DHCP-фильтры сокращают риск подключения к сети несанкционированных устройств
Одна из самых неприятных задач администратора — выслеживать в корпоративной сети системы, обманным путем получившие DHCP-адрес, особенно если эти системы служат источником неприятностей. К примеру, пользователь может незаконно пронести на работу беспроводной маршрутизатор или установить виртуальную машину, никак не защищенную от сетевых угроз.
Обычно нежелательных гостей выявляют с помощью MAC-адреса, по которому можно определить тип системы. Движок DHCP в Windows Server 2008 R2 позволяет осуществлять фильтрацию по MAC-адресам. Диапазон MAC-адресов можно указать с помощью группового символа, чтобы разрешить или запретить присвоение IP-адресов в сети определенным системам.
Допустим, нам нужно запретить присвоение IP-адресов виртуальным машинам на базе Hyper-V, VirtualPC или VirtualServer. На рис. A, показано, как это сделать с помощью фильтра. Специально для такого случая я составил список типов MAC-адресов и соответствующих им гипервизоров.
Рисунок A.
Разумеется, фильтрация по DHCP не дает стопроцентной гарантии — ведь многие гипервизоры и беспроводные устройства позволяют изменять MAC-адрес. Тем не менее, этот метод лишает основную массу пользователей возможности совершать в сети неблаговидные действия. Если в вашей корпоративной сети частенько появляются неразрешенные беспроводные маршрутизаторы, не помешает выяснить уникальный идентификатор организации (OUI) для Linksys, Netgear, D-Link и других наиболее распространенных марок сетевых устройств. Более строгий подход — создать фильтры не для запрещенных устройств, а для разрешенных.
На мой взгляд, эта новая возможность DHCP очень полезна. А как считаете вы? Будете ли вы ее использовать в своих сетях? Поделитесь своим мнением в комментариях!
