Skocz do zawartości

Zabezpieczenie Dhcp


samba

Rekomendowane odpowiedzi

Witam

 

Chcę zrobić zabezpieczenie dhcp aby nieznani klienci spoza listy dozwolonych adresów IP/MAC byli przekierowywani np. na stronę z informacją że ich próba została odnotowana w systemie a karta sieciowa nie jest autoryzowana itd.

 

Serwer na którym chodzi dhcp - >10.10.10.1/24

Co chciałbym osiągnąć.

klienci o adresach 10.10.10.140-10.10.10.180 to zaufani klienci dla których będą wpisane adresy mac w sekcji host (dhcp.conf).

 

Wszyscy spoza lub klienci o nieznanych mac mają dostać adresy z puli np. 192.168.2.2-192.168.2.30 (innej podsieci) oraz mają być przekierowani na stronę (10.10.10.1 na virtualhost) z informacją o braku autoryzacji.

Pytanie jaki adres bramy ustawić dla tych klientów ? I czy strona będzie osiągalna jeśli dhcp ustali im adresy z innej podsieci ? Czy można to rozwiązać w jakiś sposób np redirect na iptables czy jest coś łatwiejszego ?

 

Jak coś takiego osiągnąć ? Może jest jakiś program /skrypt o którym nie wiem?

 

Czy dhcp da się w dzisiejszych czasach zabezpieczyć kiedy można zmienić sobie mac/ IP/Maskę ręcznie ??

 

Zabezpieczenie oparte na mac dhcp+iptables (lista dozwolonych mac w sekcji host oraz te same adresy mac w iptables) to dużo pisaniny chyba że ktoś z was zna jakiś programik GUI gdzie komfortowo można wpisać mac??

 

W dokumentacji dhcp znalazłem wpis

deny unknown-clients;

Czy mam rozumieć że każdy adres mac nie wpisany w sekcji host nie dostanie adresu IP ? Co zrobi wtedy dhcp?

 

Co jeszcze mogę dodać by maksymalnie zabezpieczyć dhcp i jak zabezpieczyć się przed podszywaniem ?

 

Mój dhcp.conf

default-lease-time 28800;
max-lease-time 28900;
option netbios-name-servers 10.10.10.1;
option domain-name-servers 10.10.10.1;
option netbios-node-type 8;
option ntp-servers 10.10.10.1;
option subnet-mask 255.255.255.0;
ddns-update-style interim;
authoritative;
dhcpd_interfaces="eth1";
deny unknown-clients;
subnet 10.10.10.0 netmask 255.255.255.0 {
    range 10.10.10.140 10.10.10.180;
    }
    host komp1 {
         hardware ethernet 00:1c:c0:7e:c0:03;
         fixed-address 10.10.10.145;
         }deny unknown-clients;

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...