Frage Wie schütze ich ein Low-Budget-Netzwerk vor bösartigen DHCP-Servern?


Ich helfe einem Freund bei der Verwaltung einer gemeinsamen Internetverbindung in einer Wohnung mit 80 Wohnungen - 8 Treppen mit je 10 Wohnungen. Das Netzwerk ist mit dem Internet-Router an einem Ende des Gebäudes angelegt, verbunden mit einem billigen nicht verwalteten 16-Port-Switch in der ersten Treppe, wo auch die ersten 10 Wohnungen angeschlossen sind. Ein Port ist mit einem anderen 16 Port Cheapo Switch in der nächsten Treppe verbunden, wo diese 10 Wohnungen verbunden sind, und so weiter. Eine Art Kette von Schaltern, mit 10 Wohnungen als Speichen auf jedem "Daisy". Das Gebäude ist U-förmig, ca. 50 x 50 Meter, 20 Meter hoch - also vom Router bis zur entferntesten Wohnung sind es wohl ca. 200 Meter inklusive Auf- und Abstiegstreppen.

Wir haben ein paar Probleme mit Leuten, die Wifi-Router falsch anschließen und bösartige DHCP-Server erstellen, die große Gruppen von Benutzern unterbrechen. Wir möchten dieses Problem lösen, indem wir das Netzwerk intelligenter machen (anstatt eine binäre Suche physisch zu trennen) ).

Mit meinen begrenzten Netzwerkfähigkeiten sehe ich zwei Möglichkeiten - DHCP-Snooping oder Aufteilen des gesamten Netzwerks in separate VLANs für jede Wohnung. Separate VLANs geben jeder Wohnung ihre eigene private Verbindung zum Router, während DHCP-Snooping LAN-Spiele und File-Sharing erlaubt.

Funktioniert das DHCP-Snooping mit dieser Art von Netzwerktopologie oder ist das Netzwerk auf eine richtige Hub-and-Spoke-Konfiguration angewiesen? Ich bin mir nicht sicher, ob es unterschiedliche Ebenen von DHCP-Snooping gibt - sagen wir, dass teure Cisco-Switches alles tun werden, aber kostengünstige wie TP-Link, D-Link oder Netgear werden es nur in bestimmten Topologien tun?

Und wird die grundlegende VLAN-Unterstützung für diese Topologie ausreichen? Ich denke, selbst billig gemanagte Switches können den Datenverkehr von jedem Port mit seinem eigenen VLAN-Tag markieren, aber wenn der nächste Switch in der Daisy Chain das Paket auf seinem "Downlink" -Port empfängt, würde er das VLAN-Tag nicht entfernen oder ersetzen trunk-tag (oder wie auch immer der Name für den Backbone-Verkehr ist).

Das Geld ist knapp, und ich denke nicht, dass wir uns professionelle Cisco leisten können (ich habe mich seit Jahren dafür eingesetzt), also würde ich gerne einen Ratschlag bekommen, welche Lösung die beste Unterstützung für Low-End-Netzwerkgeräte bietet und ob sie da ist sind einige spezifische Modelle, die empfohlen werden? Zum Beispiel Low-End-HP-Switches oder sogar Budgetmarken wie TP-Link, D-Link etc.

Wenn ich einen anderen Weg übersehen habe, dieses Problem zu lösen, liegt das an meinem Mangel an Wissen. :)


22
2017-10-28 12:33


Ursprung


Es wird schwierig sein, die Benutzer gegenseitig zu verteidigen und gleichzeitig LAN-Spiele zuzulassen. Sie müssen tatsächlich eine Wahl treffen. Vielleicht die Birne in zwei Hälften schneiden und 1 VLAN / Stairway machen? - mveroone
Welche Art von Router benutzen Sie? - longneck
Sie erwähnen Cisco ein paar Mal. Sie sollten sich auch ProCurve anschauen, insbesondere, da gebrauchte Geräte bei eBay erhältlich sind billig, kommt mit einer lebenslangen Garantie und hat fast alle die gleichen Eigenschaften. Ich benutze ProCurve-Geräte für die Heim- und kleinen Geschäftsnetzwerke, die ich unterstütze, und ich liebe das Zeug. Und wenn Sie zimperlich sind von "gebraucht", gibt es das "ReNew" -Programm von renovierten, zertifizierten, fast neuen Geräten. Natürlich gibt es immer wieder Neues für diejenigen mit wenig Wechselgeld. - Chris S
Der Router ist ein Excito B3, auf dem iptables unter Debian läuft. - Kenned
Vielen Dank für Ihre Kommentare. Dies war die Munition, die ich brauchte, um die anderen davon zu überzeugen, dass sie sich für einen Haufen gebrauchter Procurve 26xx-Schalter entschieden und für jede Wohnung separate VLANs aufbauten (und das wird wahrscheinlich mehr Fragen von mir hervorbringen). :) - Kenned


Antworten:


Ich denke du solltest die Multi-VLAN-Route gehen - und nicht nur wegen des DHCP-Serverproblems. Im Moment haben Sie ein großes, flaches Netzwerk und bis zu einem gewissen Grad sollte von den Benutzern erwartet werden, dass sie sich um ihre eigene Sicherheit kümmern. Ich würde es persönlich als ziemlich unakzeptabel empfinden.

Die einzigen Switches, die verwaltet werden müssen, gehören Ihnen. Darüber hinaus geben Sie jedem Apartment einen einzelnen Port in einem bestimmten VLAN - alles, was sich darunter befindet, wird sich des VLANs nicht bewusst sein und Sie können normal funktionieren.

In Bezug auf Ihre Switches müssen die Switch-to-Switch-Ports als Trunk-Ports konfiguriert werden und Sie müssen mit Ihren VLAN-IDs konsistent sein. Mit anderen Worten, VLAN100 MUSS dem VLAN100 überall im Netzwerk entsprechen.

Darüber hinaus können Sie eine "Router-auf-einem-Stick" -Konfiguration einrichten, wobei jedes VLAN (und sein zugehöriger IP-Pool *) nur für die Hin- und Rückverbindung zum Internet und NICHT für andere interne Netzwerke konfiguriert ist.

* Ich könnte mir nichts anderes einfallen lassen, um dies festzuhalten, aber denken Sie daran, dass Sie idealerweise Ihren VLANs ihren eigenen IP-Pool geben sollten. Der einfachste Weg, dies zu tun, besteht darin, eines der Oktetts wie die VLAN-ID, z.

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Sobald all dies vorhanden ist, können Sie wirklich beginnen, es mit Dingen wie Quality-Of-Service, Verkehrsüberwachung und so weiter zu nehmen, wenn Sie es wünschen!

Die "LAN Games" -Anfrage scheint für mich eine relativ nische Anforderung zu sein, und sicherlich nicht eine, an die ich denken würde. Sie können immer noch normal durch NAT spielen, indem sie ins Internet und zurück gehen - nicht ideal, aber nicht anders als jede Wohnung, die ihre eigene Verbindung hat, was hier in Großbritannien die Norm ist. Von Fall zu Fall können Sie jedoch zwischen Apartments, die ihr Netzwerk auf diese Weise teilen möchten, ein vollständiges Inter-VLAN-Routing hinzufügen.

Tatsächlich könnten Sie überall Inter-VLAN-Routing hinzufügen - das würde Ihre DHCP-Probleme beheben, QoS erlauben, aber meiner Meinung nach immer noch ein großes Sicherheitsproblem darstellen.

Die eine Sache, die ich hier nicht behandelt habe, ist Ihr DHCP - vermutlich haben Sie momentan einen einzelnen Bereich für alle Ihre Kunden. Wenn Sie sie in separate Netzwerke einfügen, müssen Sie einen separaten Bereich für jedes VLAN verwalten. Das ist wirklich abhängig von der Geräte- und Infrastruktur, also werde ich das jetzt weglassen.


