阻止通过无线连接的恶意/恶意dhcpd服务器

Question

是否有一种检测方法，更重要的是阻止恶意客户端在对无线进行身份验证后运行dhcpd实例。

我们有一个wlc，但a是在L3 capwap模式和本地路由。不得通过wlc对客户通信进行隧道化。原因是如果远程站点的wan失败，远程客户端仍然可以使用他们的站点上的无线网络。

端口-秒/源保护/dai是在L2交换机访问端口上实现的，但是由于无线客户端不能有效地在访问点之间漫游，所以无线中继被信任。

我真的很感谢你的帮助。

Answer 1

一个确定的(但可能不是最优/实用的)方法是总是有一个更快的dhcp服务到位，这样即使他们试图提供DHCP响应，您的客户将首先到达客户端，而他们的客户将被忽略。没有wlc，就没有太多的过滤选项可供您使用。“正确”选项是放弃dhcp --请求出站AP WLAN，或dhcp --提供AP WLAN (要么阻止wifi dhcp服务有用，而不是阻止普通dhcp客户端通信)，但我从未见过这种情况。

Answer 2

是否有一种检测方法，更重要的是阻止恶意客户端在对无线进行身份验证后运行dhcpd实例。

这不是一个完美的解决方案，但是使用WLC将ACL推送到AP的无线无线电接口；ACL应该阻止来自端口udp/67的所有通信量。

出于所有显而易见的原因，您不希望使用自主接入点的BVI接口来完成此操作。