать некоторых коллизий связанных с этим, можно отключить опцию верификации.

KKIMK(config)# no ip dhcp snooping verify mac-address

После активации данной настройки на всех используемых VLAN было проведено несколько тестов, которые подтвердили работоспособность данной защиты.

Тэги: ИТ, Cisco

Отредактировано:2020-09-07 06:52:48


Этот сайт использует файлы cookies, чтобы упростить вашу навигацию по сайту, предлагать только интересную информацию и упростить заполнение форм. Я предполагаю, что, если вы продолжаете использовать мой сайт, то вы согласны с использованием мной файлов cookies. Вы в любое время можете удалить и/или запретить их использование изменив настройки своего интернет-браузера.

Сообщайте мне о замеченных ошибках на: web@orcinus.ru. Все пожелания и советы будут учтены при дальнейшем проектировании сайта. Я готов сотрудничать со всеми желающими. В некоторых случаях, мнение автора может не совпадать с мнением автора! Phone: +7-902-924-70-49.

Top.Mail.Ru
Top.Mail.Ru LiveInternet Rambler's Top100 Яндекс.Метрика