Wie schütze ich ein Low-Budget-Netzwerk vor falschen DHCP-Servern?

22

Ich helfe einem Freund bei der Verwaltung einer gemeinsamen Internetverbindung in einem Apartmentgebäude mit 80 Apartments - 8 Treppen mit jeweils 10 Apartments. Das Netzwerk ist mit dem Internet-Router an einem Ende des Gebäudes verbunden, der mit einem billigen, nicht verwalteten 16-Port-Switch im ersten Treppenhaus verbunden ist, an dem auch die ersten 10 Apartments angeschlossen sind. Ein Port ist mit einem anderen 16 Port verbunden, um im nächsten Treppenhaus zu wechseln, wo diese 10 Apartments verbunden sind, und so weiter. Eine Art Daisy Chain von Switches mit 10 Wohnungen als Speichen auf jedem "Daisy". Das Gebäude ist U-förmig, etwa 50 x 50 Meter groß und 20 Meter hoch. Vom Router bis zur entferntesten Wohnung sind es wahrscheinlich etwa 200 Meter, einschließlich der Auf- und Abstiege.

Wir haben ein paar Probleme damit, dass Leute WLAN-Router falsch anschließen, falsche DHCP-Server erstellen, die große Benutzergruppen unterbrechen, und wir möchten dieses Problem lösen, indem wir das Netzwerk intelligenter machen (anstatt eine physische Suche über das Entfernen des Steckers durchzuführen) ).

Aufgrund meiner begrenzten Netzwerkfähigkeiten sehe ich zwei Möglichkeiten: DHCP-Snooping oder Aufteilen des gesamten Netzwerks in separate VLANs für jede Wohnung. Separate VLANs geben jedem Apartment eine eigene private Verbindung zum Router, während DHCP-Snooping weiterhin LAN-Spiele und Filesharing ermöglicht.

Funktioniert DHCP-Snooping mit dieser Art von Netzwerktopologie oder setzt dies voraus, dass sich das Netzwerk in einer ordnungsgemäßen Hub-and-Spoke-Konfiguration befindet? Ich bin mir nicht sicher, ob es unterschiedliche Ebenen des DHCP-Snooping gibt - sagen wir, teure Cisco-Switches können alles, aber kostengünstige wie TP-Link, D-Link oder Netgear nur in bestimmten Topologien?

Und ist die grundlegende VLAN-Unterstützung für diese Topologie ausreichend? Ich vermute, auch billige verwaltete Switches können den Datenverkehr von jedem Port mit einem eigenen VLAN-Tag kennzeichnen. Wenn der nächste Switch in der Daisy Chain das Paket auf dem Downlink-Port empfängt, wird das VLAN-Tag nicht durch ein eigenes ersetzt trunk-tag (oder wie auch immer der Name für den Backbone-Verkehr lautet).

Das Geld ist knapp und ich glaube nicht, dass wir uns ein professionelles Cisco leisten können (ich habe jahrelang dafür geworben). Daher würde ich gerne beraten, welche Lösung die beste Unterstützung für Low-End-Netzwerkgeräte bietet und ob es solche gibt Sind einige spezifische Modelle zu empfehlen? Zum Beispiel Low-End-HP-Switches oder sogar Budget-Marken wie TP-Link, D-Link usw.

Wenn ich einen anderen Weg zur Lösung dieses Problems übersehen habe, liegt dies an meinem Unwissen. :)

networking dhcp Kenned
quelle
Es wird schwierig sein, Benutzer voneinander zu schützen und gleichzeitig LAN-Spiele zuzulassen. Sie müssen in der Tat eine Wahl treffen. Vielleicht die Birne halbieren und 1 VLAN / Treppe machen?
Mveroone
Welche Art von Router verwenden Sie?
Longneck
7
Sie erwähnen Cisco ein paar Mal. Sie sollten sich auch ProCurve ansehen, vor allem, da gebrauchte Geräte bei eBay günstig erhältlich sind , eine lebenslange Garantie haben und fast alle dieselben Funktionen aufweisen. Ich verwende ProCurve-Geräte für Heimnetzwerke und Netzwerke für kleine Unternehmen, die ich unterstütze, und finde das Zeug absolut klasse. Und wenn Sie sich für "gebrauchte" Geräte interessieren, gibt es das "ReNew" -Programm mit überholten, zertifizierten und fast neuen Geräten. Natürlich gibt es immer neue für diejenigen mit Kleingeld zu fallen.
Chris S
Der Router ist ein Excito B3, auf dem iptables unter Debian ausgeführt wird.
Kenned
Vielen Dank an alle für Ihre Kommentare. Dies war die Munition, die ich brauchte, um die anderen davon zu überzeugen, ein paar gebrauchte Procurve 26xx-Switches zu kaufen und für jede Wohnung einen eigenen VLAN einzurichten (und dies wird wahrscheinlich mehr Fragen von meiner Seite aufwerfen). :)
Kenned

