Comment protéger un réseau à petit budget contre les serveurs DHCP non autorisés?

22

J'aide un ami à gérer une connexion Internet partagée dans un immeuble de 80 appartements - 8 escaliers avec 10 appartements chacun. Le réseau est disposé avec le routeur Internet à une extrémité du bâtiment, connecté à un commutateur bon marché non géré à 16 ports dans le premier escalier où les 10 premiers appartements sont également connectés. Un port est connecté à un autre commutateur pas cher à 16 ports dans l'escalier suivant, où ces 10 appartements sont connectés, etc. Sorte de guirlande d'interrupteurs, avec 10 appartements comme rayons sur chaque "marguerite". Le bâtiment est en forme de U, environ 50 x 50 mètres, 20 mètres de haut - donc du routeur à l'appartement le plus éloigné, il est probablement d'environ 200 mètres, y compris les escaliers de haut en bas.

Nous avons pas mal de problèmes avec les gens qui connectent les routeurs wifi dans le mauvais sens, créant des serveurs DHCP voyous qui interrompent de grands groupes d'utilisateurs et nous souhaitons résoudre ce problème en rendant le réseau plus intelligent (au lieu de faire une recherche binaire de débranchement physique ).

Avec mes compétences en réseau limitées, je vois deux façons: espionner DHCP ou diviser l'ensemble du réseau en VLANS séparés pour chaque appartement. Des VLANS séparés donnent à chaque appartement leur propre connexion privée au routeur, tandis que l'espionnage DHCP permettra toujours le jeu LAN et le partage de fichiers.

L'espionnage DHCP fonctionnera-t-il avec ce type de topologie de réseau, ou cela dépend-il du fait que le réseau est dans une configuration de concentrateur et de rayons appropriée? Je ne sais pas s'il existe différents niveaux d'espionnage DHCP - disons que des commutateurs Cisco coûteux feront tout, mais que des commutateurs peu coûteux comme TP-Link, D-Link ou Netgear ne le feront que dans certaines topologies?

Et le support VLAN de base sera-t-il assez bon pour cette topologie? Je suppose que même les commutateurs gérés bon marché peuvent étiqueter le trafic de chaque port avec sa propre balise VLAN, mais lorsque le prochain commutateur de la chaîne de réception reçoit le paquet sur son port de «liaison descendante», ne supprimerait-il pas ou ne remplacerait-il pas la balise VLAN par la sienne trunk-tag (ou quel que soit le nom du trafic backbone).

L'argent est limité, et je ne pense pas que nous puissions nous permettre un Cisco de qualité professionnelle (je fais campagne depuis des années), donc j'aimerais avoir des conseils sur la solution qui prend le mieux en charge les équipements réseau bas de gamme et s'il y en a certains modèles spécifiques sont-ils recommandés? Par exemple, des commutateurs HP bas de gamme ou même des marques à petit budget comme TP-Link, D-Link, etc.

Si j'ai négligé une autre façon de résoudre ce problème, c'est à cause de mon manque de connaissances. :)

Kenned
la source
Il va être difficile de défendre les utilisateurs les uns des autres et d'autoriser les jeux LAN en même temps. Vous devez en effet faire un choix. Peut-être couper la poire en deux et faire 1 VLAN / escalier?
mveroone
Quel type de routeur utilisez-vous?
longneck
7
Vous mentionnez Cisco plusieurs fois .. Vous devriez également regarder ProCurve, surtout que le matériel d'occasion est disponible sur eBay à bas prix , est livré avec une garantie à vie et a presque toutes les mêmes caractéristiques. J'utilise l'équipement ProCurve utilisé pour les réseaux domestiques et les petites entreprises que je soutiens, et j'adore ce genre de choses. Et si vous êtes dégoûté à propos de «utilisé», il y a le programme «ReNew» d'équipement remis à neuf, certifié et presque neuf. Bien sûr, il y a toujours de nouveaux disponibles pour ceux qui ont des pièces de rechange à supprimer.
Chris S
Le routeur est un Excito B3 exécutant iptables sur Debian.
Kenned
Merci à tous pour vos commentaires. C'était les munitions dont j'avais besoin pour convaincre les autres de choisir un ensemble de commutateurs Procurve 26xx d'occasion et de configurer des réseaux locaux virtuels séparés pour chaque appartement (et cela suscitera probablement plus de questions de ma part). :)
Kenned

Réponses:

20

Je pense que vous devriez emprunter la route multi-VLAN - et pas seulement à cause du problème du serveur DHCP. Pour le moment, vous avez un grand réseau plat et, dans une certaine mesure, les utilisateurs devraient s’occuper de leur propre sécurité, je trouverais personnellement que cette configuration est assez inacceptable.

Les seuls commutateurs à gérer sont les vôtres. Au-delà de cela, vous donnez à chaque appartement un seul port sur un VLAN spécifique - tout ce qui en aval ignorera complètement le VLAN et vous pourrez fonctionner normalement.

En ce qui concerne vos commutateurs - les ports de commutateur à commutateur devront être configurés en tant que ports de jonction et vous devrez être cohérent avec vos ID de VLAN. En d'autres termes, le VLAN100 DOIT correspondre au VLAN100 partout ailleurs sur le réseau.

En dehors de cela, vous pouvez mettre en place une configuration "Router-on-a-stick", avec chaque VLAN (et son pool associé d'IP *) configuré uniquement pour un aller-retour vers Internet et NON vers d'autres réseaux internes.

* Je ne pouvais pas penser à un autre endroit pour coller cela, mais rappelez-vous que, idéalement, vous devriez donner à vos VLAN leur propre pool d'adresses IP. La façon la plus simple de le faire est de conserver l'un des octets identique à l'ID du VLAN, par exemple

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Une fois que tout cela est en place, vous pouvez vraiment commencer à le faire avec des choses comme la qualité de service, la surveillance du trafic et ainsi de suite si vous le souhaitez!

La demande "LAN Games" semble être une demande relativement niche, pour moi, et certainement pas une à laquelle je pense. Ils peuvent toujours jouer normalement via NAT en allant sur Internet et en revenant - pas idéal, mais pas différent pour chaque appartement ayant sa propre connexion, ce qui est la norme ici au Royaume-Uni. Au cas par cas, cependant, vous pouvez ajouter un routage inter-VLAN complet entre les appartements qui souhaitent partager leur réseau de cette manière.

En fait, vous POUVEZ ajouter un routage Inter-VLAN complet partout - cela résoudrait vos problèmes DHCP, autoriserait la QoS mais c'est toujours un problème de sécurité énorme à mon avis.

La seule chose que je n'ai pas abordée ici est votre DHCP - vous avez probablement une seule étendue pour le moment pour tous vos clients. Si vous les placez sur des réseaux distincts, vous devrez gérer une étendue distincte pour chaque VLAN. Cela dépend vraiment de l'appareil et de l'infrastructure, je vais donc laisser cela de côté pour l'instant.

Dan
la source
Son problème avec cette route est que ses commutateurs ne sont pas gérés à ce stade, donc il n'a pas pu définir la configuration du port de jonction (ou même définir le vlan par port à ce stade). Il a au moins besoin d'une nouvelle commutation.
Rex
2
@Rex Je ne pense pas qu'il ait jamais été question d'exiger de nouveaux commutateurs - l'OP semblait savoir que ses commutateurs non gérés actuels n'étaient pas assez bons.
Dan
4
+1 C'est le seul moyen de voler. Vous devrez cependant ajouter un routage inter-VLAN avant ou dans le cadre du déploiement d'IPv6.
Michael Hampton
2
+1 Les VLAN assurent la sécurité de chaque appartement ainsi que le DHCP. Vous devez également mentionner l'autorisation du réseau, les conditions de service et la limitation de la bande passante (par limite Vlan, par limite de protocole). Et vous pourriez enquêter sur un cache de contenu (netflix, vudu, etal).
ChuckCottrill
6

Selon votre budget, choisissez au moins un commutateur géré et placez chaque étage sur un VLAN.

Pour résoudre complètement votre problème de sécurité et de DHCP, si le câblage le permet, procurez-vous un commutateur géré à 24 ports pour tous les deux étages. Si le câblage ne le permet pas, l'utilisation de panneaux de brassage pour prolonger les parcours est probablement moins chère que plusieurs commutateurs.

Vous pouvez économiser de l'argent en utilisant des commutateurs gérés 10/100, cependant, selon le fournisseur, il peut nécessiter une grande expertise pour la configuration (Cisco).

En tant que programmeur impliqué dans la mise en place d'un réseau de plus de 1000 ports dans un immeuble de bureaux de 8 étages avec fibre, je peux dire que l'interface graphique des commutateurs gérés D-link couplée au manuel vous permettra de faire tout ce dont vous avez besoin. Je ne dis pas que vous devez utiliser D-Link, je dis simplement que je ne pense pas que vous serez déçu. Les commutateurs gérés D-Link (niveau 2+) sont abordables et peuvent exécuter DHCP sur le commutateur (ce n'est pas recommandé, mais c'est une option). Ils ont un niveau de commutateur «intelligent» inférieur qui peut faire tout ce dont vous avez besoin.

Si vous faites un VLAN par étage, un / 23 (512 hôtes) devrait être suffisant (augmentez si vous envisagez de déployer un réseau sans fil). Si vous faites un VLAN par appartement, un / 27 (30 hôtes) devrait le faire.

