Як захистити низькобюджетну мережу від шахрайських серверів DHCP?


22

Я допомагаю другові управляти спільним підключенням до Інтернету в квартирі з 80 квартирами - 8 сходів з 10 квартирами в кожній. Мережа прокладена за допомогою інтернет-маршрутизатора на одному кінці будівлі, підключеного до дешевого не керованого 16-портового комутатора на першій сходовій клітці, де також підключено перші 10 квартир. Один порт підключений до іншого 16-портового перемикача cheapo на наступній сходовій клітці, де підключено ці 10 квартир тощо. Сорт ромашкового ланцюга вимикачів з 10 квартирами на спицях на кожній «ромашці». Будівля має П-образну форму, приблизно 50 х 50 метрів, висота 20 метрів - тож від маршрутизатора до найдальшої квартири це, мабуть, близько 200 метрів, включаючи сходи вгору-вниз.

У нас є досить багато проблем із тим, що люди підключають wifi-роутери неправильно, створюючи шахрайські сервери DHCP, які перебивають великі групи користувачів, і ми хочемо вирішити цю проблему, зробивши мережу розумнішою (замість фізичного відключення бінарного пошуку ).

Маючи свої обмежені навички роботи в мережі, я бачу два способи - прослуховування DHCP або розділення всієї мережі на окремі VLANS для кожної квартири. Окремий VLANS надає кожній квартирі власне приватне підключення до маршрутизатора, тоді як прослуховування DHCP все одно дозволить локальній грі та обміну файлами.

Чи буде прослуховування DHCP працювати з таким видом мережевої топології, чи це покладається на те, що мережа перебуває у правильній конфігурації концентратора та говорити? Я не впевнений, чи існують різні рівні прослуховування DHCP - скажімо, як дорогі комутатори Cisco зроблять щось, але недорогі, такі як TP-Link, D-Link або Netgear, будуть робити це лише у певних топологіях?

І чи буде достатня підтримка базової VLAN для цієї топології? Я думаю, що навіть дешеві керовані комутатори можуть тегувати трафік з кожного порту за допомогою власного тегу VLAN, але коли наступний комутатор у ланцюжку Дейзі отримує пакет на його порту "низхідній лінії зв'язку", він би не знімав або заміняв тег VLAN своїм власним trunk-tag (або як би це не було для основного трафіку).

Гроші є обмеженими, і я не думаю, що ми можемо дозволити собі професійну оцінку Cisco (я веду цю кампанію вже протягом багатьох років), тому я хотів би порадити, яке рішення має найкращу підтримку щодо мережевого обладнання низького класу та чи є деякі конкретні моделі, які рекомендуються? Наприклад, комутатори HP низького класу або навіть бюджетні марки, такі як TP-Link, D-Link тощо.

Якщо я не звернув уваги на інший спосіб вирішення цієї проблеми, це пов’язано з нестачею знань. :)


Захищати користувачів один від одного буде важко і одночасно дозволити ігрові ігри LAN. Ви дійсно повинні зробити вибір. Може, розрізати грушу навпіл і зробити 1 VLAN / сходи?
mveroone

Який роутер ви використовуєте?
longneck

7
Ви кілька разів згадуєте про Cisco. Ви також повинні поглянути на ProCurve, особливо, оскільки використовувана передача доступна на eBay дешево , має довічну гарантію і має майже всі ті ж функції. Я використовую обладнання ProCurve для домашніх та малих бізнес-мереж, які я підтримую, і абсолютно люблю цей матеріал. А якщо ви наполягаєте на "б / в", програма "ReNew" відремонтоване, сертифіковане, майже нове обладнання. Звичайно, завжди є Нове, доступне для тих, хто має запасні зміни.
Chris S

Маршрутизатор - це Expito B3, який працює на iptables на Debian.
Кеннед

Дякую всім за ваші коментарі. Це було боєприпаси, які мені потрібно було переконати інших, щоб зайняти купу використаних комутаторів Procurve 26xx та встановити окремі влани для кожної квартири (і це, ймовірно, породить більше питань з мого боку). :)
Кеннед

Відповіді:


20

Я думаю, вам слід пройти маршрут з кількома VLAN - і не лише через проблему із сервером DHCP. На даний момент у вас є одна велика плоска мережа, і, хоча певною мірою слід очікувати, що користувачі піклуються про власну безпеку, я особисто вважаю це досить неприйнятним налаштуванням.

Єдині комутатори, якими потрібно керувати, - це ваші. Крім того, ви надаєте кожній квартирі по одному порту на певній VLAN - все, що знаходиться нижче за цією програмою, буде абсолютно невідомим про VLAN і ви можете нормально функціонувати.

З точки зору ваших комутаторів - порти перемикання на комутатор потребують конфігурування як порти магістралі, і вам потрібно відповідати ідентифікаторам VLAN. Іншими словами, VLAN100 ОБОВ'ЯЗКОВО відповідає VLAN100 скрізь у мережі.

Крім цього, ви можете встановити конфігурацію "Маршрутизатор-на-палиці", при цьому кожна VLAN (І це пов'язаний пул IP-адрес *) налаштована лише для маршруту назад і назад до Інтернету, а НЕ до інших внутрішніх мереж.

* Я не міг придумати більше нікого, щоб це приклеїти, але пам’ятайте, що в ідеалі ви повинні надавати вашим VLAN власним пулом IP-адрес. Найпростіший спосіб зробити це - зберегти один з октетів таким же, як ідентифікатор VLAN, наприклад

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Після того, як все це на своєму місці, ви дійсно можете почати розміщувати його з такими речами, як якість обслуговування, моніторинг руху тощо, якщо хочете!

Запит на "Ігри в локальну мережу" видається мені відносно нішевим запитом, і, звичайно, не таким, про який я б думав. Вони все ще можуть нормально грати через NAT, виходячи до Інтернету та назад - не ідеально, але нічим не відрізняється від кожної квартири, яка має власний зв’язок, що є нормою тут, у Великобританії. Однак, у кожному конкретному випадку, ви можете додати повну маршрутизацію між VLAN між квартирами, які хочуть поділитись їх мережею таким чином.

Насправді, ви могли б додати повну маршрутизацію між VLAN скрізь - це дозволило б виправити ваші проблеми DHCP, дозволити QoS, але, на мою думку, все ще є серйозною проблемою безпеки.

Одне, що я тут не висвітлював, це ваш DHCP - імовірно, у вас є єдиний обсяг на даний момент для всіх ваших клієнтів. Якщо ви розмістите їх в окремих мережах, вам потрібно буде керувати окремою областю для кожної VLAN. Це дійсно залежить від пристрою та інфраструктури, тому я покину це вимкнено.


Його проблема з проходженням цього маршруту полягає в тому, що його комутатори в даний момент не керуються, тому він не міг встановити конфігурацію порту магістралі (або навіть встановити vlan на порт в цей момент). Йому потрібні нові комутації як мінімум.
Рекс

2
@Rex Я не думаю, що коли-небудь виникало питання про необхідність нових комутаторів - ОП, здавалося, знає, що його нинішні некеровані комутатори недостатньо хороші.
День

4
+1 Це єдиний спосіб літати. Вам потрібно буде додати маршрутизацію між VLAN до або як частина розгортання IPv6.
Майкл Хемптон

2
+1 Власти забезпечують безпеку для кожної квартири, а також DHCP. Ви також повинні згадати мережеву авторизацію, умови обслуговування та зменшення пропускної здатності (за ліміт Vlan, за ліміт протоколу). І ви можете дослідити кеш вмісту (netflix, vudu, etal).
ChuckCottrill

6

Залежно від вашого бюджету, як мінімум, підберіть один керований комутатор і поставте кожен поверх на VLAN.

Щоб повністю вирішити проблему безпеки та DHCP, якщо це дозволяє кабелі, отримайте комутаційний комутатор на 24 порти на кожні два поверхи. Якщо кабельне не дозволяє, використовувати патч-панелі для продовження пробігу, ймовірно, дешевше, ніж більше комутаторів.

Ви можете зекономити на передачах, використовуючи 10/100 керованих комутаторів, однак, залежно від постачальника, можливо, знадобиться мати великий досвід (Cisco).

Будучи програмістом, який запроваджує налаштування мережі 1000+ портів у 8-поверховій офісній будівлі з волокном, я можу сказати, що комутатори, керовані D-link, GUI, поєднані з посібником, дозволять вам робити все, що вам потрібно. Я не кажу, що вам доведеться використовувати D-Link, я просто кажу, що не думаю, що ви будете розчаровані. D-Link керовані вимикачі (рівень 2+) доступні і можуть запускати DHCP на комутаторі (не рекомендую цього, але це варіант). У них нижній рівень «Розумний» комутатор, який може робити все необхідне.

Якщо ви користуєтесь локальною мережею VLAN на поверсі, / 23 (512 хостів) має бути достатньою (збільшити більше, якщо ви плануєте коли-небудь прокласти бездротовий зв'язок). Якщо у вас є VLAN на квартиру, / / ​​27 (30 господарів) повинні зробити.

