Cisco защита от клиентского DHCP
Продолжу заметки на полях. И затрону такую щепетильную проблему как подключение несанкционированных устройств к сети предприятия. Недавно у друга была проблема с тем, что у одного из арендаторов постоянно падала сеть. Точнее часть компьютеров работала в интернете правильно, а часть не могла получить доступ даже к локальным ресурсам сети. Вся сеть была настроена на оборудовании Cisco, проблем в других VLAN этого же коммутатора не наблюдалось. Проведя более детальное обследование было выяснено, что виной всему подключенные роутеры с WiFi. Дело в том, что роутеры были подключены LAN-портом и выдавали свой DHCP в сеть. Получалось так, что в сети образовалось несколько DHCP-серверов и они мешали друг другу работать. Конечно, же это проблема арендатора, что он сам себе устраивает такие проблемы, но у компании Cisco есть решение подобной проблемы. За одно данное решение поможет избежать проблем не только в сети арендаторов, но и обезопасит локальную сеть от подобных нештатных ситуаций. Существуют атаки основанные на создании фиктивного DHCP-сервера, но чаще всего виной всему человеческий фактор.
Для решения данной задачи будет применён Rogue DHCP Server. Суть данной технологии в том, что на коммутаторе порты делятся на два типа. Первый — это доверенные порты, на которых может быть DHCP-сервер. Второй — это защищаемые порты, на которых не может быть легитимных DHCP-серверов. Порты на которых будут работать DHCP необходимо указать, все остальные автоматически считаются не доверенными. Настройка довольно простая. Состоит всего из трёх частей:
- Включить опцию на выбранном коммутаторе,
- указать VLAN для защиты,
- указать порт на котором подключен DHCP-сервер.
KKIMK(config)# ip dhcp snooping KKIMK(config)# ip dhcp snooping vlan 199 KKIMK(config)# interface fa 0/1 KKIMK(config-if)# ip dhcp snooping trust
Можно даже принудительно указать IP-адрес используемого DHCP-сервера. Но так как у каждого арендатора он свой, то достаточно и такого уровня защиты, так как свитч всё-равно физически защищен и подменить трафик до легитимного порта невозможно.
KKIMK(config)#ip dhcp-server 10.0.0.2
Так же не забывайте, что после запуска этого механизма, на портах включается проверка MAC-адресов. Чтобы избежать некоторых коллизий связанных с этим, можно отключить опцию верификации.
KKIMK(config)# no ip dhcp snooping verify mac-address
После активации данной настройки на всех используемых VLAN было проведено несколько тестов, которые подтвердили работоспособность данной защиты.
Отредактировано:2020-09-07 06:52:48