llazzaro Asked: 2010-02-14 16:07:18 +0800 CST2010-02-14 16:07:18 +0800 CST 2010-02-14 16:07:18 +0800 CST 在同一台机器上安装 DHCP 和网关服务是否安全? 772 在决定将 DCHP 服务安装到当前担任网关角色的机器上时,您会考虑哪些因素。 在这种情况下,您会有什么问题/担忧/考虑。成本不是问题,而是安全性和可维护性。还要别的吗? security dhcp 3 个回答 Voted Best Answer Ryan B. Lynch 2010-02-14T16:57:07+08:002010-02-14T16:57:07+08:00 在网关上运行 DHCP 服务本身并不是不安全的。但这也不是最安全的选择。如果服务存在安全漏洞或配置不正确,则任何网络服务都可能导致危害。 如果您采取一些基本的安全预防措施,增加的风险将非常小: DHCP 服务应该只监听本地的内部网络。 研究您的 DHCP 服务器软件是否有任何已知的远程漏洞。如果您发现任何问题,请考虑切换到替代 DHCP 实现。 发布安全修复程序后,及时修补/升级您的 DHCP 服务器软件。 定期检查 DHCP 服务器日志中的可疑活动。 这些只是适用于任何主机上的任何服务的标准安全实践。内部攻击者仍有可能利用您的 DHCP 服务中的零日漏洞,但这是您可以使用任何服务获得的最佳保证。 但是这个问题没有普遍的答案。每个人都需要为自己和他的组织权衡风险与成本。 nedm 2010-02-14T16:23:03+08:002010-02-14T16:23:03+08:00 只需确保将 DHCP 服务器分配给正确的接口,并且 UDP 端口 67 和 68 不对外开放(除非您设置了某种中继配置)。应该没事。 zetavolt 2010-02-14T20:49:35+08:002010-02-14T20:49:35+08:00 无论你从哪个角度看——你让自己更加不安全,而不是不安全到足以证明不通过网关实施 DHCP 的合理性,但是你正在让自己陷入一些问题。这里有一些你可以自己回答的问题,看看你是否证明了它的价值 您是否有多个用户可以管理网关/DHCP 服务器? 如果是这样,有什么样的密码要求? 您的服务器是否严格符合 RFC 2131 或是否支持跨多个子网的 3118?(请记住,您可以使用支持身份验证的劫持 DHCP 服务器非常轻松地进行 VLAN/区域跳跃) 网关是否也用作 IS-IS L2 或 L1+2 区域? 如果您关心安全性,则值得牢记外部攻击者破坏您的 DHCP 服务器的严重影响,以及破坏您的数据完整性的内部攻击的影响。 我认为 Ryan 在任何情况下都给出了一些最合理的建议——保持警惕,随时了解攻击者的方法,并在时间允许的情况下查看日志。
在网关上运行 DHCP 服务本身并不是不安全的。但这也不是最安全的选择。如果服务存在安全漏洞或配置不正确,则任何网络服务都可能导致危害。
如果您采取一些基本的安全预防措施,增加的风险将非常小:
这些只是适用于任何主机上的任何服务的标准安全实践。内部攻击者仍有可能利用您的 DHCP 服务中的零日漏洞,但这是您可以使用任何服务获得的最佳保证。
但是这个问题没有普遍的答案。每个人都需要为自己和他的组织权衡风险与成本。
只需确保将 DHCP 服务器分配给正确的接口,并且 UDP 端口 67 和 68 不对外开放(除非您设置了某种中继配置)。应该没事。
无论你从哪个角度看——你让自己更加不安全,而不是不安全到足以证明不通过网关实施 DHCP 的合理性,但是你正在让自己陷入一些问题。这里有一些你可以自己回答的问题,看看你是否证明了它的价值
如果您关心安全性,则值得牢记外部攻击者破坏您的 DHCP 服务器的严重影响,以及破坏您的数据完整性的内部攻击的影响。
我认为 Ryan 在任何情况下都给出了一些最合理的建议——保持警惕,随时了解攻击者的方法,并在时间允许的情况下查看日志。