¿Cómo protejo una red de bajo presupuesto de servidores DHCP no autorizados?

Estoy ayudando a un amigo a administrar una conexión a Internet compartida en un edificio de apartamentos con 80 apartamentos, 8 escaleras con 10 apartamentos en cada uno. La red se presenta con el enrutador de Internet en un extremo del edificio, conectado a un conmutador barato de 16 puertos no administrado en la primera escalera donde también están conectados los primeros 10 apartamentos. Un puerto está conectado a otro interruptor de mano de 16 puertos en la siguiente escalera, donde están conectados esos 10 apartamentos, y así sucesivamente. Una especie de cadena de interruptores tipo margarita, con 10 apartamentos como radios en cada "margarita". El edificio tiene forma de U, aproximadamente de 50 x 50 metros, 20 metros de altura, por lo que desde el enrutador hasta el apartamento más alejado, probablemente sea de unos 200 metros, incluidas las escaleras de arriba a abajo.

Tenemos bastantes problemas con las personas que conectan los enrutadores wifi de la manera incorrecta, creando servidores DHCP falsos que interrumpen a grandes grupos de usuarios y deseamos resolver este problema haciendo que la red sea más inteligente (en lugar de hacer una búsqueda binaria de desconexión física) )

Con mis habilidades de red limitadas, veo dos maneras: espiar DHCP o dividir toda la red en VLAN independientes para cada apartamento. VLAN independientes proporciona a cada apartamento su propia conexión privada al enrutador, mientras que la inspección DHCP aún permitirá el juego de LAN y el intercambio de archivos.

¿La indagación DHCP funcionará con este tipo de topología de red, o eso dependerá de que la red esté en una configuración adecuada de concentrador y radio? No estoy seguro de si hay diferentes niveles de espionaje de DHCP, digamos, como si los costosos conmutadores Cisco hicieran algo, pero los económicos como TP-Link, D-Link o Netgear solo lo harán en ciertas topologías.

¿Y el soporte básico de VLAN será lo suficientemente bueno para esta topología? Supongo que incluso los conmutadores administrados baratos pueden etiquetar el tráfico de cada puerto con su propia etiqueta VLAN, pero cuando el siguiente conmutador en la cadena de margarita reciba el paquete en su puerto de "enlace descendente", ¿no eliminaría o reemplazaría la etiqueta VLAN con la suya propia? trunk-tag (o el nombre que sea para el tráfico troncal).

El dinero es escaso, y no creo que podamos pagar Cisco de nivel profesional (he estado haciendo campaña por esto durante años), por lo que me encantaría recibir algunos consejos sobre qué solución tiene el mejor soporte en equipos de red de gama baja y si existe Cuáles son algunos modelos específicos que se recomiendan? Por ejemplo, conmutadores HP de gama baja o incluso marcas económicas como TP-Link, D-Link, etc.

Si he pasado por alto otra forma de resolver este problema, se debe a mi falta de conocimiento. :)

Creo que debería ir por la ruta de VLAN múltiple, y no solo por el problema del servidor DHCP. Por el momento, tiene una gran red plana y, aunque en cierto grado, se debe esperar que los usuarios se ocupen de su propia seguridad, personalmente creo que es una configuración bastante inaceptable.

Los únicos conmutadores que deben gestionarse son los suyos. Más allá de eso, le da a cada apartamento un puerto único en una VLAN específica; cualquier cosa que se encuentre aguas abajo ignorará por completo la VLAN y podrá funcionar normalmente.

En términos de sus conmutadores, los puertos de conmutador a conmutador deberán configurarse como puertos troncales y deberá ser coherente con sus ID de VLAN. En otras palabras, VLAN100 DEBE corresponder a VLAN100 en cualquier otro lugar de la red.

Aparte de eso, puede configurar una configuración "Router-on-a-stick", con cada VLAN (y su conjunto asociado de IP *) configuradas solo para enrutar de un lado a otro a Internet y NO a otras redes internas.

* No podría pensar en ningún otro lugar para pegar esto, pero recuerde que idealmente debería dar a sus VLAN su propio grupo de IP. La forma más fácil de hacer esto es mantener uno de los octetos igual que la ID de VLAN, p. Ej.

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Una vez que todo esto esté en su lugar, realmente puede comenzar a llevarlo a lugares con calidad de servicio, monitoreo de tráfico, etc., si lo desea.

La solicitud "Juegos LAN" parece ser una solicitud de nicho relativamente, para mí, y ciertamente no una en la que pensaría. Todavía pueden jugar normalmente a través de NAT yendo a Internet y viceversa, lo que no es ideal, pero no es diferente a que cada apartamento tenga su propia conexión, que es la norma aquí en el Reino Unido. Sin embargo, caso por caso, podría agregar un enrutamiento completo entre VLAN entre los apartamentos que desean compartir su red de esa manera.

