Sajnálatos módon az alhálónkba ha feldugnak egy második DHCP szervert, meghülyítheti a címkiosztást. Ez eddig világos, node hogy lehet ellene védekezni?
- 5525 megtekintés
Hozzászólások
de miert dugnak fel egy masodik dhcp servert?
- vascsovel tudsz ellene vedekezni
- illetve, a halozati eszkozokon (ma'rha rendes halozati eszkozoket hasznalsz :)) tudsz olyat mondani, hogy csak egy adott dhcp fele relayezzen.
- port auth es akkor tudod ki dug fel mit ( lsd. vascso )
- A hozzászóláshoz be kell jelentkezni
Sokszor nem is akarattal, legújabb az, hogy a laptopon van egy virtualizációs környezet (pl. vmware server), oszt annak a rosszul konfigolt DHCP szervere beletojik a hálóba.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
hápersze, de nem akarok ezzel napmintnap foglalkozni
- A hozzászóláshoz be kell jelentkezni
kerdes, milyen switcheid vannak?
de allt. majd minden l2 switchen tudsz nemi securityt allitani ( pl csak adott mac -rol elerheto ).
Es ha bridgel erolteti a virtualgepet ki, akkor a switch lezar -> nincs dhcp :)
- A hozzászóláshoz be kell jelentkezni
Például DHCP snooping a switchen?
- A hozzászóláshoz be kell jelentkezni
normálisan konfigurált switch, más esetben bukta, mert az fogja adni a címet, aki elsőként reagál a lekérdezésre
- A hozzászóláshoz be kell jelentkezni
Így van, node mit jelent az, hogy normálisan konfigurált? Mire ügyeljek?
Nálunk Procurve 2650 van, illetve portokra dugva pár office switch.
- A hozzászóláshoz be kell jelentkezni
Attól tartok, ez nem fogja tudni. A HP más switchével elvileg így menne: How to configure DHCP Snooping on ProCurve switches.
- A hozzászóláshoz be kell jelentkezni
H.08.105-től tudja.
link
- A hozzászóláshoz be kell jelentkezni
Mindenkepp a hozzaferesi halozatban kell hogy legyen DHCP Spoofing kepes switch, tehat egyszeru SOHO eszkozokkel nem ersz semmit, max izolalhatod a problemat az adott teruletre (azzal hogy a HP switchet beallitod). Igy nem hulyiti meg az egesz halozatot.
Ha keves a penz, akkor a legjobb ha SOHO switcheket kicsereled olcso menedzselheto TP-Link DHCP Spoofing kepes switchekre (vigyazz ha jol tudom nem mind tudja, de leirasukban ugyis benne van).
Azt is teheted, hogy a fix gepeken fix ip cimet allitasz be, melyek nincsenek benne a DHCP tartomanyban (vagy rezervaltak). Igy csak a mobil gepek fognak meghulyulni..
- A hozzászóláshoz be kell jelentkezni
"DHCP Spoofing kepes switch"
Spoofing?! Többször is. Inkább snooping legyen.
- A hozzászóláshoz be kell jelentkezni
Jajj bocsanat. Koszonom :)
Egyebkent VLAN ACL segitsegevel is megoldhato ha switch nem tamogatja:
www.isrcomputing.com/knowledge-base/ccie-security-pursuit/236-ccie-secu…
Mar a hamut is mamunak mondom..
- A hozzászóláshoz be kell jelentkezni
2650 H.10.83 firmware
config módban:
dhcp-snooping
dhcp-snooping authorized-server 11.22.33.44
dhcp-snooping authorized-server 111.222.333.444
dhcp-snooping authorized-server 111.222.333.445
dhcp-snooping authorized-server 111.222.333.446
dhcp-snooping database file "tftp://192.168.1.11/dhcp/switch1.dhcp"
dhcp-snooping vlan 100 200 250-260
Örül...
Így csak az offline sw-ken belül lehet gond.
- A hozzászóláshoz be kell jelentkezni
portokat nem kell megadni?
- A hozzászóláshoz be kell jelentkezni
Nem. A dhcp-t engedélyezni kell a megfelelő porta: (ezt az előbb kifelejtettem)
interface 50
dhcp-snooping trust
Értelem szerűen ebben a példában csak az 50-es porton mehet dhcp forgalom, mindenhol máshol blokkolva lesz.
- A hozzászóláshoz be kell jelentkezni
Erre gondoltam:
(config)# dhcp-snooping trust 4, 5, 6, 7 Trust traffic coming from...
Firmware upgrade kell nálunk, az előző konfot hogy a legcélszerűbb migrálni az új firmware-re?
- A hozzászóláshoz be kell jelentkezni
Fentebbi hozzászólásom olvastad? H.08.105-től tudja. Ott írtam egy linket is.
Mindenképpen olvasd el a release notes-ot, azon belül is a "Caution: Intermediate Software Update Required" -et meg "Caution: Configuration Compatibility" részt. Ezek figyelembevételével nálam még nem volt gond a configgal frissítés során. De ha kimásolod egy txt-be, max. ezt-azt újra be kell kézzel állítani...
- A hozzászóláshoz be kell jelentkezni
+1. Itt azért vigyáznak a konfigra, de bölcs, hogy mentesz elötte.
- A hozzászóláshoz be kell jelentkezni
Pontosabban a parancs a dhcp-server packeteket nem engedi át, ha nem dhcp-trust a port.
- A hozzászóláshoz be kell jelentkezni
Ha lehet, akkor a HP-t ganyézzátok, és vegyetek Cisco-t :)
- A hozzászóláshoz be kell jelentkezni
--
- A hozzászóláshoz be kell jelentkezni
Miért kell 2 DHCP? Azt nem arra találták ki, hogy egy legyen belőle és ő mindenható címkiosztó?
- A hozzászóláshoz be kell jelentkezni
És mi van, ha a DHCP Szerver valamiért elhasal?
Akkor ki fogja osztani a címeket?
Láttam már egy hálózaton 2 DHCP-t működni.
A trükk annyi volt, hogy az egyik a címtartomány alsó részébe osztott, a másik meg a felső felében.
Így ha az egyik szerver nem volt elérhető, akkor a másikról minden működött tovább, csak nem 10.X.X.100-as címet kapott, hanem 10.X.X.200-at :)
De ahogy kivettem, itt most nem erről van szó, hanem inkább valaki bedugja a saját mini router-ét és az DHCP-t küldözget mindenhova :)
- A hozzászóláshoz be kell jelentkezni
ISC dhcpd-k tudnak egymást ellenőrizve működni, így nem kell mindkettőnek online lennie. Sosem próbáltam, de pont nemrég olvastam róla:
http://www.madboa.com/geek/dhcp-failover/
De itt most nem erről van szó, valóban.
- A hozzászóláshoz be kell jelentkezni
Működik nekem ilyen egy ideje :)
2 isc dhcp lease file oda vissza szinkronizálva.
- A hozzászóláshoz be kell jelentkezni
Megfelelő switch használatával (pl. egy Cisco 2960) a lehetőségek korlátlanok:
http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/rele…
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Cisco 2960 és nem 2950!
- A hozzászóláshoz be kell jelentkezni
A legtöbb jól managelhető eszközben benne van a funkció. Szerintem még dlink kategóriában is találni versenyzőt.
- A hozzászóláshoz be kell jelentkezni