Как правильно реализовать запрет выдачи адресов в DHCP?

Question

[Вася Пупкин]

Есть домен на windows 2016. Есть DHCP которая поднята там где и AD DS. В DHCP есть пару областей, в которые нужно запретить подключение левых устройств. Т.е. по кабинетам расставлены розетки, куда подключаются ПК, много свобных. Нужно исключить вариант, чтобы кто-то принес свой ноут/модем/ПК и т.д., и втыкнулся в нашу сеть, получив адрес из DHCP.
Сейчас реализовано просто: я просто добавил в исключения на выдачу абсолютно все адреса *.1-254 и всё. Когда мне нужно, я просто в резервирование добавляю нужный MAC и тачка получает адрес. По моему мнение это костыль, нежели специальный функционал, который предназначен для этого.
Как еще можно реализовать запрет? Если исключить вариант с коммутатором и дизейблом нужных портов.
Есть какая нибудь фича в доменных ролях?

Answer 1

[Дмитрий Шицков]

На самом деле лучший вариант - выдача статических адресов через RADIUS и авторизация компов, например, по сертификатам + MAC посредством 802.1x в том же RADIUS.

Comments

[Sergey Ryzhkin]

Интересное решение. Тоже в свое время озадачивался подобным, но руки так и не дошли.
Я бы взглянул на реализацию данного варианта. Случаем нету мануалов или примеров, как все это будет жить в домене? Чисто спортивный интерес.

[Дмитрий Шицков]

Sergey Ryzhkin, была необходимость реализовывать, но организация подсдулась и я не успел реализовать это. Если использовать виндовый радиус, то очень легко все это интегрируется в домен

[Sasha Odarchuk]

Дмитрий Шицков, и авторизация идет по каким признакам?

[Sergey Ryzhkin]

Дмитрий Шицков, Да мне тоже интересно, как идет авторизация.
Вот есть тачки в домене (без сертификатов), есть юзеры (допустим со смарт-картами/токенами или банально с паролями). Вот как это все будет работать? Как будут вести себя доменный ПК и ПК личный, если его подключить в сеть. Будет запрос какой-то или нужно будет в радиус заранее одобрить(импортировать) ПК из домена.

[Дмитрий Шицков]

Sergey Ryzhkin, Sasha Odarchuk, например
https://documentation.meraki.com/MS/Access_Control...

Понятное дело, эти параметры политиками можно распространить.

Answer 2

[Sasha Odarchuk]

Запрет на ДХЦП - защита от дураков. Тру-хакер пропишет IP руками )
Вам нужно "тушить" порты которые не юзаются на коммутаторах или юзать порт-секурити ;)

Comments

[Вася Пупкин]

Окей, а что помешает человеку дернуть сеть своего рабочего ПК и вставить туда оборудование, порт будет рабочим.
Поясните, что вы понимаете под "порт-секурити", какой это именно функционал должен быть на коммутаторе и как это работает?

[deepblack]

Desert-Eagle, отвечу я

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:

• несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
  
• атак направленных на переполнение таблицы коммутации
  

Port security

[Вася Пупкин]

Андрей, Ну иными словами тот же MAC-фильтр что есть на ДХЦП, только встроен в коммутатор и может настраиваться на порты. С той лишь разницей что в ДХЦП будет запрет выдачи, а на порту будет запрет передачи в целом, даже если будет вбит адрес руками. Понятно, спасибо.

[Ruslan-Strannik]

как вариант можно еще одну сеть завести :) отдельно от вашей. на нем ДХЦП и пусть эти нежелатели гуляют в отдельном парке и пытаются искать что-либо. Разграничение VLANами и маршрутизацией.
но 100% защиты нет.. что мешает тому же злодею использовать уже подключенный комп чей-либо.

[Вася Пупкин]

Ruslan-Strannik, Да отдельный Vlan без доступа куда либо - это тоже можно рассмотреть как вариант, но опять таки ничем не отличается от того, что нужно будет тушить порты. Если я буду тушить, то мне придется их поднимать когда они будут использоваться. Тоже самое с Влан, мне придется перекидывать порты из одного влана в другой при необходимости. Трудо-затраты будут сопоставимы. Поэтому наверное разница не велика.

[Ruslan-Strannik]

на самом деле существует лишь 2 защиты - физическая и программная :)
из физической самая лучшая - оградить территорию офиса/предприятия/заведения от посторонних людей.
а из программной - пароли на все, что можно , фильтр устр-ств по макам и никакого вифи!

[Максим Ярошевич]

Если есть необходимость организовать доступ в интернет для внешних пользователей - то только через отдельный vlan - и пусть себе подключаются.

Answer 3

[blackbeard]

802.1x, но это дорого)

Comments

[Вася Пупкин]

Деньги не в приоритете, если будет работать, как надо.
Не сильно пока знаком с 802.1х, но это по-моему система аутентификации, которая может вешаться на радиус-сервер.
Вопрос довольно глупый, но можно ли будет подсвязать 802.1х к доменной аутентификации устройств и как система вообще будет понимать, что можно, а что нет? Я само собой загуглю эту тему, но может есть под рукой мануал, как сдружить домен и 802.1х, какой нибудь самый банальный пример?

[20ivs]

Desert-Eagle, вероятно вам говорят о VLAN, единственно-правильным и некостыльным варианте для вашей задачи. изучайте и применяйте, пригодится всегда =)
ничего сверхдорогого нет. сейчас почти любой маломальски адекватный управляемый коммутатор умеет VLAN.

[Вася Пупкин]

20ivs, Причем тут Влан? Мне не нужно разграничение сетей. Я знаю что такое Влан и они у меня настроены.
Как они могут помочь в моем вопросе, мне не понятно.
Поясните, если можете.

[Вася Пупкин]

Sha644, Т.е. можно будет поднять в доменной сети радиус сервер (который есть как роль в винде серверной) и подружить этот радиус сервер с доменной авторизацией и уже после подвязать этот радиус к 802.1х ?

[Виктор]

Desert-Eagle, Вам предлагают все порты, где могут появится те, кому не нужно выдавать адрес, закинуть в отдельный влан, в котором не будет дхцп и релея.
Или выдавать им такие, которые не маршрутизируются.
Но мне видится, что хорошим тоном будет вообще отключить все неиспользуемые порты на свитчах, чтобы никто "случайно" в вашу сеть не воткнулся.

[Вася Пупкин]

Виктор, Да я уже догадался, но смысла в этом нет. Мне проще будет выключить порты и когда нужно включить, чем перекидывать из из одного Влан в другой. Трудозатраты одинаковы.

[20ivs]

Desert-Eagle, если VLAN уже используете, тогда тем более делов на 5 минут

[Виктор]

Desert-Eagle, Я буду следить за вашим вопросом.
Мы столкнулись с проблемой проникновения и совсем красивого решения тоже пока не нашли.
Я пробегаю по свитчам, скидываю статистику и через месяц порты с нулевым траффом отключаю.
Но, так же, приходится включать по запросу и есть временной лаг, когда им могут воспользоваться.

[d-stream]

Desert-Eagle,

Да я уже догадался, но смысла в этом нет. Мне проще будет выключить порты и когда нужно включить, чем перекидывать из из одного Влан в другой. Трудозатраты одинаковы.

802.1x позволяет все это автоматизировать - то бишь в зависимости от наличия сертификата - либо подключившийся попадает в доверенную сеть (vlan), либо в разной степени "гостевую" сеть, в которой он сможет например отправить заявку на доступ и по клику - получить сертификат доступа.

[Вася Пупкин]

d-stream, Если так, то это интересно, спасибо, значит будем смотреть в сторону 802.1х
Только непонятно почему написали дорого, когда в соседнем ответе дали ссыль, где 802.1х настраивает на сетевой карте.
В чем заключает дороговизна если ничего не приобретается?

[d-stream]

Desert-Eagle, если сеть была построена на "безмозглых" коммутаторах по 100р за кучку - то дороговизна заключается в фактически полной замене всех коммутаторов...

А так - обычно даже самые бюджетные управляемые коммутаторы умеют 802.1x, ну а остальное - чутка почитать например на хабре https://habr.com/ru/post/138889/ и сделать