19
2017-10-28 13:27



Sein Problem mit dieser Route ist, dass seine Switches zu diesem Zeitpunkt nicht verwaltet werden, so dass er die Trunk-Port-Konfiguration nicht einstellen konnte (oder sogar den Vlan pro Port an diesem Punkt einstellen konnte). Er braucht zumindest eine neue Vermittlung. - Rex
@Rex Ich glaube nicht, dass jemals neue Switches erforderlich waren - der OP schien zu wissen, dass seine derzeitigen unmanaged Switches nicht gut genug sind. - Dan
+1 Dies ist die einzige Möglichkeit zu fliegen. Sie müssen jedoch vor oder als Teil der Bereitstellung von IPv6 Inter-VLAN-Routing hinzufügen. - Michael Hampton♦
+1 VLANs bieten Sicherheit für jede Wohnung sowie DHCP. Sie sollten auch die Netzwerkautorisierung, die Nutzungsbedingungen und die Bandbreitendrosselung (pro VLAN-Limit, pro Protokolllimit) erwähnen. Und Sie könnten einen Inhaltscache untersuchen (Netflix, Vudu, Etal). - ChuckCottrill


Abhängig von Ihrem Budget sollten Sie mindestens einen verwalteten Switch auswählen und jedes Stockwerk in einem VLAN ablegen.

Um Ihr Sicherheits- und DHCP-Problem vollständig zu lösen, erhalten Sie, wenn die Verkabelung es zulässt, einen verwalteten Switch mit 24 Ports für jeweils zwei Stockwerke. Wenn es die Verkabelung nicht erlaubt, sind Patch-Panels zur Verlängerung der Läufe wahrscheinlich billiger als mehr Switches.

Sie können durch die Verwendung von 10/100 gemanagten Switches Geld sparen, je nach Anbieter benötigen Sie jedoch möglicherweise viel Know-how beim Einrichten (Cisco).

Als Programmierer, der ein 1000+ Port-Netzwerk in einem 8-stöckigen Bürogebäude mit Glasfaser einrichten soll, kann ich sagen, dass die D-Link Managed Switches GUI, gepaart mit dem Handbuch, Ihnen erlauben wird, alles zu tun, was Sie brauchen. Ich sage nicht, dass du D-Link benutzen musst, ich sage nur, ich glaube nicht, dass du enttäuscht sein wirst. D-Link Managed Switches (Level 2+) sind erschwinglich und können DHCP auf dem Switch ausführen (dies wird nicht empfohlen, ist aber eine Option). Sie haben eine niedrigere "Smart" Switch-Ebene, die alles tun kann, was Sie brauchen.

Wenn du ein VLAN pro Etage machst, sollte ein / 23 (512 Hosts) ausreichen (gehe größer, wenn du jemals drahtlos ausrollen willst). Wenn Sie ein VLAN pro Wohnung machen, sollte ein / 27 (30 Hosts) tun.

Der einfachste Weg, um DHCP für mehrere VLANs zu machen, wäre meiner Meinung nach, einen Himbeer PI zu nehmen und zu verwenden ISC DHCP. Sie können alle Geräte mit geringer Leistungsaufnahme verwenden, die über eine Netzwerkkarte verfügen, die VLANs unterstützt. (Persönlich würde ich ein EdgeMax-Router für $ 99 und führen Sie DHCP auf!

Wählen Sie einfach ein IP-Bereich / Subnetz für jedes VLAN, Ihre ISC-DHCP-Konfiguration für ein VLAN könnte etwa so aussehen:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Sie können globale Optionen außerhalb jedes Bereichs festlegen, so dass Sie am Ende mindestens Folgendes erhalten:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Wenn jede Wohnung mehrere Netzwerkbuchsen hat, wird das Spanning-Tree-Protokoll eingerichtet, um Schleifen zu vermeiden. Dies kann die Geschwindigkeit verlangsamen, wenn Sie es nicht richtig konfigurieren und dafür sorgen, dass jeder Port 30 Sekunden oder länger braucht, um ihn zu starten. Testen Sie ihn daher unbedingt. Es gibt eine Option, die Sie aktivieren möchten, ich glaube, Cisco nennt es PortFast.

Ich habe das nicht persönlich gemacht, aber anscheinend macht Windows Server es sehr einfach, dies einzurichten.

