当决定将 DCHP 服务安装到当前充当网关角色的机器上时,您会考虑哪些因素。
在这种情况下,您会遇到哪些问题/顾虑/考虑。成本不是问题,而是安全性和可维护性。还有其他问题吗?
答案1
在网关上运行 DHCP 服务本身并不安全。但这也不是最安全的选择。如果服务存在安全漏洞或配置不当,任何网络服务都可能导致危害。
如果采取一些基本的安全预防措施,增加的风险就会非常小:
- DHCP 服务应该只监听本地内部网络。
- 研究您的 DHCP 服务器软件是否存在任何已知的远程漏洞。如果发现任何漏洞,请考虑切换到其他 DHCP 实现。
- 当安全修复程序发布时,及时修补/升级您的 DHCP 服务器软件。
- 定期检查 DHCP 服务器日志是否有可疑活动。
这些只是适用于任何主机上的任何服务的标准安全做法。内部攻击者仍有可能利用 DHCP 服务中的零日漏洞,但这是任何服务都能获得的最佳保障。
但这个问题没有统一的答案。每个人都需要权衡自己和组织的风险和成本。
答案2
只需确保将 DHCP 服务器分配到正确的接口,并且 UDP 端口 67 和 68 未向外部开放(除非您设置了某种中继配置)。应该没问题。
答案3
无论从哪个角度看,你都在创造自己更多的不安全,不一定不安全到可以证明不通过网关实施 DHCP 是合理的,但你正在给自己带来一些问题。这里有一些问题你可以自己回答,看看是否值得
- 您是否有多个用户可以管理网关/DHCP 服务器?
- 如果是,那么有什么样的密码要求?
- 您的服务器是否严格遵循 RFC 2131 或是否支持跨多个子网的 3118?(请记住,您可以使用支持身份验证的劫持 DHCP 服务器非常轻松地进行 VLAN/区域跳跃)
- 网关是否也用作 IS-IS L2 或 L1+2 区域?
如果您担心安全问题,那么请记住,您的 DHCP 服务器遭到外部攻击者的攻击可能会造成严重后果,而内部攻击也可能危及您的数据完整性。
我认为无论如何 Ryan 都给出了一些最合理的建议 - 保持警惕、随时了解攻击者的方法并在时间允许时查看日志。