Benvenuto,
Ospite
|
ARGOMENTO:
Moderatori: jpalombi
Benvenuto,
Ospite
|
|
Quando si ha un server DHCP presente sulla nostra LAN, per difendersi da un DHCP Rogue, si attiva la funzione DHCP Snooping e si mette in stato Trusted la porta sulla quale è connesso il Server "vero" DHCP - tipica topologia:
Ma quando invece il servizio DHCP è configurato nello switch stesso? Provo a dare una soluzione: SwitchL3(config)# ip dhcp snooping e basta!! In tal modo dovrei abilitare il dhcp snooping globalmente, tutte le porte di default in stato untrusted --> In tal modo mi funziona tutto, e sono già coperto? Cioè lo switch dalle proprie porte fa passare i messaggi "DHCP Offer" del proprio pool DHCP per i client che richiedono indirizzo, e sono difeso da eventuali "DHCP Offer" in arrivo su una delle porte untrusted? E' corretto così? |
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da andrea_ballone.
|
|
Ulteriore domanda:
Quando un host fa richiesta di configurazione, se ci sono due o più Server DHCP che rispondono, se non sbaglio l'host dovrebbe scegliere solitamente l'offerta del Server che gli arriva per primo, in parole spicciole quello più vicino all'Host. Se è vero questo, pensavo, allora lo Switch L3 (dove è configurato il servizio DHCP), dovrebbe risultare il più vicino all'Host, quindi non ci sarebbe mai pericolo di un DHCP Rogue che mandi un offerta di configurazione all'Host. Cioè, riprendendo la topologia che ho postato precedentemente, se il Catalyst fosse configurato per distribuire DHCP, quando Host A e Host B chiedono configurazione IP, non dovrebbe mai esserci pericolo che scelgano l'offerta del server DHCP in alto; perchè per prima dovrebbe arrivare l'offerta che manda il pool del Catalyst. Sbaglio? |
Si prega Accedi a partecipare alla conversazione. |
|
Corretto però che non dai anche il comando ip dhcp snooping vlan vlan-id
Se nella topologia precedente lo switch fosse uno switch livello 3 probabilmente avresti ragione, tuttavia è improbabile che uno switch di accesso lavori come server dhcp perchè tipicamente vengono demandate a livello di distribuzione le funzionalità di livello 3, ed in quel caso capisci bene che non potresti contenere un client che funga da rough dhcp. Altro aspetto da tenere presente è che la funzionalità di dhcpo snooping serve anche per altre funzionalità come il DAI (Dynamic Arp Inspection) quindi potrebbe avere senso comunque configurarlo. |
Si prega Accedi a partecipare alla conversazione. |
|
Capisco. Il problema è che vorrei avviare la funzionalità a tutte le vlan, e sono davvero troppe, se mi metto a contarle per attivarle una ad una non ne esco più. Non c'è un modo per attivare il DHCP Snooping contemporaneamente per tutte le vlan attive? Mi scuso per lo switch presentato, quella è una figura che ho trovato su internet e per velocità l'ho messa così com'è, ma ovviamente intendo che il Catalyst sia di layer 3 con configurato appunto il servizio DHCP. Quindi, considerando che sia uno Switch L3, tornando alla mia domanda, è corretto che non c'è pericolo che l'Host possa prendere in considerazione offerte dal Server in alto? Cioè, è vero che quindi l'host preferisca SEMPRE le offerte di configurazione del servizio più vicino a lui? Oppure non è sempre detto, e quindi meglio proteggersi per sicurezza? |
Si prega Accedi a partecipare alla conversazione. |
|
Si in realtà puoi dare invece di un singolo vlan-id una vlan-list del tipo ip dhcp snooping vlan 1,2,4-10,24 Come ti dicevo, al di là del fatto che la configurazione che proponi è improbabile, in ogni caso direi che tu non possa essere sicuro al 100% perchè la risposta ricevuta prima dipende da diversi fattori:
Ringraziano per il messaggio: andrea_ballone
|
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da instructor.
|