A gestão do DHCP Server

paulonunes
(usa Debian)

Enviado em 25/07/2013 - 23:25h

Olá pessoal, salve o Linux!

Gostaria da opinião de vocês sobre um assunto ao qual ainda tenho dúvidas:

A gestão do DHCP SERVER


O Cenário:

Já ouvi de alguns poucos profissionais e de um professor da faculdade onde me formei, que uma prática recomendada no servidor DHCP seria cadastrar TODOS os MAC address dos dispositivos da rede no servidor e amarrá-los ao seu respectivo IP.

Tirando o cenário acima ainda sobram as opções:

@ Amarrar IP X MAC somente dos servidores, roteadores, impressoras.... enfim, tudo aquilo DEVE possuir sempre o mesmo IP, e deixar o servidor alocar dinamicamente os IPs nas estações de trabalho.

@ Limitar a faixa de concessão de ips, distribuir ips dinamicamente para as estações de trabalho e usar a faixa não concedida nos servidores e demais ativos de forma manual e estática (não gosto dessa ideia)

A motivação:

O motivo é simples, segurança! (talvez não tão simples assim srsr). Brincadeiras a parte, com o MAC pré cadastrado no servidor, nenhum cliente sem cadastro recebe IP do servidor DHCP (isso é bom!)

A dúvida:

Trabalho em uma empresa onde TUDO que precisa ter IP na rede, precisa ter seu MAC cadastrado no servidor DHCP. Essa metodologia foi definida e implantada por um antigo gestor da área, que já não trabalha mais na empresa (Mas, deixou sua marca de forma positiva :) ).

Hoje percebo que a rede está crescendo muito e a gestão desse esquema começa a ficar um tanto desgastante e não tão precisa quanto no início... Já ouvi um professor considerado “Jedi Yoda da Infraestrutura” afirmar que esse é o mais seguro e recomendado esquema (O cara é literalmente um mestre, com mestrado e tudo srsrsr).

A questão é galera: VALE A PENA GERIR DESSA FORMA??

Ou não? Haveria uma combinação melhor que garanta a mesma segurança?

Estive pensando em autenticação nos concentradores de rede com 802.1x, mas, isso é conversa para outra postagem... Até porque os ativos que tenho hoje não possuem essa função :(

Agradeço desde já a colaboração de todos \o/

tatubhz
(usa CentOS)

Enviado em 31/07/2013 - 11:04h

Cara,

Isso ajuda sim na segurança, mas isso não vai impedir que o camarada coloque o IP fixo no notebook e navegue normalmente na rede, mas se ele não souber desabilitar o dhcp client ele não acessa a rede, agora se vc colocar um filtro de MAC no switch, aí sim terá um ganho significativo de segurança.