Como protejo uma rede de baixo orçamento de servidores DHCP não autorizados?

22

Estou ajudando um amigo a gerenciar uma conexão compartilhada à Internet em um prédio com 80 apartamentos - 8 escadas com 10 apartamentos em cada um. A rede é projetada com o roteador da Internet em uma extremidade do prédio, conectada a um switch de 16 portas barato e não gerenciado na primeira escada, onde também estão conectados os 10 primeiros apartamentos. Uma porta está conectada a outro switch de preço baixo de 16 portas na próxima escada, onde esses 10 apartamentos estão conectados, e assim por diante. Uma espécie de cadeia de interruptores, com 10 apartamentos como raios em cada "margarida". O edifício é em forma de U, com aproximadamente 50 x 50 metros, 20 metros de altura - portanto, do roteador ao apartamento mais distante, provavelmente há cerca de 200 metros, incluindo escadas para cima e para baixo.

Temos muitos problemas com as pessoas que conectam roteadores wifi da maneira errada, criando servidores DHCP não autorizados que interrompem grandes grupos de usuários e queremos resolver esse problema tornando a rede mais inteligente (em vez de fazer uma pesquisa binária desconectada física) )

Com minhas habilidades limitadas de rede, vejo duas maneiras - espionar DHCP ou dividir toda a rede em VLANs separadas para cada apartamento. O VLANS separado fornece a cada apartamento sua própria conexão privada com o roteador, enquanto a espionagem DHCP ainda permite jogos em LAN e compartilhamento de arquivos.

A espionagem DHCP funcionará com esse tipo de topologia de rede ou depende da rede estar em uma configuração apropriada de hub e spoke? Não tenho certeza se existem níveis diferentes de espionagem DHCP - digamos, como os switches Cisco caros farão qualquer coisa, mas os baratos, como TP-Link, D-Link ou Netgear, farão isso apenas em determinadas topologias?

E o suporte básico a VLAN será bom o suficiente para essa topologia? Eu acho que até mesmo switches gerenciados baratos podem marcar o tráfego de cada porta com sua própria tag VLAN, mas quando o próximo switch na cadeia daisy recebe o pacote em sua porta de "downlink", ele não tira ou substitui a tag VLAN por sua própria tag de tronco (ou qualquer que seja o nome para o tráfego de backbone).

O dinheiro é escasso, e acho que não podemos pagar pela Cisco de nível profissional (faço campanhas há anos), então gostaria de alguns conselhos sobre qual solução tem o melhor suporte em equipamentos de rede low-end e, se houver alguns modelos específicos são recomendados? Por exemplo, switches HP low-end ou até marcas de orçamento como TP-Link, D-Link etc.

Se eu esqueci outra maneira de resolver esse problema, é devido à minha falta de conhecimento. :)

networking dhcp Kenned
fonte
Vai ser meio difícil defender os usuários um do outro e permitir jogos em LAN ao mesmo tempo. Você realmente tem que fazer uma escolha. Talvez corte a pêra ao meio e faça 1 VLAN / Stairway?
mveroone
Que tipo de roteador você está usando?
longneck
7
Você mencionou a Cisco algumas vezes. Você também deve consultar o ProCurve, principalmente porque os equipamentos usados ​​estão disponíveis no eBay barato , vêm com uma garantia vitalícia e têm quase todos os mesmos recursos. Eu me acostumei com o equipamento ProCurve para as redes domésticas e de pequenas empresas que eu apoio, e adoro essas coisas. E se você é sensível sobre "usado", há o programa "ReNew" de equipamentos recondicionados, certificados e quase novos. É claro que sempre há um novo disponível para aqueles com alterações sobressalentes.
Chris S
O roteador é um Excito B3 executando iptables no Debian.
Kenned
Obrigado a todos por seus comentários. Era a munição que eu precisava para convencer os outros a escolherem um monte de switches Procurve 26xx usados ​​e configurar vlans separados para cada apartamento (e isso provavelmente gerará mais perguntas da minha parte). :)
Kenned 30/10/2013

Respostas:

20

Eu acho que você deve seguir a rota multi-VLAN - e não apenas por causa do problema do servidor DHCP. No momento, você tem uma grande rede plana e, até certo ponto, espera-se que os usuários cuidem de sua própria segurança, eu pessoalmente consideraria uma configuração inaceitável.

