Bagaimana cara melindungi jaringan anggaran rendah dari server DHCP jahat?

22

Saya membantu seorang teman mengelola koneksi internet bersama di sebuah apartemen dengan 80 apartemen - 8 tangga dengan masing-masing 10 apartemen. Jaringan diletakkan dengan router internet di salah satu ujung gedung, terhubung ke switch 16 port murah yang tidak dikelola di tangga pertama di mana 10 apartemen pertama juga terhubung. Satu port terhubung ke switch 16 port murahan lainnya di tangga berikutnya, di mana 10 apartemen tersebut terhubung, dan sebagainya. Semacam rantai daisy switch, dengan 10 apartemen sebagai jari-jari pada setiap "daisy". Bangunan ini berbentuk U, sekitar 50 x 50 meter, 20 meter - jadi dari router ke apartemen terjauh mungkin sekitar 200 meter termasuk tangga naik-turun.

Kami memiliki sedikit masalah dengan orang-orang yang menghubungkan wifi-router dengan cara yang salah, menciptakan server DHCP jahat yang mengganggu kelompok besar pengguna dan kami ingin menyelesaikan masalah ini dengan membuat jaringan lebih pintar (daripada melakukan pencarian biner fisik yang mencabut secara fisik. ).

Dengan keterampilan jaringan saya yang terbatas, saya melihat dua cara - DHCP-mengintip atau memecah seluruh jaringan menjadi VLAN terpisah untuk setiap apartemen. VLANS yang terpisah memberikan setiap apartemen koneksi pribadi mereka sendiri ke router, sementara DHCP snooping akan tetap memungkinkan permainan LAN dan berbagi file.

Akankah DHCP mengintai berfungsi dengan topologi jaringan semacam ini, atau apakah itu bergantung pada jaringan yang berada dalam konfigurasi hub-and-spoke yang tepat? Saya tidak yakin jika ada beberapa level DHCP snooping - katakanlah seperti switch Cisco yang mahal akan melakukan apa saja, tetapi yang murah seperti TP-Link, D-Link atau Netgear hanya akan melakukannya dalam topologi tertentu?

Dan akankah dukungan VLAN dasar cukup baik untuk topologi ini? Saya kira bahkan switch yang dikelola murah dapat menandai lalu lintas dari setiap port dengan tag VLAN itu sendiri, tetapi ketika switch berikutnya dalam rantai daisy menerima paket pada port "downlink", bukankah itu akan menghapus atau mengganti tag VLAN dengan itu sendiri trunk-tag (atau apa pun namanya untuk lalu lintas backbone).

Uang sangat ketat, dan saya pikir kami tidak mampu membeli Cisco kelas profesional (saya telah berkampanye selama bertahun-tahun), jadi saya ingin saran tentang solusi mana yang memiliki dukungan terbaik pada peralatan jaringan kelas bawah dan jika ada sajakah beberapa model spesifik yang direkomendasikan? Misalnya switch HP kelas bawah atau bahkan merek murah seperti TP-Link, D-Link dll.

Jika saya mengabaikan cara lain untuk menyelesaikan masalah ini, itu karena kurangnya pengetahuan saya. :)

Kennedy
sumber
Akan agak sulit untuk mempertahankan pengguna dari satu sama lain dan memungkinkan game LAN pada saat yang sama. Anda memang harus membuat pilihan. Mungkin memotong pir menjadi dua dan melakukan 1 VLAN / Stairway?
mveroone
Jenis router apa yang Anda gunakan?
longneck
7
Anda menyebutkan Cisco beberapa kali .. Anda harus melihat ProCurve juga, terutama karena gigi bekas tersedia di eBay murah , dilengkapi dengan garansi seumur hidup, dan memiliki hampir semua fitur yang sama. Saya terbiasa menggunakan peralatan ProCurve untuk rumah dan jaringan bisnis kecil yang saya dukung, dan sangat menyukai barang-barang itu. Dan jika Anda tidak suka dengan "bekas" ada program "ReNew" untuk peralatan yang baru, disertifikasi, hampir baru. Tentu saja selalu ada yang Baru tersedia bagi mereka dengan cadangan untuk menjatuhkan.
Chris S
Router adalah Excito B3 yang menjalankan iptables di Debian.
Kennedy
Terima kasih semuanya, atas komentar Anda. Ini adalah amunisi yang saya perlukan untuk meyakinkan yang lain untuk membeli sekelompok switch Procurve 26xx bekas dan mengatur vlan terpisah untuk setiap apartemen (dan ini mungkin akan memunculkan lebih banyak pertanyaan di pihak saya). :)
Kenned

Jawaban:

20

Saya pikir Anda harus pergi rute multi-VLAN - dan bukan hanya karena masalah server DHCP. Saat ini, Anda memiliki satu jaringan flat besar dan sementara pada tingkat tertentu, pengguna diharapkan untuk menjaga keamanan mereka sendiri, saya pribadi akan menemukan itu pengaturan yang cukup tidak dapat diterima.

Satu-satunya sakelar yang perlu dikelola adalah milik Anda. Selain itu, Anda memberi setiap apartemen satu port pada VLAN tertentu - apa pun di hilir yang sama sekali tidak menyadari VLAN dan Anda dapat berfungsi secara normal.

Dalam hal sakelar Anda - port sakelar ke sakelar perlu dikonfigurasikan sebagai port trunk dan Anda harus konsisten dengan ID VLAN Anda. Dengan kata lain, VLAN100 HARUS berhubungan dengan VLAN100 di tempat lain di jaringan.

Selain itu, Anda dapat mengatur konfigurasi "Router-on-a-stick", dengan masing-masing VLAN (dan ini terkait kumpulan IP *) yang dikonfigurasikan hanya untuk bolak-balik ke internet dan BUKAN ke jaringan internal lainnya.

* Saya tidak bisa memikirkan tempat lain untuk menempel ini, tetapi ingat bahwa idealnya Anda harus memberikan kumpulan IP IP sendiri. Cara termudah untuk melakukan ini adalah menjaga salah satu oktet sama dengan VLAN ID, mis

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Setelah semua ini ada di tempat, Anda benar-benar dapat mulai mengambil tempat dengan hal-hal seperti Kualitas Layanan, pemantauan lalu lintas dan sebagainya jika Anda mau!

Permintaan "Game LAN" tampaknya merupakan permintaan yang relatif niche, bagi saya, dan tentu saja bukan yang saya pikirkan. Mereka masih dapat bermain secara normal melalui NAT dengan pergi ke internet dan kembali - tidak ideal, tetapi tidak berbeda dengan setiap apartemen yang memiliki koneksi sendiri yang merupakan norma di sini di Inggris. Namun, berdasarkan kasus per kasus, Anda dapat menambahkan perutean antar-VLAN penuh antar apartemen yang ingin berbagi jaringan dengan cara itu.

Bahkan, Anda BISA menambahkan perutean penuh Inter-VLAN di mana-mana - yang akan memperbaiki masalah DHCP Anda, memungkinkan QoS tetapi masih merupakan masalah keamanan besar menurut saya.

Satu hal yang belum saya bahas di sini adalah DHCP Anda - mungkin Anda memiliki cakupan tunggal saat ini untuk semua klien Anda. Jika Anda menempatkannya di jaringan yang terpisah maka Anda harus mengelola ruang lingkup yang terpisah untuk setiap VLAN. Itu benar-benar tergantung pada perangkat dan infrastruktur, jadi saya akan mengabaikan ini untuk saat ini.

Dan
sumber
Masalahnya dengan rute ini adalah sakelarnya tidak dikelola pada saat ini sehingga ia tidak dapat mengatur konfigurasi port trunk (atau bahkan mengatur vlan per port pada saat ini). Setidaknya dia membutuhkan peralihan baru.
Rex
2
@Rex Saya tidak berpikir pernah ada pertanyaan yang membutuhkan switch baru - OP tampaknya tahu bahwa switch yang tidak dikelola saat ini tidak cukup baik.
Dan
4
+1 Ini adalah satu-satunya cara untuk terbang. Anda harus menambahkan perutean antar-VLAN sebelum atau sebagai bagian dari penerapan IPv6.
Michael Hampton
2
+1 Vans memberikan keamanan untuk setiap apartemen serta DHCP. Anda juga harus menyebutkan otorisasi jaringan, ketentuan layanan, dan pembatasan bandwidth (per batas Vlan, per batas protokol). Dan Anda dapat menyelidiki cache konten (netflix, vudu, etal).
ChuckCottrill
6

Bergantung pada anggaran Anda, paling tidak ambil satu sakelar yang dikelola dan letakkan setiap lantai di VLAN.

Untuk sepenuhnya menyelesaikan masalah keamanan dan DHCP Anda, jika pemasangan kabel memungkinkan, dapatkan sakelar 24-port yang dikelola untuk setiap dua lantai. Jika pemasangan kabel tidak memungkinkan, menggunakan panel tambalan untuk memperpanjang proses mungkin lebih murah daripada lebih banyak sakelar.

Anda dapat menghemat gigi dengan membiasakan sakelar terkelola 10/100, namun, tergantung pada vendornya, mungkin memerlukan keahlian yang besar untuk mengatur (Cisco).

Ketika seorang programmer dilemparkan ke pengaturan jaringan port 1000+ di gedung kantor 8 lantai dengan fiber, saya dapat mengatakan bahwa DUI yang dikelola switch GUI dipasangkan dengan manual akan memungkinkan Anda untuk melakukan apa pun yang Anda butuhkan. Saya tidak mengatakan Anda harus menggunakan D-Link, saya hanya mengatakan saya tidak berpikir Anda akan kecewa. Sakelar terkelola D-Link (Level 2+) terjangkau dan dapat menjalankan DHCP pada sakelar (tidak merekomendasikan ini, tetapi ini merupakan opsi). Mereka memiliki tier switch "Smart" yang lebih rendah yang dapat melakukan semua yang Anda butuhkan.

Jika Anda melakukan VLAN per lantai a / 23 (512 host) harus memadai (lebih besar jika Anda berencana untuk meluncurkan nirkabel). Jika Anda melakukan VLAN per apartemen, a / 27 (30 host) harus dilakukan.

Cara termudah untuk melakukan DHCP untuk beberapa VLAN menurut saya adalah dengan mengambil raspberry PI dan menggunakan DHCP ISC . Anda dapat menggunakan mesin berdaya rendah apa pun yang memiliki NIC yang mendukung VLAN. (Secara pribadi, saya akan mengambil router EdgeMax seharga $ 99 dan menjalankan DHCP untuk itu!)

Cukup pilih rentang IP / subnet per setiap VLAN, konfigurasi ISC DHCP Anda untuk VLAN mungkin terlihat seperti ini:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Anda dapat menempelkan opsi global di luar setiap cakupan, sehingga paling tidak Anda akan berakhir dengan sesuatu seperti ini:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Jika setiap apartemen memiliki beberapa jack jaringan mengatur spanning tree protocol untuk menghindari loop. Ini dapat memperlambat segalanya jika Anda tidak mengonfigurasinya dengan benar sehingga setiap port membutuhkan waktu 30 detik atau lebih untuk muncul, jadi pastikan Anda mengujinya. Ada opsi yang ingin Anda aktifkan, saya yakin Cisco menyebutnya PortFast.

Saya belum melakukan ini secara pribadi, tetapi ternyata server Windows membuatnya sangat mudah untuk mengatur ini.

Pertimbangkan juga:

  • Forwarder caching DNS lokal, pembentukan lalu lintas, dan mungkin QoS untuk VoIP akan meningkatkan daya tanggap secara keseluruhan (jika perangkat keras Anda mampu menjalankan layanan dengan kecepatan tinggi).

  • Jika Anda berencana untuk meningkatkan kamera keamanan atau meluncurkan nirkabel, mungkin ada baiknya Anda membeli perlengkapan POE.

  • Karena banyak Router Nirkabel murah tidak berfungsi sebagai AP mandiri, yang terbaik yang dapat Anda harapkan adalah bahwa penyewa akan menggunakan Double NAT. Jika semua orang melakukan plugin router mereka ke jaringan Anda melalui port WAN / Internet yang akan meningkatkan keamanan dan menghilangkan masalah DHCP juga. Lembar instruksi yang dicetak dengan baik dengan merek-merek router umum dapat menghemat beberapa peralatan dan masalah; Namun, kepatuhan penuh akan sulit.

  • Gunakan alat seperti namebench untuk menemukan server DNS tercepat untuk ISP Anda.

Semoga berhasil!

Jeffrey
sumber
Apa yang Anda maksud dengan "Gunakan panel tambalan untuk memperpanjang proses?" Panel patch tidak akan memberi Anda jarak pemasangan kabel maks.
Justus Thane
Saya tidak mengacu pada jarak pemasangan kabel maksimum; Saya hanya mengatakan jika kabel terlalu pendek untuk memungkinkan setiap lantai beralih bahwa panel patch pergi ke lantai terdekat dengan saklar bisa melakukan trik.
Jeffrey
2
Ketika saya menjadi Manajer Pengembangan Perangkat Lunak untuk perusahaan yang menyediakan jaringan berbasis pengunjung ke hotel (antara 500-1000 situs), kami menjalankan Squid di> 500 situs. Kami mengukur rasio hit cache Squid kami selama sekitar satu tahun, dan menemukan rasio hit cache kami adalah <2%, jadi kami mematikan Squid, dan kinerja jaringan meningkat.
ChuckCottrill
1
Chuck, poin yang sangat bagus dengan jumlah besar untuk mendukungnya. Rasio klik Anda masuk akal karena sebagian besar web sekarang menggunakan SSL. Dalam penyebaran saya, saya melakukan caching dan memfilter konten SSL pada perangkat milik perusahaan. Saya sedih mengatakan saya tidak melihat Squid berperan di luar penyebaran perusahaan yang serupa dengan milik saya.
Jeffrey
1

Jika Anda memiliki router yang layak, satu solusi yang memungkinkan adalah menyiapkan satu VLAN per apartemen dan menetapkan alamat / 30 untuk setiap VLAN. Juga buat cakupan DHCP untuk setiap VLAN yang hanya menetapkan satu alamat IP.

Sebagai contoh:

  • vlan 100
    • subnet 10.0.1.0/30
    • router 10.0.1.1
    • pengguna 10.0.1.2
  • vlan 104
    • subnet 10.0.1.4/30
    • router 10.0.1.5
    • pengguna 10.0.1.6

Ini memecahkan masalah gaming antar apartemen karena router dapat merutekan antar apartemen. Ini juga memecahkan masalah DHCP jahat karena lalu lintas DHCP terisolasi ke VLAN apartemen itu dan mereka hanya mendapatkan satu alamat IP.

leher panjang
sumber
-2

Saya akan memilih PPPOE dan server sederhana, seperti ... mikrotik atau apa pun yang mendukungnya. Tampaknya ini cara yang mudah. Saya yakin Anda sudah menyelesaikannya sekarang, tetapi bagi siapa pun yang memiliki masalah ini ... pppoe adalah jawaban tercepat.

Cip
sumber