低予算のネットワークを不正なDHCPサーバーから保護するにはどうすればよいですか?


22

私は友人が80のアパート(それぞれに10のアパートがある8つの階段)を持つアパートで共有インターネット接続を管理するのを手伝っています。ネットワークは、建物の一方の端にインターネットルーターが配置され、最初の10のアパートも接続されている最初の階段の安価な非管理16ポートスイッチに接続されています。1つのポートは、次の階段にある別の16ポートチープスイッチに接続され、これらの10のアパートが接続されます。スイッチのデイジーチェーンの並べ替え。各「デイジー」のスポークとして10個のアパートメントがあります。建物は約50 x 50メートル、高さ20メートルのU字型です。したがって、ルーターから最も遠いアパートまでは、おそらく上下の階段を含めて約200メートルです。

私たちはwifiルーターを間違った方法で接続する人々にかなりの問題を抱えており、ユーザーの大きなグループを妨害する不正なDHCPサーバーを作成し、ネットワークをより賢くすることでこの問題を解決したい(物理的なプラグを抜くバイナリ検索を行う代わりに) )。

限られたネットワークスキルで、DHCPスヌーピングまたはネットワーク全体を各アパートメントの個別のVLANに分割する2つの方法があります。個別のVLANは各アパートにルーターへのプライベート接続を提供しますが、DHCPスヌーピングはLANゲームとファイル共有を引き続き許可します。

DHCPスヌーピングはこの種のネットワークトポロジで動作しますか、それとも適切なハブアンドスポーク構成のネットワークに依存していますか?DHCPスヌーピングのレベルが異なるかどうかはわかりません-高価なCiscoスイッチは何でもできるが、TP-Link、D-Link、Netgearなどの安価なスイッチは特定のトポロジでのみそれを行うのでしょうか?

また、このトポロジでは基本的なVLANサポートで十分ですか?安価なマネージドスイッチでも、各ポートからのトラフィックに独自のVLANタグをタグ付けできると思いますが、デイジーチェーンの次のスイッチが「ダウンリンク」ポートでパケットを受信すると、VLANタグをそれ自体で取り除いたり置き換えたりしませんトランクタグ(またはバックボーントラフィックの名前)。

資金はtight迫しており、プロ級のシスコを購入する余裕はないと思います(私は長年にわたってこのキャンペーンを行ってきました)。推奨される特定のモデルはありますか?たとえば、ローエンドのHPスイッチや、TP-Link、D-Linkなどの予算のあるブランドです

この問題を解決する別の方法を見落としている場合、それは私の知識不足によるものです。:)


ユーザーを互いに防御し、同時にLANゲームを許可することは、やや困難です。あなたは本当に選択をしなければなりません。たぶん梨を半分に切り、1 VLAN /階段をしますか?
mveroone

どの種類のルーターを使用していますか?
ロングネック

7
シスコについては何度かおっしゃいますが、特にProBurveもご覧ください。特に使用済みのギアは安価でeBayで入手でき、生涯保証が付いており、ほぼ同じ機能を備えています。私は、サポートしているホームネットワークおよびスモールビジネスネットワーク用にProCurve機器を使用しています。そして、「使用済み」について気が狂っている場合は、再生され、認定された、ほぼ新しい機器の「更新」プログラムがあります。もちろん、スペアの変更が必要な場合は、常に新規が利用可能です。
クリスS

ルーターは、Debianでiptablesを実行しているExcito B3です。
ケネディ

ご意見ありがとうございます。これは、使用済みのProcurve 26xxスイッチをたくさん購入し、すべてのアパートメントに個別のVLANをセットアップするように他の人を説得するために必要な弾薬でした(そして、これはおそらく私の側でより多くの質問を生み出します)。:)
ケーン、

回答:


20

DHCPサーバーの問題だけでなく、マルチVLANルートを使用する必要があると思います。現時点では、1つの大きなフラットネットワークがありますが、ある程度はユーザーが自分のセキュリティに注意する必要がありますが、個人的にはかなり受け入れがたいセットアップだと思います。

