Comment protéger un réseau à petit budget contre les serveurs DHCP pirates ?

J’aide un ami à gérer une connexion Internet partagée dans un immeuble d’appartements de 80 appartements — 8 cages d’escalier avec 10 appartements chacune.
Le réseau est disposé avec le routeur Internet à une extrémité du bâtiment, connecté à un commutateur 16 ports bon marché non géré dans la première cage d’escalier où les 10 premiers appartements sont également connectés.
Un port est connecté à un autre commutateur 16 ports bon marché dans la cage d’escalier suivante, où ces 10 appartements sont connectés, et ainsi de suite. C’est une sorte de chaîne de commutateurs en guirlande, avec 10 appartements en étoile sur chaque « maillon ». Le bâtiment est en forme de U, d’environ 50 x 50 mètres, 20 mètres de haut — donc du routeur à l’appartement le plus éloigné, c’est probablement environ 200 mètres en comptant les montées et descentes d’escaliers.

Nous avons pas mal de problèmes avec des gens qui branchent des routeurs wifi à l’envers, créant des serveurs DHCP pirates qui perturbent de grands groupes d’utilisateurs et nous souhaitons résoudre ce problème en rendant le réseau plus intelligent (au lieu de faire une recherche par débranchement physique binaire).

Avec mes compétences réseau limitées, je vois deux solutions — le DHCP snooping ou le découpage de l’ensemble du réseau en VLAN séparés pour chaque appartement.

Le DHCP snooping fonctionnera-t-il avec ce type de topologie réseau, ou cela repose-t-il sur un réseau en configuration étoile appropriée ?

Et le support VLAN de base sera-t-il suffisant pour cette topologie ?

L’argent est serré, et je ne pense pas que nous puissions nous permettre du matériel Cisco professionnel, j’aimerais donc des conseils sur quelle solution a le meilleur support sur du matériel réseau bas de gamme et s’il existe des modèles spécifiques recommandés.

Je pense que vous devriez opter pour la voie multi-VLAN — et pas seulement à cause du problème de serveur DHCP. Pour le moment, vous avez un grand réseau plat et bien qu’à un certain degré, les utilisateurs devraient être censés s’occuper de leur propre sécurité, je trouverais personnellement cette configuration assez inacceptable.

Les seuls commutateurs qui doivent être gérés sont les vôtres. Au-delà de cela, vous donnez à chaque appartement un seul port sur un VLAN spécifique — tout ce qui est en aval sera complètement inconscient du VLAN et pourra fonctionner normalement.

En termes de commutateurs — les ports commutateur-à-commutateur devront être configurés comme des ports trunk et vous devrez être cohérent avec vos identifiants de VLAN. En d’autres termes, le VLAN100 DOIT correspondre au VLAN100 partout ailleurs sur le réseau.

En dehors de cela, vous pouvez mettre en place une configuration « Router-on-a-stick », avec chaque VLAN (et son pool d’IP associé*) configuré uniquement pour router vers et depuis Internet et NON vers d’autres réseaux internes.

*Je n’ai pas trouvé d’autre endroit pour glisser cela, mais n’oubliez pas que vous devriez idéalement donner à vos VLAN leur propre pool d’IP. Le moyen le plus simple est de garder l’un des octets identique à l’identifiant du VLAN, par exemple :

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Une fois que tout cela est en place, vous pouvez vraiment aller plus loin avec des choses comme la qualité de service, la surveillance du trafic, etc., si vous le souhaitez !

La demande de « jeux en LAN » me semble assez marginale, et certainement pas quelque chose à quoi je penserais en premier. Ils peuvent toujours jouer normalement via le NAT en passant par Internet — pas idéal, mais pas différent de chaque appartement ayant sa propre connexion, ce qui est la norme ici au Royaume-Uni. Au cas par cas, cependant, vous pourriez ajouter un routage inter-VLAN complet entre les appartements qui souhaitent partager leur réseau de cette manière.

La seule chose que je n’ai pas couverte ici est votre DHCP — vous avez probablement actuellement une seule étendue pour tous vos clients. Si vous les mettez sur des réseaux séparés, vous devrez gérer une étendue séparée pour chaque VLAN. C’est vraiment dépendant du dispositif et de l’infrastructure, donc je laisse cela de côté pour le moment.