Antworten:

20

Ich denke, Sie sollten den Multi-VLAN-Weg gehen - und das nicht nur wegen des DHCP-Server-Problems. Im Moment haben Sie ein einziges flaches Netzwerk, und bis zu einem gewissen Grad sollte von den Benutzern erwartet werden, dass sie sich um ihre eigene Sicherheit kümmern. Ich persönlich würde es als ziemlich inakzeptabel empfinden.

Die einzigen Switches, die verwaltet werden müssen, sind Ihre. Darüber hinaus weisen Sie jedem Apartment einen einzelnen Port in einem bestimmten VLAN zu - alles, was darunter liegt, kennt das VLAN überhaupt nicht und Sie können normal arbeiten.

In Bezug auf Ihre Switches müssen die Switch-zu-Switch-Ports als Trunk-Ports konfiguriert werden und Sie müssen mit Ihren VLAN-IDs konsistent sein. Mit anderen Worten, VLAN100 MUSS überall im Netzwerk VLAN100 entsprechen.

Ansonsten können Sie eine "Router-on-a-Stick" -Konfiguration einrichten, bei der jedes VLAN (und der zugehörige IP-Pool *) nur für das Hin- und Herleiten zum Internet und NICHT zu anderen internen Netzwerken konfiguriert ist.

* Ich konnte mir nirgendwo anders vorstellen, um das zu ändern, aber denken Sie daran, dass Sie Ihren VLANs im Idealfall einen eigenen Pool von IPs geben sollten. Der einfachste Weg, dies zu tun, besteht darin, eines der Oktetts mit der VLAN-ID identisch zu halten, z

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Sobald dies alles eingerichtet ist, können Sie wirklich damit beginnen, Dinge wie Servicequalität, Verkehrsüberwachung usw. zu übernehmen, wenn Sie dies wünschen!

Die "LAN Games" -Anforderung scheint mir eine relativ Nischenanforderung zu sein und sicherlich keine, über die ich nachdenken würde. Sie können immer noch normal über NAT spielen, indem sie ins Internet und zurück gehen - nicht ideal, aber nicht anders, als wenn jedes Apartment seinen eigenen Anschluss hat, was hier in Großbritannien die Norm ist. Sie können jedoch von Fall zu Fall ein vollständiges Inter-VLAN-Routing zwischen Apartments hinzufügen, die auf diese Weise ihr Netzwerk gemeinsam nutzen möchten.

Tatsächlich KÖNNTEN Sie überall volles Inter-VLAN-Routing hinzufügen - das würde Ihre DHCP-Probleme beheben, QoS zulassen, ist aber meiner Meinung nach immer noch ein massives Sicherheitsproblem.

Eine Sache, die ich hier nicht behandelt habe, ist Ihr DHCP - vermutlich haben Sie derzeit einen einzigen Bereich für alle Ihre Kunden. Wenn Sie sie in separate Netzwerke stellen, müssen Sie für jedes VLAN einen eigenen Bereich verwalten. Das ist wirklich abhängig vom Gerät und von der Infrastruktur, daher lasse ich dies vorerst aus.

