Od wczoraj próbuję znaleźć jakieś rozwiązanie, aby wyeliminować możliwość podłączania nielegalnego routera. W sieci pracuje serwer Windows 2003 SBS pełniący rolę kontrolera domeny. Bramą do internetu jest router Cisco RV220W. Przydzielaniem adresów ip zajmuje się router. W routerze skonfigurowałem filtrowanie przez mac adresy i poprzydzielałem je do konkretnych adresów ip (binding). Niestety to rozwiązanie nie jest do końca bezpieczne, ponieważ ktoś znając mac adres może nielegalnie podłączyć do sieci router, zmienić mu mac adres (na WAN) i stworzy sobie NAT-a z nieograniczoną ilością podłączonych komputerów. Pomyślałem, że spróbuję w jakiś sposób ustawić TTL=1 lecz mój router nie daje takiej możliwości. Poszedłem dalej i zainstalowałem na serwerze usługę dhcp, niestety tutaj również nie mogę znaleźć odpowiedniego rozwiązania, aby zabezpieczyć sieć przed podpinaniem nielegalnych routerów. Stworzyłem dwa zakresy:

1. Ma za zadanie przyznać tylko sam adres ip oraz maskę (bez bramy i dnsów) - na wypadek podpięcia routera poprzez WANa z pobieraniem adresów z dhcp,

2. Właściwy, przydzielający adresy ip (brama, maska, dnsy), połączyłem to z zastrzeżeniami i przypisałem mac adresy.

Niestety to rozwiązanie też nie jest do końca pewne, ponieważ w routerze będzie można wpisać ręcznie adres ip, maskę, bramę i dnsy i dostęp do internetu będzie bezproblemowy. Czy da się przy użyciu dhcp z SBS-a ustawić w jakiś sposób TTL=1?

Skończyły mi się już pomysły.

Czy wszystkie komputery w sieci potrzebują dostępu do internetu? Jeśli nie, to część z nich możesz wyciąć na ACLkach dostęp do internetu. Co do TTL, sprawdź to http://technet.microsoft.com/pl-pl/libr … 10%29.aspx