As únicas opções que precisam ser gerenciadas são as suas. Além disso, você atribui a cada apartamento uma única porta em uma VLAN específica - qualquer coisa a jusante disso desconhecerá completamente a VLAN e poderá funcionar normalmente.

Em termos de seus switches - as portas switch a switch precisarão ser configuradas como portas de tronco e você precisará ser consistente com os IDs de sua VLAN. Em outras palavras, a VLAN100 DEVE corresponder à VLAN100 em qualquer outro lugar da rede.

Fora isso, você pode definir uma configuração de "Roteador no bastão", com cada VLAN (e seu conjunto de IPs *) configurado apenas para rotear de um lado para o outro na Internet e NÃO em outras redes internas.

* Eu não conseguia pensar em nenhum outro lugar para resolver isso, mas lembre-se de que idealmente você deve dar às suas VLANs seu próprio pool de IPs. A maneira mais fácil de fazer isso é manter um dos octetos igual ao ID da VLAN, por exemplo

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Quando tudo isso estiver no lugar, você poderá realmente começar a ocupar lugares como Qualidade de Serviço, monitoramento de tráfego e assim por diante, se desejar!

O pedido "LAN Games" parece ser relativamente um nicho para mim, e certamente não um em que eu pensaria. Eles ainda podem jogar normalmente através do NAT, indo para a Internet e retornando - não é o ideal, mas não é diferente de cada apartamento ter sua própria conexão, que é a norma aqui no Reino Unido. Porém, caso a caso, você pode adicionar um roteamento completo entre VLANs entre apartamentos que desejam compartilhar sua rede dessa maneira.

Na verdade, você PODE adicionar roteamento completo entre VLANs em todos os lugares - isso resolveria seus problemas de DHCP, permitiria QoS, mas ainda é um grande problema de segurança na minha opinião.

A única coisa que não cobri aqui é o seu DHCP - presumivelmente você tem um único escopo no momento para todos os seus clientes. Se você colocá-los em redes separadas, precisará gerenciar um escopo separado para cada VLAN. Isso depende muito do dispositivo e da infraestrutura, então deixarei isso por enquanto.

Dan
fonte
Seu problema ao seguir essa rota é que seus comutadores não são gerenciados neste momento, então ele não pôde definir a configuração da porta de tronco (ou mesmo definir a vlan por porta neste momento). Ele precisa de novas trocas, no mínimo.
Rex
2
@Rex Acho que nunca houve a necessidade de novos comutadores - o OP parecia saber que seus comutadores não gerenciados atuais não são bons o suficiente.
Dan
4
+1 Esta é a única maneira de voar. Você precisará adicionar o roteamento entre VLANs antes ou como parte da implantação do IPv6.
Michael Hampton
2
+1 Vlans fornecem segurança para cada apartamento e também para DHCP. Você também deve mencionar a autorização de rede, os termos de serviço e a otimização da largura de banda (por limite de Vlan, por limite de protocolo). E você pode investigar um cache de conteúdo (netflix, vudu, etal).
ChuckCottrill
6

Dependendo do seu orçamento, escolha pelo menos um switch gerenciado e coloque cada andar em uma VLAN.

Para resolver completamente seu problema de segurança e DHCP, se o cabeamento permitir, obtenha um switch gerenciado de 24 portas para cada dois andares. Se o cabeamento não permitir, o uso de painéis de conexão para estender as execuções provavelmente será mais barato do que mais comutadores.

Você pode economizar no uso de switches gerenciados 10/100, no entanto, dependendo do fornecedor, pode ser necessário um grande conhecimento para configurar (Cisco).

Como um programador criado para configurar uma rede de mais de 1000 portas em um prédio de 8 andares com fibra, posso dizer que a GUI dos switches gerenciados D-link emparelhada com o manual permitirá que você faça o que precisar. Não estou dizendo que você precisa usar o D-Link, apenas estou dizendo que não acho que você ficará desapontado. Os comutadores gerenciados da D-Link (nível 2+) são acessíveis e podem executar o DHCP no comutador (não recomendando isso, mas é uma opção). Eles têm um nível de switch "Inteligente" mais baixo que pode fazer tudo o que você precisa.

Se você faz uma VLAN por andar, um / 23 (512 hosts) deve ser suficiente (aumente se você planeja lançar sem fio). Se você faz uma VLAN por apartamento, um / 27 (30 hosts) deve fazer.

