Come posso proteggere una rete a basso budget da server DHCP non autorizzati?


22

Sto aiutando un amico a gestire una connessione Internet condivisa in un appartamento costruito con 80 appartamenti - 8 scale con 10 appartamenti ciascuno. La rete è strutturata con il router Internet a un'estremità dell'edificio, collegata a uno switch economico a 16 porte non gestito nella prima scala dove sono collegati anche i primi 10 appartamenti. Una porta è collegata a un altro interruttore cheapo a 16 porte nella scala successiva, dove sono collegati quei 10 appartamenti e così via. Sorta di una catena di interruttori a margherita, con 10 appartamenti come raggi su ogni "margherita". L'edificio è a forma di U, circa 50 x 50 metri, alto 20 metri, quindi dal router all'appartamento più lontano sono probabilmente circa 200 metri comprese le scale su e giù.

Abbiamo un bel po 'di problemi con le persone che collegano i router wifi nel modo sbagliato, creando server DHCP canaglia che interrompono grandi gruppi di utenti e desideriamo risolvere questo problema rendendo la rete più intelligente (invece di fare una ricerca binaria scollegando fisicamente ).

Con le mie limitate competenze di rete, vedo due modi: DHCP snooping o suddivisione dell'intera rete in VLANS separati per ogni appartamento. VLANS separati fornisce ad ogni appartamento la propria connessione privata al router, mentre lo snooping DHCP consentirà comunque il gioco LAN e la condivisione di file.

Lo snooping DHCP funzionerà con questo tipo di topologia di rete o si baserà sul fatto che la rete si trova in una corretta configurazione hub-spoke? Non sono sicuro che ci siano diversi livelli di snooping DHCP - diciamo che i costosi switch Cisco faranno qualsiasi cosa, ma quelli economici come TP-Link, D-Link o Netgear lo faranno solo in alcune topologie?

E il supporto VLAN di base sarà abbastanza buono per questa topologia? Immagino che anche gli switch gestiti a basso costo possano taggare il traffico da ciascuna porta con il proprio tag VLAN, ma quando lo switch successivo nella catena a margherita riceve il pacchetto sulla sua porta "downlink", non si spoglia o sostituirebbe il tag VLAN con il proprio trunk-tag (o qualunque sia il nome per il traffico backbone).

I soldi sono limitati e non credo che possiamo permetterci Cisco di livello professionale (ho fatto campagne per questo per anni), quindi mi piacerebbe qualche consiglio su quale soluzione abbia il miglior supporto su apparecchiature di rete di fascia bassa e se ci sono alcuni modelli specifici che sono raccomandati? Ad esempio switch HP di fascia bassa o persino marchi economici come TP-Link, D-Link ecc.

Se ho trascurato un altro modo di risolvere questo problema, è dovuto alla mia mancanza di conoscenza. :)


Sarà difficile difendere gli utenti gli uni dagli altri e consentire allo stesso tempo i giochi LAN. Devi davvero fare una scelta. Forse tagliare la pera a metà e fare 1 VLAN / Stairway?
mveroone,

Che tipo di router stai usando?
collo lungo

7
Citi Cisco un paio di volte. Dovresti guardare anche ProCurve, soprattutto perché gli attrezzi usati sono disponibili su eBay a buon mercato , hanno una garanzia a vita e hanno quasi tutte le stesse caratteristiche. Ricevo le apparecchiature ProCurve per le reti domestiche e di piccole aziende che supporto e adoro le cose. E se sei schizzinoso riguardo al "usato", c'è il programma "ReNew" di attrezzature rinnovate, certificate e quasi nuove. Ovviamente c'è sempre Nuovo disponibile per coloro con modifiche di riserva da abbandonare.
Chris S,

Il router è un Excito B3 che esegue iptables su Debian.
Kenned,

Grazie a tutti per i vostri commenti. Queste erano le munizioni di cui avevo bisogno per convincere gli altri a scegliere un gruppo di interruttori Procurve 26xx usati e impostare furgoni separati per ogni appartamento (e questo probabilmente genererà più domande da parte mia). :)
Kenned

Risposte:


20

Penso che dovresti seguire il percorso multi-VLAN e non solo a causa del problema del server DHCP. Al momento, disponi di una grande rete piatta e mentre, in una certa misura, ci si dovrebbe aspettare che gli utenti si prendano cura della propria sicurezza, troverei personalmente una configurazione piuttosto inaccettabile.

Gli unici switch che devono essere gestiti sono tuoi. Oltre a ciò, dai a ogni appartamento una singola porta su una VLAN specifica - qualsiasi cosa a valle di ciò sarà completamente inconsapevole della VLAN e puoi funzionare normalmente.

In termini di switch, le porte switch-to-switch dovranno essere configurate come porte trunk e sarà necessario essere coerenti con gli ID VLAN. In altre parole, VLAN100 DEVE corrispondere a VLAN100 ovunque nella rete.

Oltre a ciò, è possibile impostare una configurazione "Router-on-a-stick", con ogni VLAN (e il relativo pool di IP *) configurato solo per instradare avanti e indietro verso Internet e NON verso altre reti interne.

* Non riuscivo a pensare a nessun altro posto dove attaccarlo, ma ricorda che idealmente dovresti dare alle tue VLAN il loro pool di IP. Il modo più semplice per farlo è mantenere uno degli ottetti uguale all'ID VLAN, ad es

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Una volta che tutto questo è a posto, puoi davvero iniziare a prenderlo con cose come Quality-Of-Service, monitoraggio del traffico e così via se lo desideri!

La richiesta di "Giochi LAN" sembra essere una richiesta relativamente di nicchia, per me, e certamente non una a cui penserei. Possono comunque giocare normalmente attraverso NAT andando su Internet e viceversa - non è l'ideale, ma non è diverso per ogni appartamento con la propria connessione che è la norma qui nel Regno Unito. Caso per caso, tuttavia, è possibile aggiungere il routing inter-VLAN completo tra appartamenti che vogliono condividere la propria rete in quel modo.

In effetti, POTREBBE aggiungere ovunque il routing Inter-VLAN completo, che risolverà i problemi DHCP, consentirebbe QoS, ma secondo me è ancora un grosso problema di sicurezza.

L'unica cosa che non ho trattato qui è il tuo DHCP - presumibilmente al momento hai un unico ambito per tutti i tuoi clienti. Se le metti su reti separate, dovrai gestire un ambito separato per ogni VLAN. Dipende molto dal dispositivo e dall'infrastruttura, quindi per ora lo lascerò spento.


Il suo problema con questa rotta è che i suoi switch non sono gestiti a questo punto, quindi non è stato in grado di impostare la configurazione della porta trunk (o addirittura impostare il vlan per porta a questo punto). Per lo meno ha bisogno di un nuovo passaggio.
Rex,

2
@Rex Non credo che ci sia mai stata alcuna domanda sulla necessità di nuovi switch - l'OP sembrava sapere che i suoi attuali switch non gestiti non sono abbastanza buoni.
Dan,

4
+1 Questo è l'unico modo per volare. Tuttavia, dovrai aggiungere il routing tra VLAN prima o durante la distribuzione di IPv6.
Michael Hampton

2
I +1 Vlan offrono sicurezza per ogni appartamento e DHCP. Dovresti anche menzionare l'autorizzazione di rete, i termini di servizio e la limitazione della larghezza di banda (per limite Vlan, per limite protocollo). E potresti esaminare una cache dei contenuti (netflix, vudu, etal).
ChuckCottrill,

6

A seconda del budget, prendi almeno uno switch gestito e metti ogni piano su una VLAN.

Per risolvere completamente il problema di sicurezza e DHCP, se il cablaggio lo consente, ottenere uno switch gestito a 24 porte per ogni due piani. Se il cablaggio non lo consente, l'uso di patch panel per estendere le corse è probabilmente più economico di più switch.

È possibile risparmiare sull'attrezzatura utilizzando gli switch gestiti 10/100, tuttavia, a seconda del fornitore, potrebbe essere necessaria una grande esperienza per la configurazione (Cisco).

Come programmatore spinto a configurare una rete di oltre 1000 porte in un edificio per uffici a 8 piani con fibra, posso dire che la GUI degli switch gestiti D-link abbinata al manuale ti consentirà di fare tutto ciò di cui hai bisogno. Non sto dicendo che devi usare D-Link, sto solo dicendo che non penso che sarai deluso. Gli switch gestiti D-Link (Livello 2+) sono convenienti e possono eseguire DHCP sullo switch (non raccomandandolo, ma è un'opzione). Hanno un livello di commutazione "Smart" inferiore che può fare tutto il necessario.

Se esegui una VLAN per piano un / 23 (512 host) dovrebbe essere sufficiente (ingrandisci se prevedi di implementare il wireless). Se si esegue una VLAN per appartamento, dovrebbe essere un / 27 (30 host).