管理する必要がある唯一のスイッチはあなたのものです。それを超えて、各アパートメントに特定のVLAN上の単一のポートを与えます-その下流はVLANを完全に認識せず、正常に機能します。

スイッチに関しては、スイッチ間ポートはトランクポートとして設定する必要があり、VLAN IDと一致する必要があります。言い換えると、VLAN100はネットワーク上の他のすべての場所でVLAN100に対応しなければなりません。

それ以外に、各スティック(およびIP *に関連付けられたプール)がインターネットにのみルーティングされ、他の内部ネットワークにはルーティングされないように、「ルーターオンスティック」構成をセットアップできます。

*これを続ける他の場所は考えられませんでしたが、理想的には、VLANに独自のIPプールを与える必要があることを忘れないでください。これを行う最も簡単な方法は、オクテットの1つをVLAN IDと同じにすることです。例えば

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

これがすべて整ったら、必要に応じて、サービス品質、トラフィックの監視などを実際に開始することができます!

「LANゲーム」のリクエストは、私にとっては比較的ニッチなリクエストのようで、私が考えているものではありません。彼らはまだインターネットに出て戻ってNATを介して通常通りゲームをすることができます-理想的ではありませんが、英国ではここにある独自の接続を持っている各アパートに違いはありません ただし、ケースバイケースでは、そのようにネットワークを共有したいアパートメント間に完全なインターVLANルーティングを追加できます。

実際、完全なインターVLANルーティングをどこにでも追加できます。これにより、DHCPの問題が修正され、QoSが許可されますが、それでも私の意見では大規模なセキュリティ問題です。

ここで取り上げていないことの1つはDHCPです。おそらく、現時点ではすべてのクライアントに対して単一のスコープがあります。それらを別々のネットワークに配置する場合、VLANごとに別々のスコープを管理する必要があります。それは本当にデバイスとインフラストラクチャに依存しているので、今のところはこれをやめます。


このルートを行くことに関する彼の問題は、この時点でスイッチが管理されていないため、トランクポート設定を設定できなかった(または、この時点でポートごとにVLANを設定できなかった)ことです。少なくとも新しい切り替えが必要です。
レックス

2
@Rex新しいスイッチを要求するという質問はこれまでになかったと思います。OPは彼の現在のアンマネージドスイッチでは十分でないことを知っているようです。
ダン

4
+1これが唯一の飛行方法です。ただし、IPv6を展開する前またはその一環として、VLAN間ルーティングを追加する必要があります。
マイケルハンプトン

2
+1 VLANは、各アパートメントとDHCPのセキュリティを提供します。また、ネットワーク認証、利用規約、および帯域幅スロットル(VLAN制限ごと、プロトコル制限ごと)についても言及する必要があります。また、コンテンツキャッシュ(netflix、vudu、etal)を調べることもできます。
ChuckCottrill

6

予算に応じて、少なくとも1つの管理対象スイッチを選択し、各フロアをVLANに配置します。

セキュリティとDHCPの問題を完全に解決するには、ケーブル接続が可能であれば、2フロアごとに24ポートの管理スイッチを入手します。ケーブル接続が許可されない場合、パッチパネルを使用して実行を延長する方が、多くのスイッチを使用するよりも安価です。

10/100マネージドスイッチを使用することで装備を節約できますが、ベンダーによっては、セットアップにかなりの専門知識が必要になる場合があります(Cisco)。

プログラマーがファイバー付きの8階建てのオフィスビルに1000以上のポートネットワークをセットアップする際に、マニュアルと組み合わせたDリンク管理スイッチGUIを使用すると、必要なことができると言えます。D-Linkを使用する必要があると言っているのではなく、失望することはないと思うだけです。D-Link管理スイッチ(レベル2+)は手頃な価格であり、スイッチ上でDHCPを実行できます(これはお勧めしませんが、オプションです)。彼らはあなたが必要とするすべてをするかもしれないより低い「スマート」スイッチ層を持っています。

フロアごとにVLANを実行する場合、/ 23(512ホスト)で十分です(ワイヤレスを展開する予定の場合は大きくします)。アパートごとにVLANを実行する場合は、/ 27(30ホスト)で実行する必要があります。

私の意見では、複数のVLANに対してDHCPを実行する最も簡単な方法は、ラズベリーPIを取得してISC DHCPを使用することです。VLANをサポートするNICを備えた任意の低電力マシンを使用できます。(個人的には、99ドルでEdgeMaxルーター入手し、その上でDHCPを実行します!)