A maneira mais fácil de fazer DHCP para várias VLANs, na minha opinião, seria pegar um PI framboesa e usar o ISC DHCP . Você pode usar qualquer máquina de baixo consumo de energia que possua uma NIC compatível com VLANs. (Pessoalmente, eu pegaria um roteador EdgeMax por US $ 99 e executaria o DHCP nisso!)

Basta escolher um intervalo / sub-rede IP por cada VLAN, a configuração DHCP do ISC para uma VLAN pode ser algo como isto:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Você pode colocar opções globais fora de cada escopo; assim, você terá pelo menos algo como isto:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Se cada apartamento tiver várias tomadas de rede, configure o protocolo de spanning tree para evitar loops. Isso pode tornar as coisas mais lentas se você não a configurar corretamente, fazendo com que cada porta demore 30 segundos ou mais a aparecer, portanto, teste-a. Há uma opção que você deseja ativar, acredito que a Cisco chama PortFast.

Eu não fiz isso pessoalmente, mas aparentemente o Windows server facilita muito a configuração.

Considere também:

  • Um encaminhador DNS de cache local, modelagem de tráfego e talvez QoS para VoIP melhorariam a capacidade de resposta geral (caso o seu hardware seja capaz de executar os serviços na velocidade da linha).

  • Se você planeja atualizar as câmeras de segurança ou instalar dispositivos sem fio, pode valer a pena adquirir equipamentos POE.

  • Como muitos roteadores sem fio baratos não funcionam como pontos de acesso autônomos, o melhor que você pode esperar é que os inquilinos estejam usando um NAT duplo. Se todos conectassem seu roteador à sua rede através da porta WAN / Internet, isso melhoraria a segurança e eliminaria também o problema do DHCP. Uma folha de instruções bem impressa com marcas comuns de roteador pode economizar alguns equipamentos e problemas; no entanto, a total conformidade seria difícil.

  • Use uma ferramenta como o namebench para encontrar os servidores DNS mais rápidos para o seu ISP.

Boa sorte!

Jeffrey
fonte
O que você quer dizer com "Usar painéis de remendo para estender as execuções?" Os painéis de conexão não fornecerão nenhuma distância máxima de cabeamento adicional.
Justus Thane
Eu não estava me referindo à distância máxima de cabeamento; Eu estava simplesmente dizendo que, se os fios fossem muito curtos para permitir uma troca em qualquer outro andar, um painel de remendo que chegasse ao andar mais próximo com uma chave poderia fazer o truque.
22613 Jeffrey
2
Quando eu era gerente de desenvolvimento de software de uma empresa que fornecia redes baseadas em visitantes a hotéis (entre 500-1000 sites), executamos o Squid em mais de 500 sites. Medimos a taxa de acertos do cache do Squid por cerca de um ano e descobrimos que a taxa de acertos do cache era <2%, desativamos o Squid e o desempenho da rede melhorou.
ChuckCottrill
1
Chuck, excelente ponto com grandes números para fazer backup. Suas taxas de acerto fazem sentido, já que a maioria da web agora usa SSL. Nas minhas implantações, eu estava armazenando em cache e filtrando o conteúdo SSL em dispositivos de propriedade da empresa. Lamento dizer que não vejo o Squid desempenhando um papel fora das implantações corporativas semelhantes às minhas.
21413 Jeffrey
1

Se você possui um roteador decente, uma solução possível é configurar uma VLAN por apartamento e atribuir um endereço / 30 a cada VLAN. Crie também um escopo DHCP para cada VLAN que atribua apenas um endereço IP.

Por exemplo:

  • vlan 100
    • sub-rede 10.0.1.0/30
    • roteador 10.0.1.1
    • usuário 10.0.1.2
  • vlan 104
    • sub-rede 10.0.1.4/30
    • roteador 10.0.1.5
    • usuário 10.0.1.6

Isso resolve o problema de jogar entre apartamentos porque o roteador pode rotear entre apartamentos. Ele também resolve o problema de DHCP não autorizado, porque o tráfego DHCP está isolado na VLAN desse apartamento e eles obtêm apenas um endereço IP.

pescoço longo
fonte
-2

Eu escolheria o PPPOE e um servidor simples, como ... mikrotik ou qualquer outro suporte. Isso pareceria o caminho mais fácil. Tenho certeza que você já resolveu o problema agora, mas para qualquer um terá esse problema ... pppoe é a resposta mais rápida.

Cip
fonte