Найпростіший спосіб зробити DHCP для декількох VLAN, на мою думку, - це захопити PI малини та використовувати ISC DHCP . Ви можете використовувати будь-яку машину малої потужності, яка має NIC, який підтримує VLAN. (Особисто я захоплю маршрутизатор EdgeMax за 99 доларів і запускаю DHCP на цьому!)

Просто виберіть IP-діапазон / підмережу для кожної VLAN, ваш ISC DHCP-конфігурація для VLAN може виглядати приблизно так:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Ви можете дотримуватися глобальних варіантів за межами кожної області, так що принаймні ви отримаєте щось подібне:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Якщо в кожній квартирі є декілька мережевих гнізд, встановіть протокол, що охоплює дерево, щоб уникнути циклів. Це може уповільнити ситуацію, якщо ви не налаштуєте її належним чином, змусивши кожен порт зайняти 30 секунд або більше, тому переконайтесь, що ви протестуєте його. Є опція, яку ви хочете включити, я вважаю, що Cisco називає це PortFast.

Я цього не робив особисто, але, мабуть, сервер Windows дуже легко налаштовує це.

Також врахуйте:

  • Локальний кешируючий DNS-експедитор, формування трафіку та, можливо, QoS для VoIP покращить загальну реакцію (якщо ваше обладнання може бути спроможним запускати вказані служби на лінійній швидкості).

  • Якщо ви плануєте модернізувати камери безпеки або прокрутити бездротовий зв'язок, можливо, варто придбати обладнання для POE.

  • Оскільки багато дешевих бездротових маршрутизаторів не функціонують як автономні AP, найкраще можна сподіватися, що орендарі будуть використовувати подвійний NAT. Якби кожен підключив свій маршрутизатор до вашої мережі через порт WAN / Internet, це покращило б безпеку та усунуло також проблему DHCP. Добре надрукований аркуш інструкцій із поширеними марками маршрутизаторів може врятувати вам певне обладнання та проблеми; однак повне дотримання було б складно.

  • Використовуйте такий інструмент, як namebench, щоб знайти найшвидші сервери DNS для свого провайдера.

Удачі!


Що ви маєте на увазі під використанням "патч-панелей для продовження пробігу?" Патч-панелі не дадуть вам додаткової максимальної відстані в проводці.
Justus Thane

Я не мав на увазі максимальну відстань кабелів; Я просто говорив, якщо проводки занадто короткі, щоб дозволити перемикати кожен другий поверх, що патч-панель, що йде до найближчого поверху з перемикачем, може зробити свою справу.
Джефрі

2
Коли я був менеджером з розробки програмного забезпечення для компанії, яка надавала відвідувачам мережі на основі готелів (від 500 до 1000 сайтів), ми проводили кальмари на> 500 сайтів. Ми вимірювали коефіцієнт звернень до кешу кальмарів протягом приблизно року, і виявили, що наше відношення в кеш-пам'яті було <2%, тому ми вимкнули Squid, і продуктивність мережі покращилась.
ChuckCottrill

1
Чак, чудова точка з великою кількістю, щоб підкріпити це. Ваша частота звернень має сенс, оскільки в більшості веб-сайтів зараз використовується SSL. У своїх розгортаннях я кешував і фільтрував вміст SSL на пристроях, що належать компанії. Мені сумно сказати, що я не бачу, щоб кальмари грали роль поза межами розгортань підприємств, подібних до моїх.
Джефрі

1

Якщо у вас є гідний маршрутизатор, одне можливе рішення - встановити одну VLAN на квартиру та призначити адресу / 30 для кожної VLAN. Також створіть область DHCP для кожної VLAN, якій призначено лише одну IP-адресу.

Наприклад:

  • vlan 100
    • підмережа 10.0.1.0/30
    • маршрутизатор 10.0.1.1
    • користувач 10.0.1.2
  • vlan 104
    • підмережа 10.0.1.4/30
    • маршрутизатор 10.0.1.5
    • користувач 10.0.1.6

Це вирішує проблему гри між квартирами, оскільки маршрутизатор може здійснювати маршрути між квартирами. Він також вирішує шахрайську проблему DHCP, оскільки трафік DHCP ізольований від VLAN цієї квартири, і вони отримують лише одну IP-адресу.


-2

Я вибрав би PPPOE і простий сервер, як-от ... mikrotik або все, що його підтримує. Це здавалося б простим способом. Я впевнений, що ви вирішили це до цього часу, але для кого-небудь буде ця проблема ... pppoe - найшвидша відповідь.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.