Linux DHCP安全:如何保护网络配置
导读:Linux DHCP安全加固与网络配置防护 一 分层防护总览 在交换机侧启用DHCP Snooping:将与合法DHCP服务器相连的端口设为信任,其余端口设为非信任;基于绑定表校验DHCP Discover/Offer/Request/A...
Linux DHCP安全加固与网络配置防护
一 分层防护总览
- 在交换机侧启用DHCP Snooping:将与合法DHCP服务器相连的端口设为信任,其余端口设为非信任;基于绑定表校验DHCP Discover/Offer/Request/ACK的合法性,阻断仿冒服务器与非法报文。
- 在接入交换机启用速率限制与数量上限,缓解DHCP饿死与DoS;对续租/释放报文进行绑定表匹配,异常丢弃。
- 启用**DAI(动态ARP检测)**与(可选)静态ARP,配合Snooping绑定表抑制ARP欺骗与中间人。
- 在Linux主机侧以最小权限运行ISC DHCP:仅监听必要接口、使用chroot监牢、最小配置与租约文件保护。
- 以防火墙精确放行DHCP端口:服务器侧仅允许来自受管VLAN的UDP 67/68,客户端侧仅允许出站的UDP 68与必要的UDP 67。
- 在服务器与客户端启用日志与监控,持续审计租约分配与异常流量。
二 交换机侧关键配置
- DHCP Snooping信任边界:仅上联合法DHCP服务器的端口为trusted,用户端口为non-trusted,非信任端口的DHCP响应报文直接丢弃。
- 报文合法性校验:基于Snooping绑定表校验DHCP续租/释放报文,匹配失败即丢弃,抑制伪造与重放。
- 洪泛与DoS防护:启用DHCP报文速率检测与每接口最大DHCP客户端数量上限,超出阈值的报文与新的地址申请被拒绝。
- ARP防护:启用DAI(依据Snooping绑定表校验ARP),必要时配合静态ARP或端口安全策略,阻断中间人。
- 接入控制:结合802.1X进行设备身份准入,未认证端口不分配地址,减少攻击面。
三 Linux DHCP服务器加固
- 指定监听接口:在RHEL/CentOS系中编辑**/etc/sysconfig/dhcpd**,设置仅在某接口(如eth0)监听,避免多网卡误配导致跨网段应答。
- 运行于chroot监牢:将ISC DHCP运行在受限根目录,降低被攻破后的横向移动风险。
- 精简与硬化配置(/etc/dhcp/dhcpd.conf):
- 明确声明subnet、range、routers、subnet-mask、domain-name-servers等关键选项,移除不必要参数;
- 使用**ddns-update-style none; ignore client-updates; **关闭动态DNS更新(或改为安全方式),减少域名劫持面;
- 设置合理租约:办公网可用default-lease-time 21600(6小时)、max-lease-time 43200(12小时),高流动场景可进一步缩短;
- 明确**authoritative; **声明权威,拒绝非法地址请求;
- 精细化客户端控制:使用allow/deny unknown-clients; 、**allow/deny bootp; **仅服务受管设备;
- 对关键主机使用host声明与固定IP(基于hardware ethernet),便于审计与策略一致性。
- 租约文件保护:确保**/var/lib/dhcp/dhcpd.leases**与备份文件的权限与属主正确,仅DHCP服务可写,定期归档审计。
- 系统加固:以最小权限运行服务(专用系统/容器)、及时更新系统与软件包、分离管理口与业务口。
四 防火墙与客户端侧防护
- 服务器侧(firewalld示例):仅放行受管VLAN的DHCP入站;阻断其他来源的67/68端口。
- 允许受管网段:firewall-cmd --permanent --add-rich-rule=‘rule family=“ipv4” source address=“192.168.1.0/24” port port=“67” protocol=“udp” accept’
- 允许受管网段:firewall-cmd --permanent --add-rich-rule=‘rule family=“ipv4” source address=“192.168.1.0/24” port port=“68” protocol=“udp” accept’
- 全局丢弃其他来源的DHCP:firewall-cmd --permanent --add-rich-rule=‘rule family=“ipv4” port port=“67” protocol=“udp” drop’;firewall-cmd --permanent --add-rich-rule=‘rule family=“ipv4” port port=“68” protocol=“udp” drop’;firewall-cmd --reload
- 客户端侧:默认出站UDP 68允许;若需发起DHCP请求(如PXE/救援),临时放行UDP 67;在受控网络中优先通过802.1X准入后再获取地址。
- 主机加固:关闭未使用的网卡自动获取地址;对关键主机采用静态IP或DHCP保留,减少地址争用与劫持风险。
五 监控审计与应急响应
- 日志与告警:集中采集与分析**/var/log/dhcpd.log**,关注异常Discover/Request洪泛、未知客户端、非法服务器报文与租约异常增长;为安全事件设置阈值告警。
- 租约审计:定期检查**/var/lib/dhcp/dhcpd.leases**,核对IP分配、主机标识与租约时长,发现冲突与异常占用及时处置。
- 持续维护:定期更新系统与DHCP软件、复核配置基线、验证防火墙与Snooping策略一致性;发生攻击时,优先隔离受害端口/VLAN、临时收紧租约与速率阈值,再溯源取证。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Linux DHCP安全:如何保护网络配置
本文地址: https://pptw.com/jishu/786461.html