Как правильно защитить компы от конфликтов IP адресов?

Question

[vitz84]

Добрый день.
Вопрос такой. У меня в сети есть небольшой пул ip адресов которые выдаются автоматически, но я решил прикрыть эту тему потому как в конторе начали злоупотреблять этим притаскивая и подключая свои ноуты в корп сеть.
Вопрос такой, если я сейчас уберу этот пул и найдется какой нибудь умник который пропишет ручками ip и который совпадет с компом работающим в сети и тогда будет конфликт IP адресов.
и вот возникло два вопроса:
1) как уберечься от этих умников в сети которые могут ручками напакостничать?
2) как сделать на программном уровне (windows 2008 server ) что бы если кто то подсоединился неизвестный к сети и вбил в настройки сети правильный ip адрес, доступа к сети не было бы. т.е. полный денайд!

Answer 1

[ТыжСисАдмин]

Это решается на базе железа а не софта.
Ставите "умный свитч" на портах настраиваете фильтр по маку.
С wi-fi таже история - белый список маков.

Comments

[vitz84]

т.е. на коммутаторе нужно вести и прописать для каждого порта mac адрес. юзера правильно? И вопрос такой, если на другой стороне порта стоит свич к которому подсоединены 5 компов, как тогда решается данная задачка?

[ТыжСисАдмин]

nibbl: Она не решается ибо это неправильно. Ставится управляемый свитч и от него на компы тянутся кабеля.
Ну хотя в зависимости от железа, никто не мешает на порту задать пачку маков :)

[ldv]

nibbl: чтобы руками списки не составлять, можно использовать DHCP snooping
https://zyxel.ru/kb/1734

[MefistofelKr]

А кто мешает мак задать сетевой?:) увидеть маки в сетке через arp и задать один из тех кто в белом списке?

[ТыжСисАдмин]

MefistofelKr: Это уже вещи из другой ситуации и совершенно другой ценовой политики :)

[cijiw]

Даже самые примитивные свичи имеют фильтр по MAC.
Это правда и обходится легко. Но не для обычного пользователя.

Answer 2

[Макс]

это решается либо аппаратно (типа привязки mac к порту коммутутора или даже через 802.1X ), либо административно - выпускаете документ о запрете подключения левых устройств в сеть с описанием санкций, настраиваете мониторинг DHCP/ARP, пару раз показательно дрючите непонимающих - и все.
Самое надежное - 802.1Х. Но нужны умные коммутаторы + RADIUS. К слову - с этого решения получите и дополнительный профит в виде возможности разделять компьютеры на VLANы, выделять всяки карантинные подсети и т.д. Но непросто.

Comments

[vitz84]

понял, спасибо!

[vreitech]

поддерживаю, с точки зрения интереса и получаемых возможностей - самый добротный вариант с RADIUS. противопоказания: некому или нет времени с ним разбираться; негде поднять RADIUS-сервер и CA-сервер; отсутствие поддержки 802.1X в коммутаторах.

Answer 3

[Руслан Федосеев]

Еще есть 802.1х технология. Защита на уровне порта. Втыкаете комп в порт - а он логин и пароль запрашивает. Если правильный - линк поднимается, выдается адрес....
Но для этого соответствующее оборудование надо...

Я бы пока на вашем месте выделил в дхцп некий диапазон, который выдается неизвестному оборудованию. А все известное - зафиксировал бы маки и повыдавал адреса вне диапазона.
Ну а выделив неизвестное в отдельный блок адресов - можно уже что то делать... Доступ в инет не открывать, еще что нить...

Comments

[ТыжСисАдмин]

Это не решает его проблему с статикой у умных юзеров :)
Фактически у ТС это не техническая проблема я организационная - нефиг свои ноуты разрешать и темболее лишнии дырки в розетках держать подключенными к сети.

[Руслан Федосеев]

arpwatch или аналог - и умный юзер вычисляется автоматически ;)

Answer 4

[Влад Животнев]

Если всё совсем плохо, денег нет на железо (управляемые свичи - правильный ответ), то можно ARP-спуфингом выкидывать "неправильные" хосты из сети.

Comments

[vitz84]

ARP-спуфинг как или через чего лучше осуществлять?

[Влад Животнев]

nibbl: https://ru.wikipedia.org/wiki/ARP-spoofing - здесь всё написано.

[vitz84]

понял спасибо!

Answer 5

[Виктор Ганелес]

Только учтите, что "кульхакеры" могут и маки подменить

Comments

[cijiw]

чем это им поможет, если старый (настоящий) МАК будет тоже в сети?

Answer 6

[zRabbit]

Если у вас оборудование CISCO модно использовать security port, чтобы при подключении неизвестного устройства порт отключался, потому что, выданный IP или прописанный статически нереально отозвать у оборудования, придется бегать по этажам и искать кто подключил компьютер еще есть NAP от microsoft

Comments

[other_letter]

Аналог такого решения есть как минимум у Д-Линка, НР, Делла. Наверное, у многих. Если к порту долбится устройство с неправильным МАС - то свитч не отвечает.