De hecho, PODRÍAS agregar un enrutamiento completo entre VLAN en todas partes, eso solucionaría tus problemas de DHCP, permitiría QoS, pero en mi opinión sigue siendo un problema de seguridad masivo.

Lo que no he cubierto aquí es su DHCP: presumiblemente, en este momento tiene un alcance único para todos sus clientes. Si los coloca en redes separadas, necesitará administrar un alcance separado para cada VLAN. Eso depende realmente del dispositivo y la infraestructura, por lo que dejaré esto por ahora.

Dependiendo de su presupuesto, al menos elija un conmutador administrado y coloque cada piso en una VLAN.

Para resolver completamente su problema de seguridad y DHCP, si el cableado lo permite, obtenga un conmutador administrado de 24 puertos por cada dos pisos. Si el cableado no lo permite, el uso de paneles de conexión para extender las ejecuciones probablemente sea más barato que más conmutadores.

Puede ahorrar en equipo al usar conmutadores administrados 10/100, sin embargo, dependiendo del proveedor, puede requerir una gran experiencia para configurar (Cisco).

Como programador dedicado a configurar una red de más de 1000 puertos en un edificio de oficinas de 8 pisos con fibra, puedo decir que la GUI de los conmutadores administrados D-link emparejados con el manual le permitirá hacer todo lo que necesite. No digo que tengas que usar D-Link, solo digo que no creo que te decepciones. Los conmutadores administrados D-Link (Nivel 2+) son asequibles y pueden ejecutar DHCP en el conmutador (no lo recomiendo, pero es una opción). Tienen un nivel inferior de interruptor "inteligente" que puede hacer todo lo que necesita.

Si realiza una VLAN por piso, a / 23 (512 hosts) debería ser suficiente (amplíe si planea implementar alguna vez la conexión inalámbrica). Si hace una VLAN por apartamento, debería hacerlo un / 27 (30 hosts).

La manera más fácil de hacer DHCP para múltiples VLAN en mi opinión sería tomar un IP de frambuesa y usar DHCP de ISC . Puede usar cualquier máquina de bajo consumo que tenga una NIC que admita VLAN. (¡Personalmente, tomaría un enrutador EdgeMax por $ 99 y ejecutaría DHCP en eso!)

Simplemente elija un rango / subred de IP por cada VLAN, su configuración DHCP de ISC para una VLAN podría verse así:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Puede pegar opciones globales fuera de cada ámbito, por lo que al menos terminará con algo como esto:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Si cada apartamento tiene varias tomas de red, configure un protocolo de árbol de expansión para evitar bucles. Esto puede ralentizar las cosas si no lo configura correctamente, lo que hace que cada puerto tarde 30 segundos o más en aparecer, así que asegúrese de probarlo. Hay una opción que querrás habilitar, creo que Cisco lo llama PortFast.

No lo he hecho personalmente, pero aparentemente el servidor de Windows hace que sea muy fácil configurarlo.

Considere también:

• Un reenviador de DNS de almacenamiento en caché local, la conformación del tráfico y quizás la QoS para VoIP mejorarían la capacidad de respuesta general (en caso de que su hardware sea capaz de ejecutar dichos servicios a velocidad de línea).

• Si planea actualizar las cámaras de seguridad o implementar la conexión inalámbrica, puede valer la pena comprar equipo POE.

• Dado que muchos enrutadores inalámbricos baratos no funcionan como AP independientes, lo mejor que puede esperar es que los inquilinos usen un doble NAT. Si todos conectaran su enrutador a su red a través del puerto WAN / Internet, eso mejoraría la seguridad y eliminaría también el problema de DHCP. Una hoja de instrucciones bien impresa con marcas de enrutadores comunes puede ahorrarle algunos equipos y problemas; sin embargo, el pleno cumplimiento sería difícil.

• Use una herramienta como namebench para encontrar los servidores DNS más rápidos para su ISP.

¡Buena suerte!

Si tiene un enrutador decente, una posible solución es configurar una VLAN por apartamento y asignar una dirección / 30 a cada VLAN. También cree un ámbito DHCP para cada VLAN que solo asigne una dirección IP.

Por ejemplo:

• vlan 100
  • subred 10.0.1.0/30
  • enrutador 10.0.1.1
  • usuario 10.0.1.2
• vlan 104
  • subred 10.0.1.4/30
  • enrutador 10.0.1.5
  • usuario 10.0.1.6

Esto resuelve el problema de los juegos entre apartamentos porque el enrutador puede enrutar entre apartamentos. También resuelve el problema falso de DHCP porque el tráfico de DHCP está aislado de la VLAN de ese departamento y solo obtienen una dirección IP.

Elegiría PPPOE y un servidor simple, como ... mikrotik o lo que sea compatible. Esta parece la manera fácil. Estoy seguro de que ya lo resolvió, pero para cualquiera tendrá este problema ... pppoe es la respuesta más rápida.