Impedir servidores DHCP "piratas" trafegar na rede



  • Buenas campeões, trago aqui um problema que vem me afligindo a tempo e não sei se existe uma solução para o caso, mas enfim, segue o problema:

    Na empresa em que trabalho, possuo uma rede 192.168.0.0/23, uma configuração que na minha opinião, quem montou a rede no passado devia ser o ser mais preguiçoso da face da terra, pois, qualquer AP wireless baratinhos, tem essa mesma faixa de rede por dafault. Aí começa minha dor de cabeça, devido a empresa ser grande no quesito área(90,000km²) não tenho como ter olhos em cima de todos os pontos da rede, e volta e meia acontece de algum espertalhão espetar na rede um AP desses 'mequetrefe' afim de 'piratear' um sinsl wireless e esse cara começa a injetar DHCP na rede, na faixa 192.168.1.0 ou 192.168.0.0 que são as mais comumente usadas nesse equipamentos, e que por infeliz coincidencia, são as mesmas da minha rede interna. Minha pergunta é:
    Existe alguma maneira de bloquear via regras de firewall ou algo assim, que esses benditos APs entreguem IP aos hosts da minha rede? alguma forma que obrigue as máquinas a sempre receber requisições DHCP estritamente do meu Gateway?



  • Cara, não sei se dá pra fazer isso não. Quem sabe se você fazer uma regra bloqueando a porta do DHCP (68) pra tudo e outra regra em cima liberando apenas com destino ao pfSense, funcione. Vale o teste.



  • Em um primeiro momento não teria como resolver, pois um dispositivo, ao ser conectado na rede, vai mandar um broadcast e o servidor dhcp que responder antes ele vai tomar o gateway e atribuir IP, ou seja, na verdade nem está tráfegando pelo pfsense, assim, uma regra de firewall não resolve nada.

    Uma possibilidade seria mudar a classe do IP, assim, quem se conectar ao "DHCP" pirata não vai navegar.



  • @willian_wcg Como o amigo acima já disse, acho que o mais pratico seria vc mudar a faixa de IP da rede. Pode ter um pouco de trabalho no inicio, mas no final é a melhor opção.



  • É verdade, como o DHCP Request simplesmente é jogado na rede e espera uma resposta do primeiro server, nem passa pelo firewall, logo a regra não iria adiantar.

    A ferramenta que você está procurando é "DHCP Snooping", e pode ser habilitada no próprio switch, dependendo do modelo.



  • Contudo, mesmo trocando a classe do IP, o problema vai persistir, tu só vai restringir o acesso à itnernet, de quem foi "interceptado" pelo "dhcp pirata". O ideal seria segmentar e quem sabe, separar os locais por vlan, a fim de minimizar o problema e identificar onde ele esta ocorrendo.

    P.S., Explica mais a situação, é algum querendo burlar algo, ou simplesmente inexperiência da pessoa que pluga o cabo na porta LAN ao inves da WAN?



  • Buenas.. imaginei que não haveria muito milagre mesmo..
    mas assim, pra vcs entenderem o cenário.
    É um ambiente fabril e grande, logo não há como disponibilizar Wifi em todos os cantos da fábrica, por 'N' motivos, como viabilidade do projeto, interferência eletromagnetica devido aos equipamentos que existem na fabrica, e por aí vai..
    o caso é que lá de vez em nunca, algum espertalhão "ingenheiro" pensa que pode resolver o problema com um simpres Access Point de 100 conto, e acabam fazendo essas M¨%$$ de espetar um AP na rede, muitas vezes sem configuração alguma, e na porta WAN... aí me lasca tudo...
    e Já passei por um caso em particular, que eu mesmo tive que usar um AP desse por ordem de um Diretor, e fiz toda a configuração de desativar DHCP, espetar direto na porta LAN a rede, e por um acaso do destino(afinal Murphy não falha), o AP se Resetou depois de um pico de rede elétrica, e mesmo com o cabo plugado diretamente à LAN do bixo, ele começou a injetar DHCP na rede...
    Aí vemos a diferença de um D-link de 100,00 e um Ruckus de 5k ou uma Unifi de 2-3K...

    Eu pensei no seguinte..
    uma coisa já vi numa funcionando numa rede em que adminsitrei, porém, nao fui eu quem fez a conf.

    Hávia um servidor Linux fazendo papel de gateway/proxy/firewall,
    e o cara q adminstrava, deixou a rede da seguinte forma..

    1- faixa 192.168.10.0/24 para rede interna com amarração de IP/MAC direto no firewall sem DHCP habilitado. Isso para equipamentos da empresa.

    2- uma segunda rede 192.168.61.0/24, com DHCP habilitado.. o que fazia com que, se um espertinho de fora, viesse e espetasse o cabo de rede na maquina, vinha IP dessa faixa 192.168.61.0, que não acessava a rede interna, só saia pra internet e com banda limitada...
    Era o cenário dos sonhos.. pois jamais tive problemas de conflito de IP, ou ameaça do cara acessar arquivos da rede sem autorização até mesmo proteção a infecção..

    Dúvida: é possível isso no Pfsense? se sim, como configurar isso sem usar VLANs?



  • William, sem VLAN até daria, mas não tem segurança. Um esperto simplesmente fixa o IP no dispositivo dentro da classe da rede corporativa e vai te acesso a tudo normalmente. Além disso, não resolveria o problema do DHCP.



  • O que você precisa se chama dhcp snooping, em alguns Switchs tem essa função. da uma pesquisada.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy