วิธีบล็อก Rogue DHCP บน Windows Server 2022 ป้องกัน DHCP ปลอมในองค์กร
หลังจากตรวจพบ Rogue DHCP แล้ว ขั้นตอนที่สำคัญกว่าคือการป้องกันไม่ให้ Rogue DHCP สามารถแจก IP Address ให้กับอุปกรณ์ภายในเครือข่ายได้อีก
Rogue DHCP สามารถทำให้ผู้ใช้งานได้รับ Gateway, DNS และ IP Address ที่ผิดพลาด ส่งผลให้ระบบ Active Directory, File Server, ERP และบริการสำคัญขององค์กรใช้งานไม่ได้
Windows Server 2022 แม้จะไม่สามารถบล็อก Rogue DHCP ได้โดยตรง แต่สามารถทำงานร่วมกับ Managed Switch, DHCP Snooping, VLAN และระบบ Network Security เพื่อป้องกันปัญหานี้ได้อย่างมีประสิทธิภาพ
Rogue DHCP ทำงานอย่างไร
เมื่อ Client เปิดเครื่อง
จะส่ง
DHCP Discover
ออกไปในเครือข่าย
DHCP Server ตัวแรกที่ตอบกลับ
DHCP Offer
จะมีโอกาสถูกเลือกให้แจก IP
ดังนั้นหาก Rogue DHCP ตอบกลับเร็วกว่าของจริง
Client อาจได้รับค่าเครือข่ายผิดทันที
ผลกระทบของ Rogue DHCP
ได้ Gateway ผิด
ตัวอย่าง
192.168.0.1
แทน
192.168.1.1
ได้ DNS ผิด
เข้า Domain ไม่ได้
ใช้งาน ERP ไม่ได้
เข้า Internet ไม่ได้
เกิด Security Risk
วิธีป้องกันที่ดีที่สุด
คำตอบคือ
DHCP Snooping
DHCP Snooping คืออะไร
DHCP Snooping เป็นฟีเจอร์บน Managed Switch
ที่กำหนดว่า
Port ใด
สามารถส่ง DHCP Response ได้
หาก DHCP Response มาจาก Port อื่น
Switch จะทิ้ง Packet ทันที
หลักการทำงาน
ตัวอย่าง
Port 1
DHCP Server
กำหนดเป็น
Trusted Port
ส่วน Port อื่น
Untrusted Port
หากมี DHCP Offer จาก Untrusted Port
Switch จะ Block ทันที
ตัวอย่างบน Cisco Switch
เปิด DHCP Snooping
ip dhcp snooping
กำหนด VLAN
ip dhcp snooping vlan 10
กำหนด Port DHCP Server
interface gi1/0/1
ip dhcp snooping trust
ตัวอย่างบน Aruba
dhcp-snooping
จากนั้นกำหนด Trusted Port
ตัวอย่างบน TP-Link Omada
เปิด
DHCP Snooping
ภายใน Controller
แล้วกำหนด
Trusted Interface
ให้กับ Port DHCP Server
ตัวอย่างบน FortiSwitch
สามารถเปิด
DHCP Snooping
ผ่าน FortiGate Controller ได้
วิธีค้นหา Rogue DHCP ก่อนบล็อก
บน Client
ipconfig /all
ดูค่า
DHCP Server
ตัวอย่าง
192.168.0.1
หากไม่ใช่ DHCP Server ขององค์กร
ให้ตรวจสอบต่อทันที
ค้นหาตำแหน่งอุปกรณ์
ดู MAC Address
arp -a
จากนั้นค้นหาใน Switch
MAC Address Table
เพื่อระบุ Port ที่เชื่อมต่อ
ปิด DHCP บนอุปกรณ์ต้นทาง
ตัวอย่าง Router
ปิด
DHCP Server
จากหน้า Admin
บล็อกด้วย ACL
บน Switch
สามารถสร้าง ACL
เพื่อบล็อก
UDP 67
UDP 68
จากอุปกรณ์ต้องสงสัย
ใช้ VLAN แยกเครือข่าย
ตัวอย่าง
VLAN10
Users
VLAN20
Guest
VLAN30
IoT
ช่วยลดโอกาสที่ Rogue DHCP
จะกระทบทั้งองค์กร
ใช้ NAC (Network Access Control)
ระบบ NAC
เช่น
Cisco ISE
FortiNAC
Aruba ClearPass
สามารถตรวจจับอุปกรณ์ผิดปกติ
และบล็อกอัตโนมัติ
ตรวจสอบ DHCP Audit Log
เปิด
DHCP Audit Log
เพื่อตรวจสอบความผิดปกติ
อย่างต่อเนื่อง
ใช้ Monitoring
ระบบที่นิยม
PRTG
Zabbix
SolarWinds
OpManager
ช่วยแจ้งเตือน Rogue DHCP
ได้รวดเร็ว
ปัญหาที่พบบ่อย
บล็อกผิด Port
ทำให้ DHCP จริงใช้งานไม่ได้
ลืมกำหนด Trusted Port
Client ไม่ได้รับ IP
DHCP Snooping ไม่ครอบคลุมทุก VLAN
ยังมีช่องโหว่
มี Switch Unmanaged
ไม่สามารถใช้ DHCP Snooping ได้
ตัวอย่างเหตุการณ์จริง
องค์กรหนึ่งมีผู้ใช้งานประมาณ
300 คน
มีพนักงานนำ Router WiFi มาติดตั้งเอง
Router เปิด DHCP
ทำให้พนักงานบางส่วนได้รับ
192.168.0.x
แทน
192.168.1.x
หลังเปิด DHCP Snooping
ปัญหาหายไปทันที
แนวทางสำหรับองค์กร
Small Office
ใช้ Managed Switch
Medium Business
เปิด DHCP Snooping ทุก VLAN
Enterprise
ใช้
DHCP Snooping
NAC
SIEM
Network Monitoring
ร่วมกัน
จากประสบการณ์ของทีมงาน comsiam วิธีป้องกัน Rogue DHCP ที่ได้ผลที่สุดไม่ใช่การค้นหาเมื่อเกิดปัญหาแล้ว แต่คือการเปิด DHCP Snooping ตั้งแต่วันแรกที่ออกแบบเครือข่าย เพราะสามารถหยุด DHCP ปลอมได้ตั้งแต่ระดับ Switch
ในการออกแบบระบบ Windows Server 2022 สำหรับองค์กร ทีมงาน comsiam มักกำหนด DHCP Snooping เป็นมาตรฐานขั้นต่ำสำหรับ Managed Switch ทุกตัว และใช้ร่วมกับ VLAN Segmentation เพื่อเพิ่มความปลอดภัยของระบบเครือข่าย
Best Practices
เปิด DHCP Snooping
ใช้ Managed Switch
กำหนด Trusted Port เฉพาะ DHCP Server
ตรวจสอบ DHCP Audit Logs
ใช้ VLAN Segmentation
ใช้ Network Monitoring
ห้ามติดตั้ง Router ส่วนตัวในองค์กร
สรุป
การบล็อก Rogue DHCP บน Windows Server 2022 จำเป็นต้องอาศัยการทำงานร่วมกันระหว่าง DHCP Server, Managed Switch และระบบ Network Security โดย DHCP Snooping ถือเป็นวิธีที่มีประสิทธิภาพที่สุดในการป้องกัน DHCP ปลอมและช่วยรักษาความเสถียรของเครือข่ายองค์กรในระยะยาว