Как сделать свой DHCP-сервер единственным?

владелец почувствует некий дискомфорт в гениталиях, например когда его телефон не сможет подключиться к роутеру

Почему? Аутентификация пройдет в любом случае. После этого владелец роутера окажется в общем L2 сегменте, где есть два DHCP сервера — роутера и правильный. У роутера пул переполнен, следовательно, он не пришлет offer — в отличие от правильного.
Более того — если человек воткнул сеть в LAN порт роутера, то роутер выдаст ему настройки, с которыми его сеть работать не сможет. Т.е. в случае атаки как раз все заработает.

значит скрипт должен работать постоянно

Например, раз в 5 секунд discover. Как только пришел offer — меняем интервал на 100мс, пока левые офферы снова не пропадут, что с дефолтной для многих маской /24 произойдет через полминуты. Шанс, что кто-то из других пользователей сегмента захочет в этот промежуток обновить адрес, очень мизерный. Это не защитит от целенаправленной атаки, но выведет обычные DHCP сервера из строя, а заодно намекнет владельцу такого, что лучше так больше не делать.

Intercepter-NG

Использовать в качестве основного DHCP сервера? Жестокий вариант :)

Как сделать свой DHCP-сервер единственным?

Да, перепутал с другой фичей.

When a server that lost its bindings receives a DHCPREQUEST packet from a client, it responds with a DHCPACK message (and stores the client-ID-to-IP-address binding in its database) if the client’s IP address belongs to the correct subnet and is not already used by some other client. In other cases, the server does not respond to the request unless it’s configured to be authoritative. An authoritative ISC DHCP server rejects all mismatched DHCPREQUEST messages with a DHCPNAK response, causing the client to enter the INIT state immediately.

Отзываясь на offer, клиент будет юникастить. Соответственно, наличие опции authoritive не помешает клиенту получить неправильный адрес от неправильного сервера. В тех случаях, когда request идет броадкастом — фича заново запустит рулетку.

Как сделать свой DHCP-сервер единственным?

Вдобавок — от наивных пользователей, которые подняли у себя роль DHCP на виндовом сервере. Другим видам DHCP серверов немного начхать на авторизированность.

Как сделать свой DHCP-сервер единственным?

Еще идея посетила. Можно атаковать левые DHCP сервера. Допустим, некий скрипт непрерывно шлет DHCP Discover с разных маков, но отзывается только на те Offer, которые идут от неправильного сервера. Это быстро переполнит базы левых серверов, и они перестанут мешаться клиентам.

Как сделать свой DHCP-сервер единственным?

Это не поможет при борьбе со спуфингом.

Juniper или Cisco?

оборудование Cisco ввозится в Россию без поддержки шифрования. Поэтому можно не задумываться о IPSec+DMVPN, 3DES и т.п.

Мы получаем железки с K9, с благословения ФСБ. Причем даже ГОСТом шифроваться не обязаны.

Вам в филиал может подойдти что-то из этого:

Мне говорите?
Что-то я сомневаюсь, что подойдет :)
1) Поддержка цискиного SRST.
2) Возможность воткнуть поток Е1. Не везде есть SIP.
3) Поддержка цискиного EIGRP (надеюсь, нет возражений, что для топологии multihub&spoke ничего лучше не придумали?)
4) Поддержка цискиного DMVPN (7200-е с VSA менять не собираемся)
5) Поддержка DMVPN phase 3 (филиалов много сотен)

Juniper SRX, более универсальная железка чем ISR или ASA

Любопытства ради — чем же они функциональнее ISRов?
Вроде умеют кластеризоваться. Еще?

Juniper или Cisco?

Если производительности 800-х хватит — да, IPSec лучше поднимать на роутерах, ибо там возможны более красивые его реализации. Ключевой момент именно ширина каналов.
Я — сторонник того, чтобы сразу заложить красивую архитектуру. Скажем, сейчас у вас 5 филиалов, преимущества DMVPN не так очевидны. Через год будет 50, и вот тут уже классический IPSec начнет вызывать некоторую ненависть.

Juniper или Cisco?

Вы правильно сказали — малофункционально.

Но его никто никогда не объявлял core свитчем. Кто взял под ядро — сам дурак. А для routed access железка превосходна.
Автору именно routed access и нужен. Даже без динамики. Честно говоря, в этом случае 3560-й — перебор, можно остановится на каком-нибудь бюджетном HPшном хламе — у них было что-то из L3 свитчей, способное иметь 16 статических маршрутов, но модели не помню.

на 29хх настройка у меня не вызвала никаких проблем, в отличие от 3560, какую-то непонятную маршрутизацию с которых пришлось убирать.

А это уже вопрос знания элементарнейшей матчасти ;)
На любых L3 свитчах DGW объявляется «ip default-gateway X.X.X.X» при отсутствии команды «ip routing» либо «ip route 0.0.0.0 0.0.0.0 X.X.X.X» при наличии.
Но дальше — больше. Вы убрали «ip routing» и превратили L3 свитч в L2 свитч. Так нахрена вообще задействовать под это дело 3560-й?

Juniper или Cisco?

по отзывам моих знающих коллег — на 3560 роутинг грустненький был

А именно?
По-моему, с роутингом там все как раз хорошо. Правда, не слишком функционально. Сабинтерфейсов нет, MPLS нет и еще по мелочи. Тем не менее, под большинство задач она подойдет.

на моей текущей работе с 3560 пришлось немного повозиться, пока понял, что ей нужен маршрут по умолчанию, для того чтобы она могла достукиваться куда угодно из менеджмент влана.

Тут можно сказать «RTFM». Ну и здравый смысл как бы :)
Правда, закономерный вопрос: на кой черт брать L3 роутер и не поднимать на нем человеческую маршрутизацию?

в отличие от 29xx коммутаторов

Что значит «в отличие»? 29-е — только L2. И им тем более надо выдавать дефолтный маршрут.

Juniper или Cisco?

Зачем 3DES, когда AES быстрее при сравнимой или более высокой надежности?
И нет, роутеры по схожей цене — это 880-е и 890-е. Смотря какой ширины каналы.

И еще вспомнил: habrahabr.ru/post/144218/#comment_4948691

Juniper или Cisco?

Хотели изначально ставить маршрутизаторы, но поняли, что ставить ASA или SRX логичнее.

Ни разу не логичнее.
1) ASA/SRX поддерживают лишь классическую реализацию IPSec VPN, донельзя убогую. IOS роутеры умеют DMVPN и GETVPN (ну мало ли). Netscreen железки умеют AC VPN, похожий на DMVPN. Что это такое? Это — динамическая маршрутизация поверх IPSec любым удобным протоколом, автоматическое создание прямых динамических туннелей между филиалами без малейших настроек по мере надобности (то есть трафик между филиалами минует центр), легкое подключение новых филиалов без настроек даже на хабах, продвинутый QoS (хаб будет знать от спока, какая у него ширина канала, и в соответствии с этим настраивать очереди) и много чего другого.
2) Голос. Цискины роутеры при наличии цискиной голосовой инфраструктуры могут много чего интересного, включая транскодирование, проигрывание MOH, перерегистрацию на себя местных телефонов при падении всех каналов (с сохранением номеров и примерных прав дозвона, предоставляя выход в город через себя по любым транспортам от ISDN и FXO до SIP). Ну а даже без CUCM инфраструктуры они являются неплохими IP PBX с фичами вплоть до IVR.
В общем, у роутеров масса преимуществ.

И кстати, ASA 5505 и SRX-100 стоят одинаково. SRX быстрее в базовой маршрутизации (ну кому нужно 700мб/с в мелком филиале?), а ASA — в шифровании IPSec. Хотя возможности обоих с лихвой перекрывают запросы любого мелкого филиала.

Juniper или Cisco?

Статическая маршрутизация — это ужасно. Циска делает DMVPN, исключительно простое и удобное решение на базе IPSec, фактически являющееся multipoint GRE с обвязкой в виде NHRP и позволяющее среди прочего гонять поверх себя динамику. Статические маршруты не требуются. У Juniper есть что-то похожее.
И так ли нужны именно L3 свитчи в филиалы? Ради интереса расскажите, почему решили именно так. Ведь L2 дешевле.

Пропажа данных и проблемы с сетью в Windows Server 2008 R2

Как вариант — HD Sentinel. Разумеется, SMART нужен для отдельных винтов, как и тест поверхности. Не знаю, какой контроллер используется в вашем случае, но указанная программа прекрасно видит отдельные винты на интеловском чипсетном рейде. И в очень наглядном виде показывает их здоровье.

Пропажа данных и проблемы с сетью в Windows Server 2008 R2

Ну и, конечно, проверка поверхности дисков, а также анализ SMART. На серверного класса железе при малейшем глюке винта контроллер помечает его как неисправный, а вот десктопный будет цепляться за жизнь до последнего. RAID1 не панацея.

Доменный пользователь заблокирован, скинул пароли локального админа, нужно узнать локальный домен или рабочую группу

Не зная имени ПК мы не сможем войти под локальным пользователем.

По RDP нельзя. Локально — можно (ну или по крайней мере это работало, когда последний раз проверял). Просто набрать «administrator» к примеру. Зона поиска подставится автоматически — локальная.

Какие программы существуют для отслеживания траффика в сети?

«Неуправляемый свитч» — это свитч, который не знает слов «VLAN», «STP» и так далее и не обладает никакими средствами защиты от атак на L2, но все равно запоминает маки и передает пакеты в соответствии с ними. «Хаб» — это хаб, безмозглая коробка, которую уже почти нигде не встретишь.

Как сохранить акумулятор?

Речь про подключение к розетке 24/7. Это хуже, чем периодическая зарядка.

Как сохранить акумулятор?

У меня на одном из ноутбуков батарея умерла (ни секунды не держала) за полгода непрерывного подключения к розетке. Правда, это было много лет назад.

Как сохранить акумулятор?

У леновы стандартный. На самсунговском нетбуке была похожая настройка. Вы весь штатный софт ставили?

Как перехватить текствый траффик скайпа на роутере?

протокол 4й версии через реверс инженеринг вроде как вскрыли

Ага. Вскрыли. На самом деле просто узнали, чем шифруется (ранее не знали). Ни о какой дешифровке и речи не было.
Ваша идея обречена на полный провал, если только нет знакомых в ФСБ. Ищите другие подходы к задаче.