วิธีตรวจสอบ Rogue DHCP บน Windows Server 2022 ป้องกัน DHCP ปลอมในเครือข่าย

 Rogue DHCP คือ DHCP Server ที่ไม่ได้รับอนุญาตให้ทำงานอยู่ในเครือข่าย แต่กลับแจก IP Address ให้กับอุปกรณ์ลูกข่าย ทำให้เกิดปัญหาการเชื่อมต่ออินเทอร์เน็ต การเข้าถึงระบบภายในองค์กร และปัญหาด้าน Security ตามมา

ในองค์กรขนาดกลางและขนาดใหญ่ Rogue DHCP ถือเป็นหนึ่งในปัญหาที่สร้างความเสียหายได้มาก เพราะผู้ใช้งานอาจได้รับ Gateway, DNS หรือ IP Address ที่ไม่ถูกต้องโดยไม่รู้ตัว

Windows Server 2022 มีเครื่องมือหลายรูปแบบที่ช่วยตรวจสอบ Rogue DHCP ได้อย่างมีประสิทธิภาพ

Rogue DHCP คืออะไร

Rogue DHCP คือ DHCP Server ที่ไม่ได้รับอนุญาต

ตัวอย่าง

WiFi Router

ที่พนักงานนำมาติดตั้งเอง

หรือ

Access Point

ที่เปิด DHCP โดยไม่ได้ตั้งใจ

หรือ

Hotspot Device

ที่แจก IP แข่งกับ DHCP Server หลัก

ทำไม Rogue DHCP จึงอันตราย

เมื่อ Client เปิดใช้งาน

DHCP ตัวที่ตอบกลับเร็วที่สุด

มักเป็นผู้แจก IP

ส่งผลให้ Client อาจได้รับ

Gateway ผิด

DNS ผิด

IP Address ผิด

ผลกระทบที่พบบ่อย

เข้าอินเทอร์เน็ตไม่ได้

Join Domain ไม่ได้

Group Policy ไม่ทำงาน

ใช้งาน Printer ไม่ได้

DNS Resolution ผิดพลาด

Security Policy ถูกข้าม

ตัวอย่าง Rogue DHCP

DHCP จริง

192.168.1.10

Rogue DHCP

192.168.0.1

Client บางเครื่องอาจได้รับ

192.168.0.x

แทน

192.168.1.x

วิธีตรวจสอบจาก Client

เปิด Command Prompt

ipconfig /all

ดูบรรทัด

DHCP Server

ตัวอย่าง

DHCP Server

192.168.1.10

หากไม่ใช่ DHCP Server ที่องค์กรกำหนด

อาจมี Rogue DHCP

ตรวจสอบหลายเครื่องพร้อมกัน

หากบางเครื่องได้รับ

192.168.1.10

แต่บางเครื่องได้รับ

192.168.0.1

แสดงว่ามี DHCP มากกว่า 1 ตัว

ตรวจสอบผ่าน DHCP Console

เปิด

Server Manager

DHCP

IPv4

ตรวจสอบจำนวน Lease

หาก Lease ลดลงผิดปกติ

อาจมี DHCP ตัวอื่นกำลังแจก IP

ตรวจสอบ DHCP Authorization

บน Domain Controller

Get-DhcpServerInDC

ตัวอย่าง

DHCP01

หากมี DHCP Server แปลกปลอม

จะไม่ปรากฏในรายการ

ใช้ PowerShell ตรวจสอบ DHCP

Get-DhcpServerInDC

ช่วยตรวจสอบ DHCP ที่ได้รับอนุญาต

ภายใน Active Directory

ตรวจสอบผ่าน Wireshark

ติดตั้ง Wireshark

กรอง

bootp

หรือ

dhcp

มองหา

DHCP Offer

จะเห็นว่า DHCP ตัวใดตอบกลับ Client

ตรวจสอบผ่าน Event Viewer

เปิด

Event Viewer

DHCP Server

Operational Logs

ตรวจสอบ DHCP Requests

และ DHCP Offers

ใช้ Nmap ค้นหา DHCP

บน Linux

nmap --script broadcast-dhcp-discover

จะเห็น DHCP Server ที่ตอบสนองทั้งหมด

ใช้ Packet Capture

บน Switch

หรือ Firewall

ตรวจสอบ

UDP 67
UDP 68

เพื่อดู DHCP Traffic

Rogue DHCP ที่พบได้บ่อย

WiFi Router

TP-Link

Home Router

ASUS

Mobile Hotspot

MiFi Device

Access Point

ที่เปิด DHCP โดยไม่ตั้งใจ

ตัวอย่างปัญหาจริง

ผู้ใช้บางคนได้รับ

192.168.1.x

บางคนได้รับ

192.168.0.x

ตรวจสอบพบว่า

มี Router WiFi ตัวหนึ่งถูกเสียบเข้าระบบ LAN

พร้อมเปิด DHCP Server

ตรวจสอบจาก Switch

Switch Managed ส่วนใหญ่

สามารถดู

MAC Address Table

