服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 安全在同一台机器上安装DHCP和网关服务?
Intereting Posts
tail -f:`tail:logfile.log:file truncated` 一个驱动器的Linux mdadm RAID5数据恢复失败,一个驱动器失败 如何为导入的Ansible Galaxyangular色指定默认variables? IP语音设置小企业 重载后HAproxy双重内存使用情况 即使重新启动,也启用tcp_syncookies 从Exchange 2003资源日历中删除已取消的会议 创build一个新的VHD,并在没有DiskManagement窗口的情况下使用Powershell进行挂载 您可以使用PacketTracer从PC上ping思科路由器的环回接口 Nginx的proxy_pass和proxy_set_header导致打开的文件太多 无法访问我的主域(“无法parsing主机”) cron有什么有趣的用途? 杀死进程,然后卸载应用程序 – 我可以做到这一点PowerShell,超过400台电脑,从TXT文件? 地理负载平衡 我如何在Ubuntu服务器系统启动时自动运行Firefox?

安全在同一台机器上安装DHCP和网关服务?

在决定将DCHP服务安装到当前服务于网关angular色的机器上时,您会有什么样的考虑。

在这种情况下你会有什么问题/关注/考虑。 成本不是问题,而是安全性,可维护性。 还要别的吗?

在网关上运行DHCP服务本身并不是不安全的。 但它也不是最安全的select。 任何networking服务都可能导致妥协,如果服务存在安全漏洞或未正确configuration。

如果采取一些基本的安全防范措施,增加的风险将会相当小:

  • DHCP服务只能在本地内部networking上侦听。
  • 研究您的DHCP服务器软件是否有任何已知的远程漏洞。 如果发现任何问题,请考虑切换到其他DHCP实现。
  • 安全补丁发布后,及时修补/升级您的DHCP服务器软件。
  • 定期检查DHCP服务器日志是否有可疑活动。

这些只是适用于任何主机上的任何服务的标准安全实践。 内部攻击者仍有可能利用您的DHCP服务中的零日漏洞,但这是您获得任何服务的最佳保证。

但是这个问题没有普遍的答案。 每个人都需要权衡自己和组织的风险与成本。

只要确保将DHCP服务器分配给正确的接口,并且UDP端口67和68不向外部开放(除非您有某种中继configuration设置)。 应该没事。

不pipe你怎么看待这个问题,你都会让自己变得更加不安全,而不是不安全,以至于不能通过网关实现DHCP,而是引导自己陷入一些问题。 下面是一些你可以自己回答的问题,看你是否有理由certificate这个价值

  • 你有多个用户可以pipe理网关/ DHCP服务器吗?
  • 如果是这样,那么需要什么样的密码要求?
  • 您的服务器严格遵守RFC 2131吗?还是支持跨多个子网的3118? (请记住,您可以使用支持身份validation的劫持DHCP服务器轻松地跳转VLAN /区域)
  • 网关是否也用作IS-IS L2或L1 + 2区域?

如果您担心安全问题,请牢记外部攻击者妥协DHCP服务器的严重后果,以及内部攻击对您的数据完整性的影响。

我认为Ryan在任何情况下都给出了一些最好的build议 – 保持警惕,随时更新攻击者方法,并在时间允许的情况下查看日志。