Защита службы DHCP
Безопасным протокол DHCP в действительности не является. Никакого способа для определения, от какого пользователя поступает запрос — санкционированного или злоумышленного — в нем не предусмотрено. Злоумышленники могут предпринимать в отношении DHCP-сервера атаки типа отказа в обслуживании, просто запрашивая все доступные в его диапазоне IP-адреса и тем самым, по сути, лишая законных пользователей возможности получать свои IP-адреса.
По этой и ряду других причин важно придавать обеспечению безопасности подключений высокое значение. Хотя это может показаться очевидным, но предотвращение получения потенциальными злоумышленниками физического доступа является обязательным условием не только для DHCP, но и для других сетевых служб, которые могут подвергаться атаками типа отказа в обслуживании. Это подразумевает постоянный аудит безопасности в беспроводных сетях, таких как 802.11b, которые могут предоставлять злонамеренным пользователям неограниченный доступ.
Чтобы защитить службы DHCP, фильтрация канального уровня должна быть включена и настроена на уровне как списков Allow, так и списков Deny. Это гарантирует получение IP-адресов только желаемыми и одобренными клиентами и игнорирование запросов от всех остальных. Также можно развернуть сервер сетевых политик (Network Policy Server — NPS) и сконфигурировать надлежащую политику работоспособности, а затем настроить сервер DHCP так, чтобы он проверял информацию о работоспособности клиента с помощью сервера NPS. Если система не удовлетворяет требованиям политики работоспособности, в выдаче аренды ей будет отказано.