Как сделать свой DHCP-сервер единственным?

Question

[appplemac]

Добрый вечер.

Недавно столкнулся с такой ситуацией: в университетском общежитии имеется одна сеть на всё здание, клиенты получают внутренние адреса типа 172.16.x.x по DHCP. Но есть любители поставить свой роутер/точку доступа и «сделать себе вайфай». Некоторые подключают внешний кабель к LAN-порту («это же локальная сеть, нет?»), и соответственно в сети можно найти множество DHCP-серверов на адресах типа 192.168.1.1 и иных.

Собственно, вопрос: как свести к минимуму вероятность подцепления клиентами адреса, выданного чужим роутером? Я думал о том, чтобы дропать все DHCP-broadcast-пакеты, которые не принадлежат к нашей сети (172.16.0.0/23), но этим проблему полностью не решить.

Что ещё вы могли бы посоветовать в этой ситуации?
Заранее спасибо за ответы.

Answer 1

[JDima]

как свести к минимуму вероятность подцепления клиентами адреса, выданного чужим роутером?

У вас управляемые свитчи?
Если да, то DHCP snooping сведет вероятность появления чужого DHCP сервера к абсолютному нулю.
Если нет, то ничего сделать не получится.

Comments

[appplemac]

Я посмотрю на свитчи поближе, но думаю, что это неуправляемые железки. А за DHCP snooping спасибо.

[JDima]

Еще идея посетила. Можно атаковать левые DHCP сервера. Допустим, некий скрипт непрерывно шлет DHCP Discover с разных маков, но отзывается только на те Offer, которые идут от неправильного сервера. Это быстро переполнит базы левых серверов, и они перестанут мешаться клиентам.

[appplemac]

Немного жестоко, но от этого не менее гениально. Спасибо!

Answer 2

[4dmonster]

К сожалению, универсально и гарантированно решить это невозможно. Предагается только такой вариант.
The authoritative statement

authoritative;
not authoritative;

The DHCP server will normally assume that the configuration informa‐
tion about a given network segment is not known to be correct and is
not authoritative. This is so that if a naive user installs a DHCP
server not fully understanding how to configure it, it does not send
spurious DHCPNAK messages to clients that have obtained addresses
from a legitimate DHCP server on the network.

Network administrators setting up authoritative DHCP servers for
their networks should always write authoritative; at the top of their
configuration file to indicate that the DHCP server should send DHCP‐
NAK messages to misconfigured clients. If this is not done, clients
will be unable to get a correct IP address after changing subnets
until their old lease has expired, which could take quite a long
time.

Usually, writing authoritative; at the top level of the file should
be sufficient. However, if a DHCP server is to be set up so that it
is aware of some networks for which it is authoritative and some net‐
works for which it is not, it may be more appropriate to declare
authority on a per-network-segment basis.

Note that the most specific scope for which the concept of authority
makes any sense is the physical network segment — either a shared-
network statement or a subnet statement that is not contained within
a shared-network statement. It is not meaningful to specify that the
server is authoritative for some subnets within a shared network, but
not authoritative for others, nor is it meaningful to specify that
the server is authoritative for some host declarations and not oth‐
ers.

Comments

[appplemac]

Тоесть по умолчанию DHCP-сервер находится в non-authoritative mode. Да, это может помочь, спасибо.

[JDima]

Это не поможет при борьбе со спуфингом.

[4dmonster]

Да, это поможет только от «наивных пользователей», а враг вполне и себе пожет прописать авторизированность.

[JDima]

Вдобавок — от наивных пользователей, которые подняли у себя роль DHCP на виндовом сервере. Другим видам DHCP серверов немного начхать на авторизированность.

[4dmonster]

Вроде как нет. Это универсальный параметр. Выше цитата на английском от Bind`а.
А вот для виндового домена пишут, что можно жёстко привязать DHCP сервера. Но только для домена и только для виндового…

[JDima]

Да, перепутал с другой фичей.

