¿Cómo protejo una red de bajo presupuesto de servidores DHCP no autorizados?

22

Estoy ayudando a un amigo a administrar una conexión a Internet compartida en un edificio de apartamentos con 80 apartamentos, 8 escaleras con 10 apartamentos en cada uno. La red se presenta con el enrutador de Internet en un extremo del edificio, conectado a un conmutador barato de 16 puertos no administrado en la primera escalera donde también están conectados los primeros 10 apartamentos. Un puerto está conectado a otro interruptor de mano de 16 puertos en la siguiente escalera, donde están conectados esos 10 apartamentos, y así sucesivamente. Una especie de cadena de interruptores tipo margarita, con 10 apartamentos como radios en cada "margarita". El edificio tiene forma de U, aproximadamente de 50 x 50 metros, 20 metros de altura, por lo que desde el enrutador hasta el apartamento más alejado, probablemente sea de unos 200 metros, incluidas las escaleras de arriba a abajo.

Tenemos bastantes problemas con las personas que conectan los enrutadores wifi de la manera incorrecta, creando servidores DHCP falsos que interrumpen a grandes grupos de usuarios y deseamos resolver este problema haciendo que la red sea más inteligente (en lugar de hacer una búsqueda binaria de desconexión física) )

Con mis habilidades de red limitadas, veo dos maneras: espiar DHCP o dividir toda la red en VLAN independientes para cada apartamento. VLAN independientes proporciona a cada apartamento su propia conexión privada al enrutador, mientras que la inspección DHCP aún permitirá el juego de LAN y el intercambio de archivos.

¿La indagación DHCP funcionará con este tipo de topología de red, o eso dependerá de que la red esté en una configuración adecuada de concentrador y radio? No estoy seguro de si hay diferentes niveles de espionaje de DHCP, digamos, como si los costosos conmutadores Cisco hicieran algo, pero los económicos como TP-Link, D-Link o Netgear solo lo harán en ciertas topologías.

¿Y el soporte básico de VLAN será lo suficientemente bueno para esta topología? Supongo que incluso los conmutadores administrados baratos pueden etiquetar el tráfico de cada puerto con su propia etiqueta VLAN, pero cuando el siguiente conmutador en la cadena de margarita reciba el paquete en su puerto de "enlace descendente", ¿no eliminaría o reemplazaría la etiqueta VLAN con la suya propia? trunk-tag (o el nombre que sea para el tráfico troncal).

El dinero es escaso, y no creo que podamos pagar Cisco de nivel profesional (he estado haciendo campaña por esto durante años), por lo que me encantaría recibir algunos consejos sobre qué solución tiene el mejor soporte en equipos de red de gama baja y si existe Cuáles son algunos modelos específicos que se recomiendan? Por ejemplo, conmutadores HP de gama baja o incluso marcas económicas como TP-Link, D-Link, etc.

Si he pasado por alto otra forma de resolver este problema, se debe a mi falta de conocimiento. :)

Kenned
fuente
Va a ser un poco difícil defender a los usuarios unos de otros y permitir juegos de LAN al mismo tiempo. De hecho, tienes que tomar una decisión. ¿Tal vez cortar la pera en mitades y hacer 1 VLAN / Escalera?
mveroone
¿Qué tipo de enrutador estás usando?
cuello largo
77
Menciona a Cisco un par de veces. También debería mirar ProCurve, especialmente porque el equipo usado está disponible en eBay barato , viene con una garantía de por vida y tiene casi todas las mismas características. Consigo equipos ProCurve usados ​​para las redes domésticas y de pequeñas empresas que apoyo, y me encantan las cosas. Y si le preocupan los "usados", existe el programa "ReNew" de equipos renovados, certificados y casi nuevos. Por supuesto, siempre hay Nuevo disponible para aquellos con cambio de repuesto para soltar.
Chris S
El enrutador es un Excito B3 que ejecuta iptables en Debian.
Kenned
Gracias a todos por vuestros comentarios. Esta fue la munición que necesitaba para convencer a los demás de que buscaran un montón de interruptores Procurve 26xx usados ​​y configuraran vlans separados para cada apartamento (y esto probablemente generará más preguntas de mi parte). :)
Kenned

Respuestas:

20

Creo que debería ir por la ruta de VLAN múltiple, y no solo por el problema del servidor DHCP. Por el momento, tiene una gran red plana y, aunque en cierto grado, se debe esperar que los usuarios se ocupen de su propia seguridad, personalmente creo que es una configuración bastante inaceptable.