A mio parere, il modo più semplice per eseguire DHCP per più VLAN sarebbe quello di prendere un Raspberry PI e usare il DHCP ISC . È possibile utilizzare qualsiasi macchina a basso consumo dotata di una scheda NIC che supporti VLAN. (Personalmente, prenderei un router EdgeMax per $ 99 ed eseguirò DHCP su quello!)

Basta scegliere un intervallo / sottorete IP per ogni VLAN, la configurazione DHCP dell'ISC per una VLAN potrebbe essere simile a questa:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Puoi attaccare le opzioni globali al di fuori di ogni ambito, quindi almeno finirai con qualcosa del genere:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Se in ogni appartamento sono presenti più prese di rete, impostare lo spanning tree protocol per evitare loop. Questo può rallentare le cose se non lo si configura correttamente, facendo sì che ciascuna porta impieghi 30 secondi o più, quindi assicurati di provarla. C'è un'opzione che vorrai abilitare, credo che Cisco lo chiami PortFast.

Non l'ho fatto personalmente, ma apparentemente il server Windows rende molto semplice l'installazione.

Considera anche:

  • Un server di inoltro DNS nella cache locale, il traffic shaping e forse QoS per VoIP migliorerebbero la reattività generale (se l'hardware fosse in grado di eseguire tali servizi a velocità di linea).

  • Se prevedi di aggiornare le telecamere di sicurezza o di implementare il wireless, potrebbe valere la pena procurarti attrezzature POE.

  • Poiché molti router wireless economici non funzionano come AP standalone, il meglio che si possa sperare è che gli inquilini utilizzino un doppio NAT. Se tutti dovessero collegare il proprio router alla rete tramite la porta WAN / Internet, ciò migliorerebbe la sicurezza ed eliminerebbe anche il problema DHCP. Un foglio di istruzioni ben stampato con i comuni marchi di router potrebbe farti risparmiare alcune attrezzature e problemi; tuttavia, la piena conformità sarebbe difficile.

  • Utilizza uno strumento come namebench per trovare i server DNS più veloci per il tuo ISP.

In bocca al lupo!


Cosa intendi con "Utilizzare i pannelli patch per estendere le esecuzioni?" I pannelli patch non offrono alcuna distanza massima di cablaggio aggiuntiva.
Justus Thane,

Non mi riferivo alla distanza massima di cablaggio; Stavo semplicemente dicendo se i fili fossero troppo corti per consentire un interruttore su ogni altro piano che un pannello patch che va al piano più vicino con un interruttore potrebbe fare il trucco.
Jeffrey,

2
Quando ero Software Development Manager per un'azienda che forniva reti basate sui visitatori agli hotel (tra 500-1000 siti), gestivamo Squid su> 500 siti. Abbiamo misurato il nostro indice di hit della cache di Squid per circa un anno e abbiamo riscontrato che la nostra percentuale di hit della cache era <2%, quindi abbiamo disattivato Squid e le prestazioni della rete sono migliorate.
ChuckCottrill,

1
Chuck, punto eccellente con grandi numeri per il backup. Le percentuali di successo sono sensate poiché la maggior parte del Web utilizza ora SSL. Nelle mie implementazioni stavo memorizzando nella cache e filtrando i contenuti SSL sui dispositivi di proprietà dell'azienda. Sono triste a dire che non vedo Squid giocare un ruolo al di fuori delle implementazioni aziendali simili al mio.
Jeffrey,

1

Se si dispone di un router decente, una possibile soluzione è impostare una VLAN per appartamento e assegnare un indirizzo / 30 a ciascuna VLAN. Creare anche un ambito DHCP per ogni VLAN che assegna un solo indirizzo IP.

Per esempio:

  • vlan 100
    • sottorete 10.0.1.0/30
    • router 10.0.1.1
    • utente 10.0.1.2
  • vlan 104
    • sottorete 10.0.1.4/30
    • router 10.0.1.5
    • utente 10.0.1.6

Questo risolve il problema del gioco tra appartamenti perché il router può instradare tra appartamenti. Risolve anche il problema DHCP non autorizzato perché il traffico DHCP è isolato dalla VLAN dell'appartamento e ottengono un solo indirizzo IP.


-2

Vorrei scegliere PPPOE e un server semplice, come ... mikrotik o qualunque cosa lo supporti. Questo sembrerebbe il modo più semplice. Sono sicuro che lo hai risolto ormai, ma per chiunque avrà questo problema ... pppoe è la risposta più veloce.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.