Dan
quelle
Sein Problem bei dieser Route ist, dass seine Switches zu diesem Zeitpunkt nicht verwaltet werden, sodass er die Trunk-Port-Konfiguration nicht festlegen konnte (oder sogar das vlan pro Port zu diesem Zeitpunkt festlegen konnte). Er braucht zumindest eine neue Vermittlung.
Rex
2
@Rex Ich glaube nicht, dass es jemals eine Frage der Notwendigkeit neuer Switches gab - das OP schien zu wissen, dass seine derzeit nicht verwalteten Switches nicht gut genug sind.
Dan
4
+1 Dies ist der einzige Weg zu fliegen. Sie müssen jedoch vor oder im Rahmen der Bereitstellung von IPv6 das Inter-VLAN-Routing hinzufügen.
Michael Hampton
2
+1 Vlans bieten Sicherheit für jede Wohnung sowie DHCP. Sie sollten auch die Netzwerkautorisierung, die Nutzungsbedingungen und die Bandbreitendrosselung erwähnen (pro Vlan-Limit, pro Protokolllimit). Und Sie könnten einen Content-Cache untersuchen (Netflix, Vudu, Etal).
ChuckCottrill
6

Nehmen Sie je nach Budget mindestens einen verwalteten Switch und ordnen Sie jede Etage einem VLAN zu.

Wenn die Verkabelung dies zulässt, erhalten Sie alle zwei Stockwerke einen verwalteten 24-Port-Switch, um Ihr Sicherheits- und DHCP-Problem vollständig zu lösen. Wenn die Verkabelung dies nicht zulässt, ist die Verwendung von Patch-Panels zur Verlängerung der Laufzeiten wahrscheinlich billiger als die Verwendung von mehr Switches.

Durch die Verwendung von 10/100 verwalteten Switches können Sie Ausrüstungskosten einsparen. Je nach Anbieter ist jedoch möglicherweise ein hohes Maß an Know-how für die Einrichtung erforderlich (Cisco).

Als Programmierer, der ein Netzwerk mit mehr als 1000 Ports in einem 8-stöckigen Bürogebäude mit Glasfaser einrichtet, kann ich sagen, dass Sie mit der mit D-Link verwalteten Switch-GUI und dem Handbuch alles tun können, was Sie benötigen. Ich sage nicht, dass Sie D-Link verwenden müssen, ich sage nur, dass ich nicht glaube, dass Sie enttäuscht werden. Von D-Link verwaltete Switches (Stufe 2+) sind erschwinglich und können DHCP auf dem Switch ausführen (dies wird nicht empfohlen, ist jedoch eine Option). Sie haben eine niedrigere "Smart" -Schaltschicht, die alles tun kann, was Sie brauchen.

Wenn Sie ein VLAN pro Etage durchführen, sollte ein Wert von 23 (512 Hosts) ausreichen (vergrößern Sie den Wert, wenn Sie planen, jemals eine drahtlose Verbindung herzustellen). Wenn Sie ein VLAN pro Apartment durchführen, sollte dies ein / 27 (30 Hosts) tun.

Der einfachste Weg, DHCP für mehrere VLANs durchzuführen, wäre meiner Meinung nach, einen Himbeer-PI zu nehmen und ISC-DHCP zu verwenden . Sie können jeden Computer mit geringem Stromverbrauch verwenden, der über eine Netzwerkkarte verfügt, die VLANs unterstützt. (Persönlich würde ich mir einen EdgeMax-Router für 99 US-Dollar schnappen und DHCP darauf ausführen!)

Wählen Sie einfach einen IP-Bereich / ein Subnetz für jedes VLAN aus. Ihre ISC-DHCP-Konfiguration für ein VLAN könnte ungefähr so ​​aussehen:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Sie können globale Optionen außerhalb jedes Bereichs festlegen, sodass Sie am Ende mindestens Folgendes erhalten:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Wenn jedes Apartment über mehrere Netzwerkbuchsen verfügt, richten Sie das Spanning Tree-Protokoll ein, um Schleifen zu vermeiden. Dies kann zu einer Verlangsamung führen, wenn Sie die Konfiguration nicht ordnungsgemäß durchführen. Es dauert mindestens 30 Sekunden, bis die einzelnen Ports aktiviert sind. Testen Sie sie daher unbedingt. Es gibt eine Option, die Sie aktivieren möchten. Ich glaube, Cisco nennt sie PortFast.

Ich habe das nicht persönlich gemacht, aber anscheinend macht es Windows Server sehr einfach, dies einzurichten.