Los únicos conmutadores que deben gestionarse son los suyos. Más allá de eso, le da a cada apartamento un puerto único en una VLAN específica; cualquier cosa que se encuentre aguas abajo ignorará por completo la VLAN y podrá funcionar normalmente.

En términos de sus conmutadores, los puertos de conmutador a conmutador deberán configurarse como puertos troncales y deberá ser coherente con sus ID de VLAN. En otras palabras, VLAN100 DEBE corresponder a VLAN100 en cualquier otro lugar de la red.

Aparte de eso, puede configurar una configuración "Router-on-a-stick", con cada VLAN (y su conjunto asociado de IP *) configuradas solo para enrutar de un lado a otro a Internet y NO a otras redes internas.

* No podría pensar en ningún otro lugar para pegar esto, pero recuerde que idealmente debería dar a sus VLAN su propio grupo de IP. La forma más fácil de hacer esto es mantener uno de los octetos igual que la ID de VLAN, p. Ej.

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Una vez que todo esto esté en su lugar, realmente puede comenzar a llevarlo a lugares con calidad de servicio, monitoreo de tráfico, etc., si lo desea.

La solicitud "Juegos LAN" parece ser una solicitud de nicho relativamente, para mí, y ciertamente no una en la que pensaría. Todavía pueden jugar normalmente a través de NAT yendo a Internet y viceversa, lo que no es ideal, pero no es diferente a que cada apartamento tenga su propia conexión, que es la norma aquí en el Reino Unido. Sin embargo, caso por caso, podría agregar un enrutamiento completo entre VLAN entre los apartamentos que desean compartir su red de esa manera.

De hecho, PODRÍAS agregar un enrutamiento completo entre VLAN en todas partes, eso solucionaría tus problemas de DHCP, permitiría QoS, pero en mi opinión sigue siendo un problema de seguridad masivo.

Lo que no he cubierto aquí es su DHCP: presumiblemente, en este momento tiene un alcance único para todos sus clientes. Si los coloca en redes separadas, necesitará administrar un alcance separado para cada VLAN. Eso depende realmente del dispositivo y la infraestructura, por lo que dejaré esto por ahora.

Dan
fuente
Su problema con esta ruta es que sus conmutadores no están administrados en este punto, por lo que no pudo establecer la configuración del puerto troncal (o incluso configurar la vlan por puerto en este punto). Necesita un nuevo cambio, como mínimo.
Rex
2
@Rex No creo que haya alguna duda de requerir nuevos conmutadores: el OP parecía saber que sus conmutadores actuales no administrados no son lo suficientemente buenos.
Dan
44
+1 Esta es la única forma de volar. Sin embargo, deberá agregar el enrutamiento entre VLAN antes o como parte de la implementación de IPv6.
Michael Hampton
2
Los +1 Vlans brindan seguridad para cada apartamento, así como DHCP. También debe mencionar la autorización de red, los términos de servicio y la limitación de ancho de banda (por límite de Vlan, por límite de protocolo). Y puede investigar un caché de contenido (netflix, vudu, etal).
ChuckCottrill
6

Dependiendo de su presupuesto, al menos elija un conmutador administrado y coloque cada piso en una VLAN.

Para resolver completamente su problema de seguridad y DHCP, si el cableado lo permite, obtenga un conmutador administrado de 24 puertos por cada dos pisos. Si el cableado no lo permite, el uso de paneles de conexión para extender las ejecuciones probablemente sea más barato que más conmutadores.

Puede ahorrar en equipo al usar conmutadores administrados 10/100, sin embargo, dependiendo del proveedor, puede requerir una gran experiencia para configurar (Cisco).

Como programador dedicado a configurar una red de más de 1000 puertos en un edificio de oficinas de 8 pisos con fibra, puedo decir que la GUI de los conmutadores administrados D-link emparejados con el manual le permitirá hacer todo lo que necesite. No digo que tengas que usar D-Link, solo digo que no creo que te decepciones. Los conmutadores administrados D-Link (Nivel 2+) son asequibles y pueden ejecutar DHCP en el conmutador (no lo recomiendo, pero es una opción). Tienen un nivel inferior de interruptor "inteligente" que puede hacer todo lo que necesita.

Si realiza una VLAN por piso, a / 23 (512 hosts) debería ser suficiente (amplíe si planea implementar alguna vez la conexión inalámbrica). Si hace una VLAN por apartamento, debería hacerlo un / 27 (30 hosts).

La manera más fácil de hacer DHCP para múltiples VLAN en mi opinión sería tomar un IP de frambuesa y usar DHCP de ISC . Puede usar cualquier máquina de bajo consumo que tenga una NIC que admita VLAN. (¡Personalmente, tomaría un enrutador EdgeMax por $ 99 y ejecutaría DHCP en eso!)

Simplemente elija un rango / subred de IP por cada VLAN, su configuración DHCP de ISC para una VLAN podría verse así:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Puede pegar opciones globales fuera de cada ámbito, por lo que al menos terminará con algo como esto:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Si cada apartamento tiene varias tomas de red, configure un protocolo de árbol de expansión para evitar bucles. Esto puede ralentizar las cosas si no lo configura correctamente, lo que hace que cada puerto tarde 30 segundos o más en aparecer, así que asegúrese de probarlo. Hay una opción que querrás habilitar, creo que Cisco lo llama PortFast.

No lo he hecho personalmente, pero aparentemente el servidor de Windows hace que sea muy fácil configurarlo.

Considere también:

  • Un reenviador de DNS de almacenamiento en caché local, la conformación del tráfico y quizás la QoS para VoIP mejorarían la capacidad de respuesta general (en caso de que su hardware sea capaz de ejecutar dichos servicios a velocidad de línea).

  • Si planea actualizar las cámaras de seguridad o implementar la conexión inalámbrica, puede valer la pena comprar equipo POE.

  • Dado que muchos enrutadores inalámbricos baratos no funcionan como AP independientes, lo mejor que puede esperar es que los inquilinos usen un doble NAT. Si todos conectaran su enrutador a su red a través del puerto WAN / Internet, eso mejoraría la seguridad y eliminaría también el problema de DHCP. Una hoja de instrucciones bien impresa con marcas de enrutadores comunes puede ahorrarle algunos equipos y problemas; sin embargo, el pleno cumplimiento sería difícil.

  • Use una herramienta como namebench para encontrar los servidores DNS más rápidos para su ISP.

¡Buena suerte!

Jeffrey
fuente
¿Qué quiere decir con "Usar paneles de parche para extender las ejecuciones"? Los paneles de conexión no le proporcionarán una distancia máxima de cableado adicional.
Justus Thane
No me refería a la distancia máxima de cableado; Simplemente estaba diciendo que si los cables fueran demasiado cortos para permitir un interruptor cada dos pisos, un panel de conexión que vaya al piso más cercano con un interruptor podría ser el truco.
Jeffrey
2
Cuando era gerente de desarrollo de software para una empresa que proporcionaba redes basadas en visitantes a hoteles (entre 500 y 1000 sitios), ejecutamos Squid en más de 500 sitios. Medimos nuestro índice de aciertos de caché de Squid durante aproximadamente un año y descubrimos que nuestro índice de aciertos de caché era <2%, por lo que desactivamos Squid y el rendimiento de la red mejoró.
ChuckCottrill
1
Chuck, excelente punto con grandes números para respaldarlo. Sus tasas de éxito tienen sentido ya que la mayoría de la web ahora está utilizando SSL. En mis implementaciones, estaba almacenando en caché y filtrando contenido SSL en dispositivos propiedad de la compañía. Me entristece decir que no veo a Squid desempeñar un papel fuera de las implementaciones empresariales similares a las mías.
Jeffrey
1

Si tiene un enrutador decente, una posible solución es configurar una VLAN por apartamento y asignar una dirección / 30 a cada VLAN. También cree un ámbito DHCP para cada VLAN que solo asigne una dirección IP.

Por ejemplo:

  • vlan 100
    • subred 10.0.1.0/30
    • enrutador 10.0.1.1
    • usuario 10.0.1.2
  • vlan 104
    • subred 10.0.1.4/30
    • enrutador 10.0.1.5
    • usuario 10.0.1.6

Esto resuelve el problema de los juegos entre apartamentos porque el enrutador puede enrutar entre apartamentos. También resuelve el problema falso de DHCP porque el tráfico de DHCP está aislado de la VLAN de ese departamento y solo obtienen una dirección IP.

cuello largo
fuente
-2

Elegiría PPPOE y un servidor simple, como ... mikrotik o lo que sea compatible. Esta parece la manera fácil. Estoy seguro de que ya lo resolvió, pero para cualquiera tendrá este problema ... pppoe es la respuesta más rápida.

Cip
fuente