DHCP w firmie – jak bezpiecznie skonfigurować przydział adresów IP
DHCP to jedna z tych usług sieciowych, o których pamięta się dopiero wtedy, gdy przestaje działać. A jednak to właśnie ona decyduje, czy nowy laptop w sali konferencyjnej dostanie internet w 2 sekundy, czy zablokuje pół firmy nieproszonym adresem IP. Pokazujemy, jak skonfigurować DHCP tak, żeby był stabilny, przewidywalny i odporny na najczęstsze błędy.
Czym jest DHCP i dlaczego źle skonfigurowany szkodzi firmie
DHCP (Dynamic Host Configuration Protocol) to usługa, która automatycznie przydziela urządzeniom w sieci adres IP, maskę podsieci, bramę domyślną i adresy serwerów DNS. Bez niej każdy komputer, drukarkę czy telefon trzeba by konfigurować ręcznie, co w firmie zatrudniającej kilkadziesiąt osób oznaczałoby godziny pracy działu IT przy każdej zmianie.
Problem w tym, że DHCP działa bez uwierzytelniania – pierwsze urządzenie w sieci, które odpowie na zapytanie klienta, wygrywa. To otwiera drzwi do dwóch typowych kłopotów: przypadkowo podłączonego routera domowego, który zaczyna rozdawać własne adresy, oraz świadomego ataku, w którym ktoś podstawia fałszywy serwer DHCP, by przekierować ruch przez własną bramę lub fałszywe DNS.
Dobrze skonfigurowany DHCP to nie tylko wygoda, ale element bezpieczeństwa całej sieci – bo to on decyduje, dokąd trafia ruch każdego urządzenia w biurze.
Planowanie zakresów adresów i rezerwacji
Zanim uruchomisz usługę, warto zaplanować adresację tak, żeby starczyło miejsca na rozwój firmy i żeby różne typy urządzeń nie mieszały się ze sobą. Sprawdzone podejście to podział na segmenty według funkcji, najlepiej wsparty osobnymi VLAN-ami.
- Zakres dla stacji roboczych – z zapasem 30-50% ponad obecną liczbę pracowników
- Zakres dla urządzeń mobilnych i gości – oddzielna pula, najlepiej w sieci gościnnej
- Adresy statyczne poza zakresem DHCP – dla serwerów, drukarek sieciowych i przełączników
- Rezerwacje DHCP – dla urządzeń, które muszą mieć stały adres (np. skanery, kamery), ale nie chcesz konfigurować ich ręcznie
Rezerwacja to złoty środek – urządzenie nadal korzysta z DHCP, ale zawsze dostaje ten sam adres przypisany do jego adresu MAC. Dzięki temu unikasz konfliktów, które pojawiają się przy w pełni statycznej adresacji zarządzanej ręcznie w arkuszu Excel.
Ochrona przed rogue DHCP i atakami na usługę
Najgroźniejszym scenariuszem jest tzw. rogue DHCP server – nieautoryzowane urządzenie rozdające adresy IP w Twojej sieci. Może to być przypadkowo podłączony router z gniazdkiem WAN pomylonym z LAN, albo świadomie podstawiony sprzęt atakującego, który w ten sposób przejmuje kontrolę nad ruchem sieciowym (atak typu man-in-the-middle).
Podstawowe zabezpieczenia, które warto wdrożyć na przełącznikach zarządzalnych:
- DHCP snooping – funkcja przełącznika, która pozwala określić porty zaufane (skąd mogą przychodzić odpowiedzi serwera DHCP) i porty niezaufane (skąd takie odpowiedzi są automatycznie blokowane)
- Dynamic ARP Inspection – współpracuje z DHCP snooping i chroni przed podszywaniem się pod adresy MAC/IP w sieci lokalnej
- Port security – ogranicza liczbę adresów MAC widocznych na danym porcie, utrudniając podłączenie obcego sprzętu
- Monitoring alertów – powiadomienia, gdy w sieci pojawi się drugi serwer DHCP odpowiadający na zapytania klientów
Te mechanizmy to standardowe funkcje w przełącznikach klasy biznesowej – jeśli Twoja firma korzysta wciąż z niezarządzalnych switchy, to jeden z sygnałów, że warto zaktualizować infrastrukturę sieciową.
Redundancja – co się dzieje, gdy serwer DHCP padnie
Jeśli w firmie działa tylko jeden serwer DHCP i ulegnie awarii, nowe urządzenia przestaną dostawać adresy IP, a te już podłączone stracą łączność po wygaśnięciu dzierżawy (lease). W małej firmie to kilka godzin przestoju, w większej – realny koszt operacyjny.
Rozwiązaniem jest konfiguracja failover DHCP, czyli dwóch serwerów dzielących między siebie ten sam zakres adresów według reguły podziału (np. 80/20 lub 50/50). Gdy jeden serwer przestaje odpowiadać, drugi automatycznie przejmuje obsługę całego zakresu. Windows Server od dawna wspiera to natywnie w roli DHCP, podobnie jak większość dedykowanych kontrolerów sieci.
W środowiskach opartych o Microsoft 365 i hybrydową infrastrukturę warto też pamiętać, że DHCP to usługa czysto lokalna – nie da się jej przenieść do chmury, ale można ją zwirtualizować i objąć tym samym planem kopii zapasowych, co pozostałe usługi katalogowe.
Monitoring, logi i porządkowanie dzierżaw
DHCP generuje dane, które są bezcenne przy diagnozowaniu problemów sieciowych i incydentach bezpieczeństwa – log pokazujący, które urządzenie (adres MAC) dostało dany adres IP i o której godzinie, pozwala szybko namierzyć źródło problemu lub podejrzanej aktywności.
- Regularnie przeglądaj listę aktywnych dzierżaw i usuwaj wpisy urządzeń, które dawno opuściły sieć
- Skróć czas dzierżawy (lease time) w sieciach gościnnych i BYOD, by adresy szybciej wracały do puli
- Włącz logowanie zdarzeń DHCP i wysyłaj je do centralnego systemu monitoringu lub SIEM
- Ustaw alert, gdy zajętość zakresu adresów przekracza 80% – to sygnał, że pula wkrótce się wyczerpie
Dla firm korzystających z Active Directory dobrą praktyką jest też autoryzacja serwera DHCP w domenie – niedziałający, ale prosty mechanizm, który blokuje uruchomienie nieautoryzowanej usługi DHCP na innym serwerze Windows w tej samej domenie.
Checklist wdrożenia bezpiecznego DHCP
Podsumowując, dobrze zabezpieczony DHCP w firmie powinien spełniać kilka podstawowych warunków:
- Zakresy adresów podzielone według segmentów sieci (VLAN) z zapasem na rozwój
- Rezerwacje dla urządzeń wymagających stałego adresu, statyczna adresacja tylko dla serwerów i infrastruktury
- DHCP snooping i port security aktywne na przełącznikach zarządzalnych
- Redundancja (failover) dla ciągłości działania usługi
- Bieżący monitoring dzierżaw i logów, z alertami o nieprawidłowościach
Jeśli nie masz pewności, jak wygląda to dziś w Twojej sieci, warto zacząć od przeglądu obecnej konfiguracji – często okazuje się, że firma latami korzysta z ustawień domyślnych, które nie były aktualizowane od instalacji pierwszego routera.
Sprawdź, czy Twoja sieć firmowa jest bezpieczna
NovaSys pomoże Ci zaudytować i skonfigurować infrastrukturę sieciową – od DHCP i VLAN po pełne zabezpieczenie sieci firmowej.