[GTER] Identificar "rogue" DCHP Servers na Rede
Rafael Ganascim
rganascim at gmail.com
Thu Aug 28 13:52:39 -03 2008
Você pode verificar se não existe nenhum trap de snmp que pode ser ativo
para avisar quando uma porta entra em shutdown por conta do dhcp snooping.
De qualquer forma, há grandes chances do próprio curioso entrar em contato
com você ou alguém de sua equipe, visto que a porta dele fica desabilitada.
2008/8/28 Diego Eduardo <dieduardos at gmail.com>
> Bom dia pessoal,
>
> Recentemente ocorreu um fato curioso - não muito incomum - na minha rede:
> Um
> usuário
> desavisado resolveu trazer de casa um Access Point e colocar na nossa rede
> para testar
> a conectividade...
>
> O resultado (esperado) foi que várias máquinas da minha rede começaram a
> pegar o IP
> fornecido pelo tal Access Point.
>
> Até encontrar o dito cujo e retirá-lo da nossa rede levou-se um certo tempo
> (entre procurar
> pelo mac-address nos switches e localizar a porta nos Racks) e estamos
> implementando
> algumas medidas de segurança para evitar que isso se repita.
>
> Nós temos um Cisco Catalyst 4500 [IOS 12.1(20)EW3] e já habilitamos o DHCP
> Snooping.
>
> O que estamos procurando agora é alguma forma do Switch nos avisar
> (syslog?)
> que existe alguma porta
> untrusted tentando enviar DCHP replies, ou seja, alguém colocou algum DHCP
> Server
> Clandestino na nossa rede.
>
> Caso alguém sugira, existe a possibilidade de implementarmos o 802.1x
> também, mas não por enquanto (estamos em fase
> de testes).
>
> Obrigado,
> Diego Eduardo
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list