Jump to content

Как обезопаситься от левых DHCP серверов

Alex158
 Share

Recommended Posts

Alex158

Alex158

Posted
Posted

Мелкий телеком. Сеть построянная на управляемых коммутаторах 2-го уровня которые умеют почти всё кроме DHCP Snooping. Используется Option 82 + DHCP-Relay, подмена ip или MAC не возможна. Реализована схема VLAN per User. Казалось бы всё прекрасно, но портит жизнь вероятная возможность запуска с клиентской стороны DHCP. Прошу поделиться мыслями каким образом можно выявлять эти DHCP сервера. Если узнать ip подлеца то выключить порт не составляет никакого труда. Осталось только узнать этот злополучный IP.

Alex158

Alex158

Posted
  • Author
Posted (edited)

На L2 коммутаторах установленых в локальных центрах, ещё конечно существуют L3 коммутаторы которые разруливают трафик между сегментами (микрорайонами). Эти L3 - являются шлюзами для всех клиентов (на них подняты все ip интерфейсы). Планируем очень скоро устанавливать L3 в микрорайоны, т.е. на них будут терминироваться Vlan-ы. Это всё не суть проблемы как и куда свести трафик и Vlan-ы, это может и будет меняться. Важно как выловить DHCP и узнать с какого он IP?

Edited by Alex158
BudushiyISP

BudushiyISP

Posted
Posted
На L2 коммутаторах установленых в локальных центрах, ещё конечно существуют L3 коммутаторы которые разруливают трафик между сегментами (микрорайонами). Эти L3 - являются шлюзами для всех клиентов (на них подняты все ip интерфейсы). Планируем очень скоро устанавливать L3 в микрорайоны, т.е. на них будут терминироваться Vlan-ы. Это всё не суть проблемы как и куда свести трафик и Vlan-ы, это может и будет меняться. Важно как выловить DHCP и узнать с какого он IP?
На агрегации включается DCHP snopping, но это при вашей схеме не актуально. Мне лично ваш вопрос не понятен, о каких поддельных DHCP серверах идёт речь, когда пользователи напрямую друг друга не видят ?

 

Alex158

Alex158

Posted
  • Author
Posted
если схема vlan-per-user то dhcp-броадкаст дальше вилана клиента никуда не уйдёт. в чём опасения?

 

+1

Сомневаюсь что у него вообще работает вышеописаная схема. Иначе бы таких вопросов не задавал.

Еще как будет работать при использовании IP-Unnumbered и насколько я понимаю тогда и вполне возможно dhcp-броадкаст уйдет дальше вилана

 

Пожалуй оно спасибо!

Степан

Степан

Posted
Posted

если это делинк с ACL ТО:

create access_profile ip udp src_port_mask 0xFFFF profile_id 20

config access_profile profile_id 20 add access_id 1 ip udp src_port 67 port 26 permit

config access_profile profile_id 20 add access_id 2 ip udp src_port 67 port 25 permit

config access_profile profile_id 20 add access_id 3 ip udp src_port 67 port 1 deny

config access_profile profile_id 20 add access_id 4 ip udp src_port 67 port 2 deny

config access_profile profile_id 20 add access_id 5 ip udp src_port 67 port 3 deny

config access_profile profile_id 20 add access_id 6 ip udp src_port 67 port 4 deny

config access_profile profile_id 20 add access_id 7 ip udp src_port 67 port 5 deny

config access_profile profile_id 20 add access_id 8 ip udp src_port 67 port 6 deny

config access_profile profile_id 20 add access_id 9 ip udp src_port 67 port 7 deny

config access_profile profile_id 20 add access_id 10 ip udp src_port 67 port 8 deny

config access_profile profile_id 20 add access_id 11 ip udp src_port 67 port 9 deny

config access_profile profile_id 20 add access_id 12 ip udp src_port 67 port 10 deny

config access_profile profile_id 20 add access_id 13 ip udp src_port 67 port 11 deny

config access_profile profile_id 20 add access_id 14 ip udp src_port 67 port 12 deny

config access_profile profile_id 20 add access_id 15 ip udp src_port 67 port 13 deny

config access_profile profile_id 20 add access_id 16 ip udp src_port 67 port 14 deny

config access_profile profile_id 20 add access_id 17 ip udp src_port 67 port 15 deny

config access_profile profile_id 20 add access_id 18 ip udp src_port 67 port 16 deny

config access_profile profile_id 20 add access_id 19 ip udp src_port 67 port 17 deny

config access_profile profile_id 20 add access_id 20 ip udp src_port 67 port 18 deny

config access_profile profile_id 20 add access_id 21 ip udp src_port 67 port 19 deny

config access_profile profile_id 20 add access_id 22 ip udp src_port 67 port 20 deny

