Обеспечение безопасности DHCP

Защита службы DHCP

Безопасным протокол DHCP в действительности не является. Никакого способа для оп­ределения, от какого пользователя поступает запрос — санкционированного или злоумыш­ленного — в нем не предусмотрено. Злоумышленники могут предпринимать в отношении DHCP-сервера атаки типа отказа в обслуживании, просто запрашивая все доступные в его диапазоне IP-адреса и тем самым, по сути, лишая законных пользователей возможности получать свои IP-адреса.

По этой и ряду других причин важно придавать обеспечению безопасности подключений высокое значение. Хотя это может показаться очевидным, но предотвращение получения потенциальными злоумышленниками физического доступа является обязательным условием не только для DHCP, но и для других сетевых служб, ко­торые могут подвергаться атаками типа отказа в обслуживании. Это подразумевает посто­янный аудит безопасности в беспроводных сетях, таких как 802.11b, которые могут предос­тавлять злонамеренным пользователям неограниченный доступ.

Чтобы защитить службы DHCP, фильтрация канального уровня должна быть включена и настроена на уровне как списков Allow, так и списков Deny. Это гарантирует получение IP-адресов только желаемыми и одобренными клиентами и игнорирование запросов от всех остальных. Также можно развернуть сервер сетевых политик (Network Policy Server — NPS) и сконфигурировать надлежащую политику работоспособности, а затем настроить сервер DHCP так, чтобы он проверял информацию о работоспособности клиента с помощью сер­вера NPS. Если система не удовлетворяет требованиям политики работоспособности, в вы­даче аренды ей будет отказано.

2016  Командная строка Windows  
top Яндекс.Метрика