Beachten Sie auch:

  • Eine DNS-Weiterleitung mit lokalem Caching, Traffic-Shaping und möglicherweise QoS für VoIP würde die allgemeine Reaktionsfähigkeit verbessern (sollte Ihre Hardware in der Lage sein, diese Dienste mit Leitungsgeschwindigkeit auszuführen).

  • Wenn Sie vorhaben, Überwachungskameras auf den neuesten Stand zu bringen oder drahtlose Geräte einzuführen, lohnt es sich möglicherweise, POE-Ausrüstung zu erwerben.

  • Da viele billige WLAN-Router nicht als eigenständige APs fungieren, können Sie nur hoffen, dass die Mieter ein Double NAT verwenden. Wenn jeder seinen Router über den WAN / Internet-Port an Ihr Netzwerk anschließen würde, würde dies die Sicherheit verbessern und das DHCP-Problem beseitigen. Ein gut gedrucktes Anleitungsblatt mit gängigen Router-Marken erspart Ihnen möglicherweise einige Geräte und Probleme. Eine vollständige Einhaltung wäre jedoch schwierig.

  • Verwenden Sie ein Tool wie namebench , um die schnellsten DNS-Server für Ihren Internetdienstanbieter zu finden.

Viel Glück!

Jeffrey
quelle
Was meinen Sie mit "Patch-Panels zum Erweitern von Läufen verwenden"? Patch Panels geben Ihnen keinen zusätzlichen maximalen Verkabelungsabstand.
Justus Thane
Ich bezog mich nicht auf die maximale Verkabelungsentfernung. Ich habe nur gesagt, wenn die Kabel zu kurz sind, um einen Schalter in jedem zweiten Stockwerk zuzulassen, kann ein Patchpanel, das mit einem Schalter zum nächstgelegenen Stockwerk geht, dies tun.
Jeffrey
2
Als ich Software Development Manager für ein Unternehmen war, das besucherbasierte Netzwerke für Hotels (zwischen 500 und 1000 Websites) bereitstellte, haben wir Squid auf über 500 Websites ausgeführt. Wir haben die Trefferquote für den Squid-Cache etwa ein Jahr lang gemessen und festgestellt, dass die Trefferquote für den Cache <2% beträgt. Daher haben wir Squid deaktiviert und die Netzwerkleistung verbessert.
ChuckCottrill
1
Chuck, ein exzellenter Punkt mit tollen Zahlen, um das zu bestätigen. Ihre Trefferquote ist sinnvoll, da der Großteil des Webs jetzt SSL verwendet. In meinen Bereitstellungen habe ich SSL-Inhalte auf firmeneigenen Geräten zwischengespeichert und gefiltert. Ich bin traurig zu sagen, dass ich nicht sehe, dass Squid eine Rolle außerhalb von Enterprise-Bereitstellungen spielt, die meiner ähnlich sind.
Jeffrey
1

Wenn Sie einen anständigen Router haben, besteht eine mögliche Lösung darin, ein VLAN pro Apartment einzurichten und jedem VLAN eine / 30-Adresse zuzuweisen. Erstellen Sie außerdem einen DHCP-Bereich für jedes VLAN, das nur eine IP-Adresse zuweist.

Beispielsweise:

  • vlan 100
    • Subnetz 10.0.1.0/30
    • Router 10.0.1.1
    • user 10.0.1.2
  • vlan 104
    • Subnetz 10.0.1.4/30
    • Router 10.0.1.5
    • user 10.0.1.6

Dies löst das Problem des Spielens zwischen Wohnungen, da der Router zwischen Wohnungen routen kann. Es behebt auch das betrügerische DHCP-Problem, da der DHCP-Verkehr auf das VLAN dieses Apartments beschränkt ist und nur eine IP-Adresse zugewiesen wird.

langer Hals
quelle
-2

Ich würde PPPOE und einen einfachen Server wählen, wie ... mikrotik oder was auch immer es unterstützt. Dies scheint der einfache Weg zu sein. Ich bin mir sicher, dass Sie es inzwischen gelöst haben, aber für jeden wird dieses Problem vorliegen ... pppoe ist die schnellste Antwort.

Cip
quelle