À mon avis, la façon la plus simple de faire DHCP pour plusieurs VLAN serait de saisir un PI framboise et d'utiliser DHCP ISC . Vous pouvez utiliser n'importe quelle machine à faible consommation disposant d'une carte réseau prenant en charge les VLAN. (Personnellement, je prendrais un routeur EdgeMax pour 99 $ et exécuterais DHCP là-dessus!)

Choisissez simplement une plage IP / un sous-réseau pour chaque VLAN, votre configuration DHCP ISC pour un VLAN pourrait ressembler à ceci:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Vous pouvez coller des options globales en dehors de chaque étendue, donc au moins vous vous retrouverez avec quelque chose comme ceci:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Si chaque appartement dispose de plusieurs prises réseau, configurez le protocole Spanning Tree pour éviter les boucles. Cela peut ralentir les choses si vous ne le configurez pas correctement, ce qui oblige chaque port à prendre 30 secondes ou plus, alors assurez-vous de le tester. Il y a une option que vous voudrez activer, je crois que Cisco l'appelle PortFast.

Je ne l'ai pas fait personnellement, mais apparemment, le serveur Windows facilite la configuration.

Considérez également:

  • Un redirecteur DNS de mise en cache locale, la mise en forme du trafic et peut-être la QoS pour la VoIP amélioreraient la réactivité globale (si votre matériel était capable d'exécuter lesdits services à la vitesse de la ligne).

  • Si vous prévoyez de mettre à niveau les caméras de sécurité ou de déployer le sans fil, il peut être utile de vous équiper de POE.

  • Étant donné que de nombreux routeurs sans fil bon marché ne fonctionnent pas comme des points d'accès autonomes, le mieux que vous puissiez espérer est que les locataires utiliseront un NAT double. Si tout le monde connectait son routeur à votre réseau via le port WAN / Internet, cela améliorerait la sécurité et éliminerait également le problème DHCP. Une feuille d'instructions bien imprimée avec les marques de toupie courantes pourrait vous faire économiser de l'équipement et des problèmes; cependant, une pleine conformité serait difficile.

  • Utilisez un outil comme namebench pour trouver les serveurs DNS les plus rapides pour votre FAI.

Bonne chance!

Jeffrey
la source
Qu'entendez-vous par "Utiliser des panneaux de brassage pour étendre les exécutions?" Les panneaux de brassage ne vous donneront aucune distance de câblage maximale supplémentaire.
Justus Thane du
Je ne parlais pas de la distance de câblage maximale; Je disais simplement que si les fils étaient trop courts pour permettre un interrupteur tous les deux étages, un panneau de brassage allant à l'étage le plus proche avec un interrupteur pourrait faire l'affaire.
Jeffrey
2
Lorsque j'étais directeur du développement logiciel pour une entreprise qui fournissait des réseaux de visiteurs aux hôtels (entre 500 et 1 000 sites), nous avons géré Squid sur> 500 sites. Nous avons mesuré notre taux d'accès au cache Squid pendant environ un an et avons constaté que notre taux d'accès au cache était <2%, nous avons donc désactivé Squid et les performances du réseau se sont améliorées.
ChuckCottrill
1
Chuck, excellent point avec de grands nombres pour le soutenir. Vos taux de réussite sont logiques, car la majorité du Web utilise désormais SSL. Dans mes déploiements, je mettais en cache et filtrais le contenu SSL sur les appareils appartenant à l'entreprise. Je suis triste de dire que je ne vois pas Squid jouer un rôle en dehors des déploiements d'entreprise similaires au mien.
Jeffrey
1

Si vous avez un routeur décent, une solution possible consiste à configurer un VLAN par appartement et à attribuer une adresse / 30 à chaque VLAN. Créez également une étendue DHCP pour chaque VLAN qui n'affecte qu'une seule adresse IP.

Par exemple:

  • vlan 100
    • sous-réseau 10.0.1.0/30
    • routeur 10.0.1.1
    • utilisateur 10.0.1.2
  • vlan 104
    • sous-réseau 10.0.1.4/30
    • routeur 10.0.1.5
    • utilisateur 10.0.1.6

Cela résout le problème du jeu entre les appartements car le routeur peut router entre les appartements. Il résout également le problème DHCP non autorisé, car le trafic DHCP est isolé du VLAN de cet appartement et ils n'obtiennent qu'une seule adresse IP.

long cou
la source
-2

Je choisirais PPPOE et un serveur simple, comme ... mikrotik ou tout ce qui le prend en charge. Cela semble simple. Je suis sûr que vous l'avez résolu maintenant, mais pour quiconque aura ce problème ... pppoe est la réponse la plus rapide.

Cip
la source