Bedenken Sie auch:

  • Ein lokaler Caching-DNS-Forwarder, Traffic-Shaping und möglicherweise QoS für VoIP würden die allgemeine Reaktionsfähigkeit verbessern (falls Ihre Hardware in der Lage sein sollte, diese Dienste mit Leitungsgeschwindigkeit auszuführen).

  • Wenn Sie vorhaben, Sicherheitskameras zu aktualisieren oder Wireless bereitzustellen, kann es sich lohnen, POE-Ausrüstung zu erhalten.

  • Da viele billige Wireless Router nicht als Standalone-APs funktionieren, können Sie nur hoffen, dass die Mieter ein Double-NAT verwenden. Wenn jeder seinen Router über den WAN / Internet-Port mit Ihrem Netzwerk verbinden würde, würde dies die Sicherheit verbessern und das DHCP-Problem ebenfalls beseitigen. Eine gut gedruckte Anleitung mit gängigen Router-Marken könnte Ihnen einige Geräte und Probleme ersparen; eine vollständige Einhaltung wäre jedoch schwierig.

  • Verwenden Sie ein Werkzeug wie Namensbank um die schnellsten DNS-Server für Ihren ISP zu finden.

Viel Glück!


6
2017-10-28 14:07



Was meinst du mit "Verwenden Sie Patch-Panels, um Läufe zu verlängern?" Patch-Panels bieten keine zusätzliche maximale Kabellänge. - Justus Thane
Ich habe mich nicht auf die maximale Kabellänge bezogen; Ich habe nur gesagt, wenn die Kabel zu kurz sind, um einen anderen Boden zu wechseln, könnte ein Schaltfeld, das mit einem Schalter zum nächsten Stockwerk geht, den Trick machen. - Jeffrey
Als ich Software Development Manager für ein Unternehmen war, das Besucher-basierte Netzwerke für Hotels (zwischen 500-1000 Standorten) zur Verfügung stellte, betrieben wir Squid auf> 500 Standorten. Wir haben unsere Squid-Cache-Trefferquote für etwa ein Jahr gemessen und festgestellt, dass unsere Cache-Trefferquote <2% war. Daher haben wir Squid abgeschaltet und die Netzwerkleistung verbessert. - ChuckCottrill
Chuck, ausgezeichneter Punkt mit großen Zahlen, um es zu unterstützen. Ihre Trefferraten sind sinnvoll, da der Großteil des Webs jetzt SSL verwendet. In meinen Bereitstellungen habe ich SSL-Inhalte auf unternehmenseigenen Geräten zwischengespeichert und gefiltert. Ich bin traurig zu sagen, dass ich nicht sehe, dass Squid eine Rolle außerhalb von Unternehmensbereitstellungen spielt, die meinen ähneln. - Jeffrey


Wenn Sie einen anständigen Router haben, besteht eine mögliche Lösung darin, ein VLAN pro Wohnung einzurichten und jedem VLAN eine Adresse / 30 zuzuweisen. Erstellen Sie außerdem einen DHCP-Bereich für jedes VLAN, das nur eine IP-Adresse zuweist.

Zum Beispiel:

  • VLAN 100
    • Teilnetz 10.0.1.0/30
    • Router 10.0.1.1
    • Benutzer 10.0.1.2
  • VLAN 104
    • Teilnetz 10.0.1.4/30
    • Router 10.0.1.5
    • Benutzer 10.0.1.6

Dies löst das Problem des Spielens zwischen Wohnungen, da der Router zwischen Wohnungen routen kann. Es löst auch das bösartige DHCP-Problem, da der DHCP-Verkehr zum VLAN der Wohnung isoliert ist und sie nur eine IP-Adresse erhalten.


1
2017-10-28 14:30





Ich würde PPPOE und einen einfachen Server wählen, wie ... Mikrotik oder was auch immer es unterstützt. Dies scheint der einfache Weg zu sein. Ich bin mir sicher, dass du es bis jetzt gelöst hast, aber für irgendjemand wird dieses Problem haben ... pppoe ist die schnellste Antwort.


-2
2017-09-10 19:02