Как сделать свой DHCP-сервер единственным?

Добрый вечер.

Недавно столкнулся с такой ситуацией: в университетском общежитии имеется одна сеть на всё здание, клиенты получают внутренние адреса типа 172.16.x.x по DHCP. Но есть любители поставить свой роутер/точку доступа и «сделать себе вайфай». Некоторые подключают внешний кабель к LAN-порту («это же локальная сеть, нет?»), и соответственно в сети можно найти множество DHCP-серверов на адресах типа 192.168.1.1 и иных.

Собственно, вопрос: как свести к минимуму вероятность подцепления клиентами адреса, выданного чужим роутером? Я думал о том, чтобы дропать все DHCP-broadcast-пакеты, которые не принадлежат к нашей сети (172.16.0.0/23), но этим проблему полностью не решить.

Что ещё вы могли бы посоветовать в этой ситуации?
Заранее спасибо за ответы.
  • Вопрос задан
  • 20141 просмотр
Решения вопроса 1
@JDima
как свести к минимуму вероятность подцепления клиентами адреса, выданного чужим роутером?

У вас управляемые свитчи?
Если да, то DHCP snooping сведет вероятность появления чужого DHCP сервера к абсолютному нулю.
Если нет, то ничего сделать не получится.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
4dmonster
@4dmonster
К сожалению, универсально и гарантированно решить это невозможно. Предагается только такой вариант.
The authoritative statement

authoritative;
not authoritative;

The DHCP server will normally assume that the configuration informa‐
tion about a given network segment is not known to be correct and is
not authoritative. This is so that if a naive user installs a DHCP
server not fully understanding how to configure it, it does not send
spurious DHCPNAK messages to clients that have obtained addresses
from a legitimate DHCP server on the network.

Network administrators setting up authoritative DHCP servers for
their networks should always write authoritative; at the top of their
configuration file to indicate that the DHCP server should send DHCP‐
NAK messages to misconfigured clients. If this is not done, clients
will be unable to get a correct IP address after changing subnets
until their old lease has expired, which could take quite a long
time.

Usually, writing authoritative; at the top level of the file should
be sufficient. However, if a DHCP server is to be set up so that it
is aware of some networks for which it is authoritative and some net‐
works for which it is not, it may be more appropriate to declare
authority on a per-network-segment basis.

Note that the most specific scope for which the concept of authority
makes any sense is the physical network segment — either a shared-
network statement or a subnet statement that is not contained within
a shared-network statement. It is not meaningful to specify that the
server is authoritative for some subnets within a shared network, but
not authoritative for others, nor is it meaningful to specify that
the server is authoritative for some host declarations and not oth‐
ers.
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
Вообще всякие домашние роутеры это грустно, да, там фиг поймешь, авторитетный ли он.
если управляемые свичи, я бы эти вифи на портах банил, например. ну и да, ограничение по количеству mac адресов на порт.
когда придут к админу «а чего у нас интернет не работает?» — дать по ушам и обьяснить. что и как настраваить чтобы не мешало всем.
В крайних мерах — локалка — как хотите, интернет по радиусу и ppoe с минимальной авторизации какой нить, без шифрования…
Ответ написан
Комментировать
RUVATA
@RUVATA
Разработчик, гик, меломан, разгильдяй
Компилируя все вышесказанное:
1) Самый верный вариант — это управляемая железка L2\L3 и DHCP snooping (хотя это в Cisco и ему подобных, например Zyxel, а во «всяких» D-link-ах наверняка называется как-то иначе, они это любят, например Port forwarding обозвать Virtual Server я это к тому, что если надумаете покупать железку и начнете искать подешевле, и не обнаружите в «потугах» желязки DHCP snooping еще не факт, что железка этого не умеет)
Это самый верный вариант, притом для такой сетки как общага такая железка выдаст кучу профита для админа своим присутствием — оч.полезная штука.

2)Вариант с атакой DHCP серверов «потенциального противника», конечно имеет право на жизнь, но проблему не решает, так как те будут регулярно ребутится, и практически 100% когда Вы залупите его зону виртуалами, владелец почувствует некий дискомфорт в гениталиях, например когда его телефон не сможет подключиться к роутеру — он соответственно ребутнет роутер… значит скрипт должен работать постоянно — ну… хотя Экзотично, и как бы лишний раз доказывает что «их действительно три» (это о количестве яиц у админа :) )

3)И так сказать попробую предложить свой вариант, но это так сказть чистая теория, хотя отчасти я однажды столкнулся с «этим», это называется Intercepter-NG вобще-то это популярный многофункциональный снифер/скрабер, но одной из его особенностью он наделен сверхбыстрым DHCP и как обвес есть DHCP DISCOVERY, который в однородной сети обгоняет всех и вся, соответсвенно не давая легитимным DHCP-поучавствовать, и даже если клиент таковой от легитимного DHCP получил, то он заставляет его инициировать запрос заново, и так пока не захватит контроль над клиентом. Можно попробовать использовать его как меру противодействия, подумайте, попробуйте…
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы