Sự phân bố động các địa chỉ IP giúp chúng tôi quản lý các thiết bị được kết nối với mạng dễ dàng hơn. Hơn nữa, các thiết bị này là thiết bị di động không được kết nối trực tiếp với cáp mạng với mạng.
Đối với nhu cầu này, chúng ta cần kích hoạt Máy chủ DHCP trên mạng của mình. Ngoài việc phân phối địa chỉ IP động, chúng ta có thể thực hiện một số cấu hình trên Máy chủ DHCP như một biện pháp phòng ngừa và bảo mật.
Và các bước ngăn chặn mà chúng ta sẽ cố gắng thảo luận ở đây, chẳng hạn như mọi thiết bị được kết nối đều phải yêu cầu thuê địa chỉ IP và không được phép đặt Địa chỉ IP tĩnh trên thiết bị. Điều này nhằm ngăn chặn khả năng Xung đột IP trên mạng.
Sau đó, chúng tôi có thể kích hoạt ‘Cảnh báo DHCP’ sử dụng để phát hiện sự hiện diện của nhiều Máy chủ DHCP / Máy chủ DHCP “giả” trên mạng.
1. Cấp phát quyền gán ARP cho máy chủ DHCP Server.
Để mỗi thiết bị chỉ có thể được kết nối với đúng dải địa chỉ IP phân bổ từ Máy chủ DHCP, chúng tôi cần kích hoạt tùy chọn ‘ Add ARP For Leases ‘. Mẹo là nhấp đúp vào Máy chủ DHCP và kiểm tra tùy chọn nằm ở dưới cùng.
Ngoài ra, trên giao diện bộ định tuyến nơi đặt Máy chủ DHCP, chúng tôi thay đổi tham số ‘ARP’ bằng tùy chọn ‘ chỉ trả lời – reply only ‘. Điều này nhằm mục đích để bộ định tuyến sẽ không tự động cập nhật bảng Danh sách ARP khi máy khách được kết nối bằng Địa chỉ IP tĩnh.
Ví dụ này, chúng tôi có máy chủ DHCP trên giao diện ether2, kết nối với mạng nội bộ.
Từ Menu Interface – Chọn thẻ Interfaces .
Các cài đặt trên sẽ làm cho bộ định tuyến chỉ cho phép các máy khách lấy địa chỉ IP từ quá trình DHCP. Người dùng đặt địa chỉ IP theo cách thủ công không thể kết nối với bộ định tuyến được nữa.
2. Bảo mật DHCP: Chỉ dành cho nhóm địa chỉ IP tĩnh
Hơn nữa, bằng cách sử dụng tham số ‘ Add ARP For Leases ‘ giống như cấu hình ở trên, chúng tôi cũng có thể giới hạn các thiết bị được kết nối qua Máy chủ DHCP ở chỉ những thiết bị mà chúng tôi đã chỉ định trước đó. Đối với nhu cầu này, bạn có thể đặt các tham số trên Máy chủ DHCP, cụ thể là Nhóm địa chỉ bằng cách đặt nó thành tùy chọn ‘ Static-Only ‘.
Tuy nhiên, trước tiên chúng ta phải đăng ký các thiết bị được phép kết nối với danh sách IP tĩnh . Để tự bổ sung, bạn có thể chọn menu IP -> DHCP Server -> Tab Cho Lease -> Nhấp vào Thêm [+] .
Sau khi được thêm, chúng ta có thể thấy danh sách các thiết bị này trong Tab Leases.
Tiếp theo, chúng tôi sẽ đặt tham số Nhóm địa chỉ (Address Pool) thành ‘Chỉ tĩnh – Static Only’. Đối với cài đặt, bạn có thể nhấp đúp vào Máy chủ DHCP hiện có và chọn tham số Address Pool.
2. Bảo mật DHCP: DHCP Alert
Tính năng này có thể được sử dụng để phát hiện sự hiện diện của nhiều máy chủ DHCP / Máy chủ DHCP ‘giả’ trên cùng một mạng. Bởi vì điều này có thể gây rối với việc phân phối địa chỉ IP và kết nối từ các máy khách.
Đối với cấu hình, nó nằm trên menu IP – DHCP Server – Thẻ Alerts. Tiếp theo, thêm một quy tắc với các tham số như sau.
– Giao diện (Interfaces) : Để chỉ định giao diện bộ định tuyến đang chạy Máy chủ DHCP.
– Máy chủ hợp lệ (Valid Server) : Chứa Địa chỉ MAC của Máy chủ DHCP gốc.
– Cảnh báo trên (Alert Timeout) : Tập lệnh được thực thi khi phát hiện lỗi DHCP.
– Trong ví dụ cấu hình ở trên, khi DHCP Rogue được phát hiện, tập lệnh sẽ được thực thi với hành động tạo tham số Authoritative = YES trên Máy chủ DHCP ban đầu.
Nguồn: Routerikvn