各VLANごとにIP範囲/サブネットを選択するだけで、VLANのISC DHCP設定は次のようになります。

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

グローバルオプションを各スコープの外側に固定できるため、少なくとも次のような結果になります。

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

各アパートメントに複数のネットワークジャックがある場合、スパニングツリープロトコルを設定してループを回避します。適切に設定しないと、各ポートの起動に30秒以上かかるため、速度が低下する可能性があるため、必ずテストしてください。有効にしたいオプションがあります。シスコはそれをPortFastと呼んでいると思います。

私はこれを個人的にやったことはありませんが、どうやらWindowsサーバーはこれを非常に簡単にセットアップできるようにしています。

以下も検討してください。

  • ローカルキャッシングDNSフォワーダー、トラフィックシェーピング、およびVoIP用のQoSにより、全体的な応答性が向上します(ハードウェアが回線速度でサービスを実行できる場合)。

  • セキュリティカメラのアップグレードやワイヤレスの展開を計画している場合は、POEギアを入手する価値があります。

  • 多くの安価なワイヤレスルーターはスタンドアロンAPとして機能しないため、期待できるのはテナントがダブルNATを使用することです。全員がWAN /インターネットポートを介してルーターをネットワークに接続すると、セキュリティが向上し、DHCPの問題も解消されます。一般的なルーターブランドの説明書をよく印刷しておけば、機器と手間を省くことができます。ただし、完全なコンプライアンスは困難です。

  • namebenchなどのツールを使用して、ISPの最速のDNSサーバーを見つけます。

がんばろう!


「パッチパネルを使用して実行を延長する」とはどういう意味ですか?パッチパネルを使用しても、最大ケーブル長は追加されません。
ユストゥス・ターネ

最大のケーブル接続距離について言及していませんでした。配線が短すぎてスイッチを1フロアおきに切り替えられない場合、パッチパネルがスイッチを備えた最も近いフロアに行くとうまくいくと言っていました。
ジェフリー

2
私がホテルにビジターベースのネットワーク(500〜1000サイト)を提供する会社のソフトウェア開発マネージャーだったとき、500を超えるサイトでSquidを実行しました。Squidのキャッシュヒット率を約1年間測定しましたが、キャッシュヒット率が2%未満であったため、Squidを無効にし、ネットワークパフォーマンスを改善しました。
ChuckCottrill

1
チャック、それをバックアップするための素晴らしい数の優れた点。Webの大部分がSSLを使用しているため、ヒット率は理にかなっています。私の展開では、会社が所有するデバイスでSSLコンテンツをキャッシュおよびフィルタリングしていました。私と同じようなエンタープライズ展開以外でSquidが役割を果たしているとは思えないのは残念です。
ジェフリー

1

適切なルーターを使用している場合、考えられる解決策の1つは、アパートメントごとに1つのVLANを設定し、各VLANに/ 30アドレスを割り当てることです。また、1つのIPアドレスのみを割り当てるVLANごとにDHCPスコープを作成します。

例えば:

  • VLAN 100
    • サブネット10.0.1.0/30
    • ルーター10.0.1.1
    • ユーザー10.0.1.2
  • VLAN 104
    • サブネット10.0.1.4/30
    • ルーター10.0.1.5
    • ユーザー10.0.1.6

これにより、ルーターがアパート間をルーティングできるため、アパート間のゲームの問題が解決されます。DHCPトラフィックはそのアパートのVLANに分離され、IPアドレスを1つしか取得しないため、不正なDHCPの問題も解決します。


-2

PPPOEと、... mikrotikなどの単純なサーバーを選択します。これは簡単な方法のようです。あなたは今までにそれを解決したと確信していますが、誰にとってもこの問題があるでしょう... pppoeが最速の答えです。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.