When a server that lost its bindings receives a DHCPREQUEST packet from a client, it responds with a DHCPACK message (and stores the client-ID-to-IP-address binding in its database) if the client’s IP address belongs to the correct subnet and is not already used by some other client. In other cases, the server does not respond to the request unless it’s configured to be authoritative. An authoritative ISC DHCP server rejects all mismatched DHCPREQUEST messages with a DHCPNAK response, causing the client to enter the INIT state immediately.

Отзываясь на offer, клиент будет юникастить. Соответственно, наличие опции authoritive не помешает клиенту получить неправильный адрес от неправильного сервера. В тех случаях, когда request идет броадкастом — фича заново запустит рулетку.

Answer 3

[Николай Турнавиотов]

Вообще всякие домашние роутеры это грустно, да, там фиг поймешь, авторитетный ли он.
если управляемые свичи, я бы эти вифи на портах банил, например. ну и да, ограничение по количеству mac адресов на порт.
когда придут к админу «а чего у нас интернет не работает?» — дать по ушам и обьяснить. что и как настраваить чтобы не мешало всем.
В крайних мерах — локалка — как хотите, интернет по радиусу и ppoe с минимальной авторизации какой нить, без шифрования…

Answer 4

[Илья Севостьянов]

Компилируя все вышесказанное:
1) Самый верный вариант — это управляемая железка L2\L3 и DHCP snooping (хотя это в Cisco и ему подобных, например Zyxel, а во «всяких» D-link-ах наверняка называется как-то иначе, они это любят, например Port forwarding обозвать Virtual Server я это к тому, что если надумаете покупать железку и начнете искать подешевле, и не обнаружите в «потугах» желязки DHCP snooping еще не факт, что железка этого не умеет)
Это самый верный вариант, притом для такой сетки как общага такая железка выдаст кучу профита для админа своим присутствием — оч.полезная штука.

2)Вариант с атакой DHCP серверов «потенциального противника», конечно имеет право на жизнь, но проблему не решает, так как те будут регулярно ребутится, и практически 100% когда Вы залупите его зону виртуалами, владелец почувствует некий дискомфорт в гениталиях, например когда его телефон не сможет подключиться к роутеру — он соответственно ребутнет роутер… значит скрипт должен работать постоянно — ну… хотя Экзотично, и как бы лишний раз доказывает что «их действительно три» (это о количестве яиц у админа :) )

3)И так сказать попробую предложить свой вариант, но это так сказть чистая теория, хотя отчасти я однажды столкнулся с «этим», это называется Intercepter-NG вобще-то это популярный многофункциональный снифер/скрабер, но одной из его особенностью он наделен сверхбыстрым DHCP и как обвес есть DHCP DISCOVERY, который в однородной сети обгоняет всех и вся, соответсвенно не давая легитимным DHCP-поучавствовать, и даже если клиент таковой от легитимного DHCP получил, то он заставляет его инициировать запрос заново, и так пока не захватит контроль над клиентом. Можно попробовать использовать его как меру противодействия, подумайте, попробуйте…

Comments

[JDima]

владелец почувствует некий дискомфорт в гениталиях, например когда его телефон не сможет подключиться к роутеру

Почему? Аутентификация пройдет в любом случае. После этого владелец роутера окажется в общем L2 сегменте, где есть два DHCP сервера — роутера и правильный. У роутера пул переполнен, следовательно, он не пришлет offer — в отличие от правильного.
Более того — если человек воткнул сеть в LAN порт роутера, то роутер выдаст ему настройки, с которыми его сеть работать не сможет. Т.е. в случае атаки как раз все заработает.

значит скрипт должен работать постоянно

Например, раз в 5 секунд discover. Как только пришел offer — меняем интервал на 100мс, пока левые офферы снова не пропадут, что с дефолтной для многих маской /24 произойдет через полминуты. Шанс, что кто-то из других пользователей сегмента захочет в этот промежуток обновить адрес, очень мизерный. Это не защитит от целенаправленной атаки, но выведет обычные DHCP сервера из строя, а заодно намекнет владельцу такого, что лучше так больше не делать.

Intercepter-NG

Использовать в качестве основного DHCP сервера? Жестокий вариант :)