parazitní DHCP v domovním rozvodu

[svestka]

V domě o vícero bytech, kde jsou v patrech obyč. switche, a jeden centralni DHCP server, si nekdo do zasuvky pripojil routrik, a evidentne ho do zdi pichl LAN portem, kde mu bezi DHCP server, tedy občas se stane, že kdyz "soused požádá", tak místo centrálního DHCP mu nadělí dřív tento pitomec. Dotyčnému to pak nejede.
Dá se proti tomu bránit jinak, než že půjdu kabel po kabelu v chodbě, a tam kde mi to ze směru z bytu "nadělí", vím že mám klepat nejdřív na dveře a pak i do hlavy dotyčnému hříšníkovi?

[hapi]

nemáš stavět tak stupidní topologii sítě.

[ludvik]

říká se tomu DHCP snooping. A společně s loopback-detection (a dnes i RA-guard) jsou to základní vlastnosti switchů, které v baráku prostě musí být.

[lyra]

To co psal Hapije pravda .. Když už chceš mit v síti DHCP přiděluj dle mac adres ,ale lepsi je mit pevne IP svazane s MAC

[hapi]

říká se tomu DHCP snooping. A společně s loopback-detection (a dnes i RA-guard) jsou to základní vlastnosti switchů, které v baráku prostě musí být.

nemusej. Pokud máš pro každýho usera vyhrazenej port což máš a pokud máš pro každej port vlan tak je ti šumák co dělá user doma. Žádný vopičky kolem nejsou potřeba, user se ze svojí vlany nedostane a to že si tam rozchodí svůj vlastní dhcp server je už jeho problem.

[ludvik]

Stupidní bych tomu fakt neříkal. Ono je to i o penězích - pár uživatelů (tedy dva) a máš tam dávat switch za tři tisíce a výš (např es3510ma) když to samé výkonově zvládne ovislink za dvěstěpade? je pak problém, že to předěláváš všechno jak kokot ... ale v době stavby prostě ty prachy být nemusely. Nevyčítal bych mu to.

Kromě toho, takový switch 3com 4210 je prima. Ale tyhle dvě věci nedokáže ... DHCP snooping sice jo, ale nedokáže to zablokovat výběrově, umí jen shodit celý port. A v případě loopbacku imunní v podstatě není, sice to dokážou jakž takž vyřešit broadcast storm control a přátelé, ale i tak dostane záhul.
A podobně můžu pokračovat ... běžné malé laciné switche prostě tyto vlastnosti nemají.

A pro hapiho: pokud switch umí VLAN, dhcp snooping jsi schopen obejít. Ale prostě se ti to nemusí hodit do topologie, případně do něčeho jiného. A ten loopback ti to stejně nevyřeší ...

[ludvik]

Třeba ten RA-guard jsi taky schopen nahradit. Prostě tvůj router bude oznamovat prefix v high prioritě. Jenže pomůže to jenom proti pitomcům, ne proti těm, co ti chtějí uškodit. Takže všechny ochrany proti koncovým uživatelům musí dělat switch. A tím pádem na L2 (resp. detekovat výše, ale reakce mít zde).

[tom-tom]

Tak tak.. jinak on to nemusí být ani router LANou ven, stačí když si někdo na aukru koupí takový 5460 ovislink za pár korun a ten dhcp si zapne. Jsou takové spořivé typy lidí

[svestka]

Prosím neřešte technické věci. Síť si v této podobě přál majitel domu, rozvody a switche jsou jeho, centrální server s DHCP je náš.
Tehdy ho k takovémuto řešení vedly finanční důvody, svoje miliony holt kdysi dávno musel investovat do rekonstrukce domu, síťové rozvody se tehdy ošidily, to víme všichni, to že se to teď občas vymstí z výše zmiňovaného důvodu je samozřejmé.
Tedy řešení je asi ze switchů v chodbě vytahovat dráty, co vedou do bytů, a zkoušet jeden po druhém ... ?

[ludvik]

V podstatě jo. Pokud je tam mikrotik, tak ti může pomoci Alert v DHCP. Jinak jsi prostě v čudu. Technická otázka to je. Ne že ne. Trpí s tím každá síť.
A i kdyby ti nějaký uživatel řekl, odkud tu IP dostal (nebo to prostě víš), tak to nejspíš nebudeš schopen identifikovat, nejspíš nebudeš vědět ze kterého portu switche to je. Pokud je to zanedbané, tak nevím co s tím ...

Tedy řešení je asi ze switchů v chodbě vytahovat dráty, co vedou do bytů, a zkoušet jeden po druhém ... ?

[Peyrak]

nech si tu ip přidělit a zkus otevřít ip přidělenou jako brána, většinou tam zůstane výchozí heslo tak to dhcp vypni

[Insider]

nech si tu ip přidělit a zkus otevřít ip přidělenou jako brána, většinou tam zůstane výchozí heslo tak to dhcp vypni

Jj vetsinou to tak je. Mame staticke ip adresy dle MAC a na nejakem vedlejsim routeru potom mame DHCP klienta kte4y chyta DHCp bc a v momente, kdy neco chyti posle majl

[svestka]

nech si tu ip přidělit a zkus otevřít ip přidělenou jako brána, většinou tam zůstane výchozí heslo tak to dhcp vypni

Stalo se, fakt nemám slov. Do SSID si pán zadal číslo bytu, takže to bylo rychlé

[Peyrak]

Párkrát jsem tohle už řešil, vždycky mě to rozpálilo do ruda a jedním týpkem to skončilo i fyzickou konfrontací

Jinak teď už se mi to naštěstí nemá kde stát.

[aliney]

Ja mam v podminkach formulku (zkopirovanou od jedne velke spolecnosti) ze pokud mi nekdo bude drbat do moji site, bez ohledu na to, co to je, nebo si zmeni konfiguraci, kterou jsem mu ja pridelil, tak 10.000,- smluvni pokuty. No nekteri to treba udelaji omylem, tak uz bylo 2x tytyty bacha na to, co robis, protoze priste uz narok na pokutu vyuziji a zatim je klid. Nechci z nich tahat prachy, ale nemam rad ""domaci profesionaly"", kteri se dostanou mimo svuj barak.