[MASOCH-L] DHCP x DNS Dinâmico
Rubens Kuhl Jr.
rubensk at gmail.com
Sat Jul 19 01:34:29 -03 2008
> Eu tenho pensado em mudar a configuração de uma rede que mantenho para
> usar DHCP, mas não tenho recursos para muitos investimentos.
>
> Fiquei curioso para saber como você lida com a possibilidade de
> servidores de DHCP falsos na rede e com a possibilidade de "clonagem"
> de MACs para uso, digamos, em notebooks "não desejados".
O uso combinado de DHCP Snooping e Dynamic ARP Inspection endereça o
problema de DHCPs falsos; com DHCP snooping, seu switch só registra as
ligações IP - MAC na porta onde há um DHCP Server legítimo. Com a
inspeção de ARP sendo feita baseada nessas ligações legítimas, uma
máquina que pegue IP de um DHCP "rogue" não vai conseguir resolver
ARP. O usuário dela vai reclamar e em algum momento você vai descobrir
de onde vem o perpetrador.
Vlan ACL permitindo que apenas o MAC do DHCP Server mande respostas
DHCP, combinado com port-security travando o learning desse endereço
MAC em qualquer porta do switch exceto a do DHCP Server, também
resolve.
Já clonagem de MAC tem poucas alternativas que não NAC e 802.1x, e
mesmo essas não resolvem a possibilidade de cooperação de um usuário
da rede.
Rubens
More information about the masoch-l
mailing list