และค้นหาตำแหน่งอุปกรณ์ได้

ตรวจสอบผ่าน ARP

arp -a

ช่วยค้นหา Gateway ที่ผิดปกติ

DHCP Snooping คืออะไร

DHCP Snooping เป็นฟีเจอร์บน Switch

ที่ช่วยป้องกัน Rogue DHCP

โดยอนุญาตให้ DHCP Traffic

ผ่านได้เฉพาะ Port ที่กำหนด

ตัวอย่าง Cisco

ip dhcp snooping

ถือเป็นแนวทางป้องกันที่ดีที่สุด

ปัญหาที่พบบ่อย

พบ DHCP หลายตัว

ตรวจสอบ Router

และ Access Point

DHCP แจก IP ไม่ตรง Scope

มักเกิดจาก Rogue DHCP

DNS แปลก

ตรวจสอบ DHCP Options

ที่ Rogue DHCP แจก

เข้า Domain ไม่ได้

ตรวจสอบ DHCP Server ที่ Client ได้รับ

แนวทางสำหรับองค์กร

Small Office

ตรวจสอบ DHCP Server เป็นประจำ

Medium Business

ใช้ Managed Switch

Enterprise

ใช้

  • DHCP Snooping

  • NAC

  • SIEM

  • Network Monitoring

ร่วมกัน

จากประสบการณ์ของทีมงาน comsiam ปัญหา Rogue DHCP ส่วนใหญ่มักเกิดจาก Router WiFi ราคาประหยัดที่ถูกนำมาเชื่อมต่อเข้ากับระบบ LAN โดยไม่ได้ปิด DHCP Server ทำให้ผู้ใช้งานบางส่วนได้รับ IP Address และ DNS ที่ไม่ถูกต้อง

ในการออกแบบระบบ Windows Server 2022 ระดับองค์กร ทีมงาน comsiam มักเปิดใช้ DHCP Snooping บน Switch และกำหนดนโยบายห้ามติดตั้งอุปกรณ์เครือข่ายโดยไม่ได้รับอนุญาต เพื่อลดความเสี่ยงจาก Rogue DHCP อย่างมีประสิทธิภาพ

Best Practices

  • ใช้ DHCP Snooping

  • ตรวจสอบ DHCP Server เป็นประจำ

  • ใช้ Managed Switch

  • ตรวจสอบ Lease Logs

  • ตรวจสอบ DHCP Audit Logs

  • ใช้ Network Monitoring

  • ควบคุมการติดตั้งอุปกรณ์เครือข่าย

สรุป

Rogue DHCP เป็นภัยคุกคามที่อาจทำให้ผู้ใช้งานได้รับ IP Address, Gateway และ DNS ที่ไม่ถูกต้อง ส่งผลกระทบต่อทั้งระบบเครือข่ายและความปลอดภัยขององค์กร การตรวจสอบ DHCP อย่างสม่ำเสมอและการใช้ DHCP Snooping จะช่วยป้องกันปัญหานี้ได้อย่างมีประสิทธิภาพบน Windows Server 2022

Popular posts from this blog

Windows Server 2022 ยังน่าใช้ในปีนี้หรือไม่? คำตอบสำหรับคนกำลังวางระบบใหม่

 เมื่อมี Windows Server รุ่นใหม่ออกมา หลายคนเริ่มสงสัยว่า "Windows Server 2022 ยังน่าใช้หรือไม่?" "ควรติดตั้ง Windows Server 2022 หรือข้ามไปใช้รุ่นใหม่เลย?" คำถามนี้เกิดขึ้นบ่อยในองค์กรที่กำลังวางระบบใหม่ ซื้อ Server ใหม่ หรือมีแผนอัปเกรดจาก Windows Server รุ่นเก่า ความจริงคือ Windows Server 2022 ยังคงเป็นหนึ่งในระบบปฏิบัติการ Server ที่ได้รับความนิยมสูงมากทั่วโลก และยังถูกใช้งานในองค์กรทุกขนาดอย่างแพร่หลาย บทความนี้จะวิเคราะห์แบบตรงไปตรงมาว่า Windows Server 2022 ยังน่าใช้หรือไม่ในปัจจุบัน ① Windows Server 2022 ถือว่าเก่าหรือยัง? หากมองในโลก IT Windows Server 2022 ไม่ถือว่าเป็นระบบที่ล้าสมัย เหตุผลคือ ยังได้รับการอัปเดตความปลอดภัย ยังได้รับการสนับสนุนจาก Microsoft รองรับ Hardware รุ่นใหม่จำนวนมาก รองรับ Cloud และ Hybrid Cloud หลายองค์กรทั่วโลกยังคงติดตั้ง Windows Server 2022 เป็นระบบใหม่ในปัจจุบัน ดังนั้นคำว่า "เก่า" ยังไม่ใช่คำที่เหมาะกับ Server รุ่นนี้ ② ทำไมหลายองค์กรยังเลือก Windows Server 2022? สาเหตุหลักคือ ความเสถียร ผ่านการใช้งานจริงมาหลายปี Bug จำ...
Read more