config access_profile profile_id 20 add access_id 23 ip udp src_port 67 port 21 deny

config access_profile profile_id 20 add access_id 24 ip udp src_port 67 port 22 deny

config access_profile profile_id 20 add access_id 25 ip udp src_port 67 port 23 deny

config access_profile profile_id 20 add access_id 26 ip udp src_port 67 port 24 deny

fedusia

fedusia

Posted
Posted

Можно это сделать покороче:

create access_profile ip udp src_port_mask 0xFFFF profile_id 20

config access_profile profile_id 20 add access_id 1 ip udp src_port 67 port 26 permit

config access_profile profile_id 20 add access_id 2 ip udp src_port 67 port 25 permit

config access_profile profile_id 20 add access_id 3 ip udp src_port 67 port 1-24 deny

 

Точно таким же методом рубим эту дрянь.

nius

nius

Posted
Posted
если схема vlan-per-user то dhcp-броадкаст дальше вилана клиента никуда не уйдёт. в чём опасения?

 

+1

Сомневаюсь что у него вообще работает вышеописаная схема. Иначе бы таких вопросов не задавал.

Еще как будет работать при использовании IP-Unnumbered и насколько я понимаю тогда и вполне возможно dhcp-броадкаст уйдет дальше вилана

 

Пожалуй оно спасибо!

 

 

все равно ничего не понял, зачем вам это при технологии vlan per-user.

UglyAdmin

UglyAdmin

Posted
Posted
если схема vlan-per-user то dhcp-броадкаст дальше вилана клиента никуда не уйдёт. в чём опасения?
Еще как будет работать при использовании IP-Unnumbered и насколько я понимаю тогда и вполне возможно dhcp-броадкаст уйдет дальше вилана

Ну-ка, ну-ка, куда оно может уйти?

Броадкасты и мультикасты при "вилан-на-юзера" заперты между юзером и BRAS'ом.

Alex158

Alex158

Posted
  • Author
Posted (edited)

Возможно я не правильно понимаю концепцию ip-unnumbered? Хочу это использовать, поэтому боюсь ошибиться. Суть то в том что я использую общее адресное пространство для пользователей которые в разных VLAN. Предположим у нас сеть 10.10.0.0/24 в ней 253 юзверя , так вот от L3 до свитча доступа трафик идет к каждому в персональном VLAN'е, но с одного общего IPIF, т.е. с 10.10.0.1 (ip на L3), т.е. этот IPIF видит всех клиентов сети 10.10.0.0/24 из разных вланов. Таким образом юзвери не коммутируются непосредственно друг с другом на ближайшем свитче, а коммутируются только через центр. Так я понял концепцию ip-unnumbered.

Юзвери находятся в одной подсети, а не каждый в своей, поэтому я опасаюсь dhcp-броадкаста. Прошу меня поправить если я ошибаюсь!

Edited by Alex158
Aliech

Aliech

Posted
Posted

Если влан на пользователя, то пока он неполучит адрес, а получит он его тока в от основного dhcp, он не увидит тачки в дургом влане.

 

Вроде так.

UglyAdmin

UglyAdmin

Posted
Posted
Юзвери находятся в одной подсети, а не каждый в своей, поэтому я опасаюсь dhcp-броадкаста. Прошу меня поправить если я ошибаюсь!
То, что у юзеров одна IP-сеть не означает что Ethernet-сеть тоже общая.

Юзеры при этом не коммутируются, они маршрутизируются.

Alex158

Alex158

Posted
  • Author
Posted

Т.е. мне нечего бояться при описанной схеме. Спасибо всем участникам дискуссии. IP-unnumbered все же привлекательно из за возможности не упираться в кол-во ip-интерфейсов и не выделять каждому свою подсеть. Но есть и минус, возможен подмен ip и поэтому возникает необходимость проверять истинность клиентских настроек.

 

Вопрос к знатокам: я не допустил ошибок в описании концепции IP-unnumbered?

UglyAdmin

UglyAdmin

Posted
Posted

Подмена тоже невозможна.

Вернее она бессмысленна: юзер может чего-нибудь наслать от чужого IP, только ответы ему не придут, т.к. маршрут в интерфейс создаётся при выдаче IP-адреса, либо прописывается статически...

 

PS. URPF можно ещё попробовать.

HoatDog

HoatDog

Posted
Posted

Можно проше по крайней мере мне было

блочиться на глухо левые dhcp

#разрешаем наш DHCP
#user's group

create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip xx.x.x.x udp src_port 67 port 1-24 permit
#где xx.x.x.x айпишник нашего DHCP
#Запрешаем все чужие DHCP
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7 
config access_profile profile_id 7 add access_id 1 ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.