DHCP服务器安全设置策略

DHCP服务器安全设置策略

目标与威胁概览

• 主要威胁包括：DHCP服务器欺骗（未授权服务器分配错误参数）、DHCP泛洪/饿死攻击（耗尽地址池或控制面）、报文伪造（续租/释放欺骗）、中间人攻击（ARP欺骗）。
• 防护目标：只允许合法DHCP服务器响应、限制异常速率与数量、对报文与绑定信息进行合法性校验、保障日志可追溯与及时修补。

分层安全策略

• 接入层（交换机）
  • 启用DHCP Snooping：将与合法DHCP服务器相连的端口设为信任，其余端口为非信任，丢弃来自非信任端口的DHCP响应。
  • 启用速率检测/限速与DHCP用户级防护：对上送控制面的DHCP报文按端口/用户限速，异常时丢弃一段时间，避免泛洪/饿死。
  • 启用动态ARP检测 DAI（基于Snooping绑定表校验ARP）：仅放行与绑定表一致的ARP，抑制中间人。
  • 启用IP Source Guard：基于Snooping绑定表限制端口只能使用已分配的IP/MAC，杜绝私设IP。
• 汇聚/边界（路由器/防火墙）
  • 配置ACL过滤：仅允许合法DHCP服务器端口的UDP 67/68流量通过，屏蔽非法服务器。
  • 对上送控制面的DHCP流量做CPU防护/采样与黑名单，保护设备稳定性。
• 服务器主机（Linux ISC DHCP示例）
  • 配置firewalld/iptables：仅放行来自受管网段的UDP 67/68。
  • 精简与硬化配置文件：最小化options，必要时禁用动态DNS更新（如设置 ddns-update-style none; ignore client-updates;），减少攻击面。
  • 启用详细日志并集中审计，定期核查配置与租约文件。
• 终端接入控制
  • 部署802.1X进行设备身份准入，仅允许认证终端获取地址，降低未授权设备发起DHCP攻击的可能。

关键配置示例

• 交换机侧（DHCP Snooping + DAI + IP Source Guard）
  • 全局与VLAN启用Snooping，上联/服务器端口设为信任，其他端口为非信任；
  • 基于Snooping绑定表启用DAI与IP Source Guard，仅允许绑定项通行。
• 路由器侧（ACL放行合法DHCP）
  • 创建ACL仅允许合法DHCP服务器端口的UDP源端口67（DHCP服务器）通过，其他端口的DHCP响应丢弃；
  • 在接口入方向应用ACL，实现合法DHCP服务器过滤。
• Linux ISC DHCP（示例片段）
  • 配置示例：
    • ddns-update-style none; ignore client-updates;
    • subnet 192.168.1.0 netmask 255.255.255.0 {
      • range 192.168.1.100 192.168.1.200;
      • option routers 192.168.1.1;
      • option subnet-mask 255.255.255.0;
      • option domain-name-servers 192.168.1.2;
      • default-lease-time 600; max-lease-time 7200;
      • allow known-clients; deny unknown-clients;
      • }
  • 防火墙示例（iptables）：仅放行受管网段UDP 67/68；
  • 说明：如需IPv6，可并行部署DHCPv6与相应Snooping/RA Guard机制。

运维与监测

• 日志与审计
  • Linux：启用并集中采集**/var/log/dhcpd.log**，定期审计租约与配置变更；
  • Windows：在DHCP控制台启用审核日志，并可调整数据库/日志路径与备份策略，防止篡改与丢失。
• 监控与告警
  • 监控DHCP请求/拒绝/NAK异常、地址池使用率、租约异常增长；
  • 对端口/用户速率超限、非法服务器报文等触发告警与处置。
• 变更与补丁
  • 最小化配置、定期安全更新与配置基线核查，变更前后进行回滚与影响评估。

检查清单