DHCP snooping, DHCP option 82 Hjelp

[Hagforce]

Heisann

 

Skal øke sikkerheten i nettverket.

Oppgaven nå er å forhindre "man in the middle" angrep og DHCP flooding bla.

 

Jeg kjører en Linux maskin med ISC DHCP

 

Men har ikke helt fått grepet om hvordan jeg skal gjøre dette i praksis.

 

På Cisco switchene kan jeg kjøre ip dhcp snooping på de vlan jeg ønsker.

For så å sette ip dhcp snooping trust på den/de portene der DHCP server befinner seg.

Dette er riktig, right?

 

Men på en svitch som ikke er direkte tilkoblet DHCP serveren, men koblet til svitchen der DHCP server står via trunk, der må jeg kjøre ip dhcp snooping trust på trunk porten både på switchen der DHCP står og trunk porten på "remote" switch, og sånn fortsetter det i lengere kjeder, eller?

 

For å beskytte i mot flooding kan en bruke port-security, men dette gjelder porter der en arbeidsstasjon er direkte tilkoblet. Hva gjør en på en port der det henger en dum switch etc bak?

 

For å få opp litt mer informasjon i loggen på ISC DHCP kan en bruke DHCP option 82, ikke sant? Men hvordan implementere dette?

 

Takker for alle tips og svar

[Hagforce]

Ingen med gode innspill her?

[phnx85]

Etter litt googleing fant jeg denne siden hvor det som litt om implementering av DHCP snooping på Cisco switcher.

 

Ser ut til at portene hvor DHCP står og alle trunk porter mellom switchene må står i trust. Alle andre porter skal være untrusted. Angående "dumme" switcher vil jeg anta uplink porten til den switchen også skal stå som untrusted, siden det bare står klienter koblet på den.