Как правильно защитить компы от конфликтов IP адресов?

Добрый день.
Вопрос такой. У меня в сети есть небольшой пул ip адресов которые выдаются автоматически, но я решил прикрыть эту тему потому как в конторе начали злоупотреблять этим притаскивая и подключая свои ноуты в корп сеть.
Вопрос такой, если я сейчас уберу этот пул и найдется какой нибудь умник который пропишет ручками ip и который совпадет с компом работающим в сети и тогда будет конфликт IP адресов.
и вот возникло два вопроса:
1) как уберечься от этих умников в сети которые могут ручками напакостничать?
2) как сделать на программном уровне (windows 2008 server ) что бы если кто то подсоединился неизвестный к сети и вбил в настройки сети правильный ip адрес, доступа к сети не было бы. т.е. полный денайд!
  • Вопрос задан
  • 1238 просмотров
Пригласить эксперта
Ответы на вопрос 6
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Это решается на базе железа а не софта.
Ставите "умный свитч" на портах настраиваете фильтр по маку.
С wi-fi таже история - белый список маков.
Ответ написан
MaxDukov
@MaxDukov
впишусь в проект как SRE/DevOps.
это решается либо аппаратно (типа привязки mac к порту коммутутора или даже через 802.1X ), либо административно - выпускаете документ о запрете подключения левых устройств в сеть с описанием санкций, настраиваете мониторинг DHCP/ARP, пару раз показательно дрючите непонимающих - и все.
Самое надежное - 802.1Х. Но нужны умные коммутаторы + RADIUS. К слову - с этого решения получите и дополнительный профит в виде возможности разделять компьютеры на VLANы, выделять всяки карантинные подсети и т.д. Но непросто.
Ответ написан
martin74ua
@martin74ua Куратор тега Системное администрирование
Linux administrator
Еще есть 802.1х технология. Защита на уровне порта. Втыкаете комп в порт - а он логин и пароль запрашивает. Если правильный - линк поднимается, выдается адрес....
Но для этого соответствующее оборудование надо...

Я бы пока на вашем месте выделил в дхцп некий диапазон, который выдается неизвестному оборудованию. А все известное - зафиксировал бы маки и повыдавал адреса вне диапазона.
Ну а выделив неизвестное в отдельный блок адресов - можно уже что то делать... Доступ в инет не открывать, еще что нить...
Ответ написан
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
Если всё совсем плохо, денег нет на железо (управляемые свичи - правильный ответ), то можно ARP-спуфингом выкидывать "неправильные" хосты из сети.
Ответ написан
@Ghool
Сисадмин, Нагрузочное тестирование
Только учтите, что "кульхакеры" могут и маки подменить
Ответ написан
@zRabbit
Если у вас оборудование CISCO модно использовать security port, чтобы при подключении неизвестного устройства порт отключался, потому что, выданный IP или прописанный статически нереально отозвать у оборудования, придется бегать по этажам и искать кто подключил компьютер еще есть NAP от microsoft
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы