Como impedir q se instale outro roteador ou DHCP Server na rede?

[leandrovop1]

Galera boa noite .. primeiramente é um prazer estar aqui . .este é o meu primeiro post.

Não sei se estou postando no lugar certo mas por favor me corrijam se estiver errado..

Tenho um problema que me incomoda um pouco no trabalho, lá possuo várias subredes válidas na internet (classe B) sendo 1 só DHCP principal, acontece que vira e mexe alguem habilita um outro servidor DHCP ou pior .. pluga errado um roteador wlan como um d-link da vida .. mandando outra faixa de IP pra todo mundo, desconfigurando todos os hosts que estão como DHCP.

Sei que pelo fato do roteador ser colocado em uma das subredes ele 'teoricamente' sobrepõe o DHCP server devido o DHCP Server está vindo de uma outra subrede (pra pegar IP os hosts tem q dar um salto pelo gateway, enquanto q pra pegar erradamente o DHCP do roteador não precisa pois ele já está localmente na própria subrede). Gostaria de saber se tem alguma alternativa de se evitar isso .. pq toda vez q acontece tenho q ficar isolando no rack ponto por ponto ou batendo de sala em sala pra achar o maldito roteador. Será q por MAC da pra fazer isso ?

Algumas subredes são gerenciaveis com switches CISCO .. já pensei em algumas alternativas mas até agora nada concreto .. tenho o snort na rede .. sei q dá pra fazer alguma regra dele de detecção porém não adiantaria pois ele está na mesma subrede do DHCP Server ..

Se alguem puder me dar uma dica agradeço de coração.

Um grande abraço

Obrigado pela atenção desde já.

Leandro

[mmachado]

Leandro,

Como o seu problema é na camada 2, você precisa procurar a solução nos switches. Se você já tem um Catalyst, provavelmente você tem como gerenciá-lo para fazer esse controle. O termo que você precisa procurar é DHCP snooping e estas opções estão sob o comando "ip dhcp snooping".

Se quiser dar uma lida mais abrangente sobre esse problema, o termo a ser procurado é "rogue dhcp server". Existem vírus e trojans que sobem um servidor DHCP na rede local para redirecionar tráfego das outras estações. O problema pode ser bem maior do que um usuário inavertido.

Dá uma lida sobre isso e conta pra gente o resultado!

[]s, MM

[void_brain_void]

No caso de um DHCP server não seria melhor padronizar nas máquinas para que elas só contactem o servidor DHCP desejado? No windows parece que se você especifica uma lista, pacotes broadcast de requisições de lease DHCP não são geradas, sendo enviada a requisição de lease apenas para o server indicado. Claro, se for uma rede muito extensa isso seria loucura. Adicionar políticas de acesso para que os usuários não possam redefinir essas configurações é essencial.

Essa medida seria interessante para minimizar o spoofing por parte dos trojans e worms. Mas nada adiantaria se o trojan ou worm forjasse pacotes vindos do DHCP server...

[egbertomonteiro]

Se seu suite possuir DHCP Snooping esta é a melhor solução.

Se não possuir ArpON + ArpWatch + Swatch.
Eu utilizo esta solução no meu gateway/dhcp e me atende muito bem.

[leandrovop1]

Galera antes de mais nada muito obrigado pelas dicas.
Realmente já ouvi falar de alguns destes recursos, tenho q dar uma aprofundada pra ver como aplicar na prática, o meu grande problema é q como disse tenho espalhadas diversas subredes (com ip's válidos em cada host) e nem todas essas subredes tenho um catalyst ou outro gerenciável que eu possa fazer isso. Tenho também um grande problema, mais da metade dos hosts ainda INFELIZMENTE não estão no domínio (coisa q está diminuindo com o tempo) então qualquer política no AD mesmo q funcione não vai me atender 100%.

Vou dar uma pensada direitinho e 'fuçar' pelas dicas de vcs . .em breve posto os resultados ..

Se alguem tiver mais alguma outra dica .. ou uma luz .. agradeço.

Um grande abraço e valeu mesmo ae ..

[egbertomonteiro]

Faz um desenho da sua rede e detalha o maximo que vc puder que agente te ajuda a bolar uma soluç~ao.

So por curiosidade esta rede eh de alguma instituiç~ao publica de ensino correto?