สเปกเครื่องสำหรับติดตั้ง Windows Server 2022 เลือกอย่างไรให้คุ้มและใช้งานได้ยาว

 การเลือกสเปก Server เป็นหนึ่งในขั้นตอนที่สำคัญที่สุดก่อนติดตั้ง Windows Server 2022 หลายองค์กรซื้อเครื่องแรงเกินความจำเป็นจนเสียเงินจำนวนมาก ขณะที่บางองค์กรเลือกสเปกต่ำเกินไปจนระบบช้า ต้องอัปเกรดใหม่ภายในเวลาไม่นาน คำถามสำคัญคือ "Windows Server 2022 ต้องใช้สเปกเครื่องแบบไหน?" คำตอบขึ้นอยู่กับลักษณะงาน จำนวนผู้ใช้ และแผนการเติบโตขององค์กร บทความนี้จะช่วยให้คุณเลือกสเปกได้เหมาะสมที่สุด ① สเปกขั้นต่ำของ Windows Server 2022 ตามข้อกำหนดขั้นต่ำของระบบ CPU 64-bit 1.4 GHz ขึ้นไป RAM 512 MB (Server Core) 2 GB (Desktop Experience) Storage 32 GB Network Gigabit Ethernet Adapter อย่างไรก็ตาม สเปกนี้มีไว้สำหรับการติดตั้งระบบเท่านั้น ไม่เหมาะกับการใช้งานจริง ② สเปกแนะนำสำหรับสำนักงานขนาดเล็ก เหมาะสำหรับ 5–20 ผู้ใช้ File Server Domain Controller DNS DHCP แนะนำ CPU Intel Xeon หรือ Intel Core รุ่นใหม่ 4–6 Core RAM 16 GB Storage SSD 500 GB Network Gigabit LAN เพียงพอสำหรับงานพื้นฐานขององค์กรขนาดเล็ก ③ สเปกแนะนำสำหรับ SME เหมาะสำหรับ 20–100 ผู้ใช้ รองรับ Active Directory File Server VPN Monito...
Read more

Windows Server 2022 คืออะไร? คู่มือสำหรับมือใหม่

Windows Server 2022 เป็นระบบปฏิบัติการสำหรับเซิร์ฟเวอร์ที่พัฒนาโดย Microsoft ออกแบบมาเพื่อใช้ในองค์กร ธุรกิจ โรงงาน ศูนย์ข้อมูล (Data Center) และหน่วยงานต่าง ๆ ที่ต้องการจัดการผู้ใช้งาน ไฟล์ข้อมูล ระบบเครือข่าย และแอปพลิเคชันจากส่วนกลางอย่างมีประสิทธิภาพ หากคุณเพิ่งเริ่มต้นศึกษาเรื่อง Server หรือกำลังมองหาระบบสำหรับบริษัท บทความนี้จะช่วยให้เข้าใจว่า Windows Server 2022 คืออะไร ใช้ทำอะไรได้บ้าง และเหมาะกับธุรกิจประเภทใด ① Windows Server 2022 คืออะไร? Windows Server 2022 คือระบบปฏิบัติการสำหรับเซิร์ฟเวอร์ (Server Operating System) ที่ต่อยอดจาก Windows Server 2019 โดยเพิ่มความปลอดภัย ประสิทธิภาพ และการรองรับระบบ Cloud และ Hybrid Cloud ให้ดียิ่งขึ้น หน้าที่หลักของ Windows Server คือการเป็นศูนย์กลางในการจัดการ ผู้ใช้งานภายในองค์กร ไฟล์และโฟลเดอร์ส่วนกลาง ระบบเครือข่าย เครื่องพิมพ์ ฐานข้อมูล เว็บไซต์ เครื่องเสมือน (Virtual Machine) ระบบสำรองข้อมูล กล่าวง่าย ๆ คือเป็น "หัวใจหลัก" ของระบบ IT ภายในองค์กร ② Windows Server 2022 ใช้ทำอะไรได้บ้าง? Windows Server 2022 สามารถทำงานได้หลากหลา...
Read more