Коммутаторы Dlink. Искореняем сторонние DHCP-сервера.
Когда нет возможности реализовать защиту при помощи Dhcp Snooping на помощь приходят списки доступа.
Итак, наш коммутатор должен препятствовать рассылке DHCP-ответов, которые будут исходить от недоверенных серверов, которые имеют шанс появиться в нашей уютной сети. Убивать будем порт UDP 67, через который DHCP-сервера рассылают ответы. Очевидно, что в 99.9% случаев реальный сервер будет расположен где-то за Uplink-ом, поэтому только на нем мы разрешим пакеты на этот порт, на остальных - блокируем без сожаления.
# ACL
create access_profile profile_id 2 ip udp src_port_mask 0xFFFF
config access_profile profile_id 2 add access_id 1 ip udp src_port 67 port 1-8 deny
config access_profile profile_id 2 add access_id 2 ip udp src_port 67 port 9 permit
Таким образом мы создаем некий общий профиль доступа, например, с ID 2 и далее заполняем его, при этом каждое правило также имеет свой порядковый ID.
В принципе, разрешающее правило в данном случае необязательно, достаточно только запретов:
Примечание про IPv6. Эти правила защитят вас от сторонних DHCP-серверов в IPv4, а вот для IPv6 потребуются свои правила в access-листе.
Комментариев 1