выдача ip адресов по mac или мечта параноика

Небольшой сервер с windows server 2008 r2 на борту держит домен, DNS и DHCP.

В домен входит и соответственно подключено к серверу N-компьютеров под управлением windows XP/7.
После очередной кружки кофе, на директора компании наступает очередная волна паранойи и он требует включить привязку ip по mac для уже установленных компьютеров и отключить автоматическую выдачу ip адресов для неизвестных, дабы коварные работники не подключили к сети свои ноутбуки и не выкачали все планы по захвату мира.

Принимая в учет завязку бизнес-процессов компании на продукцию мелкомягких, и соответственно наличие лицензий на софт, а так же невозможностью жестко закрепить ip за mac на уровне маршрутизаторов (N – это очень большое число), возникает вопрос: как бедному админу выполнить требования руководителя-параноика с минимальными затратами?

P.S. Про перенос DNS и DHCP на Linux наш труженик-админ задумывался, но руководствуется суровым взглядом шефа (ибо это дополнительный сервер) и поговоркой «работает – не трогай».

P.P.S. Небольшое усложнение задачи:
Возможно организовать отслеживание подключение «незнакомых» компьютеров к сети?
  • Вопрос задан
  • 12659 просмотров
Решения вопроса 1
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
первый абзац — обычная привязка mac'а к ip, влёт делается на любом dhcp сервере.

второй и остальные абзацы обьясняется шефу коротко: на тупых неуправляемых свичах класса «длинк за 50 баксов» никакой безопасности не будет, потому как безопасность стоит денег — это нормальные управляемые коммутаторы с поддержкой acl, vlan, умеющие настраивать свои порты в зависимости от а) пришедшего mac'а (тупой старый сетевой принтер, или коробочка на дверях от СКУД)
и б) настраивать свой коммутаторский порт в соответствии с:
1. настройкой рабочих станций на парольную аутентификацию в сети, то есть, после ввода валидного доменного логина/пароля порт коммутатора настраивается на нужный влан (бухгалтерия, админы, сапорт, тестовый влан), и айпишник из нужной подсети.
3. логирование подключений к портам коммутаторов на выделенный сервер логов с отправкой уведомлений на уровне «port fa0/1/2 on switch2.campus3.company.local is up», зная где стоит свич и какая розетка на этот порт скоммутирована можно послать охранника в «кабинет 123, 3 этаж, корпус 3» посмотреть, кто там развлекается.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 6
@mcleod095
Меня всегда забавляет когда люди начинают говорить что стоит на винде, и перенос на никсы не возможен. Особенно когда это касается dhcp.
Если уж так надо, то возьмите и почитайте про dhcp и может дойдет осознание того что на винде и на никсах он работает одинаково, различаются только реализации.
Зз википедии:
Протокол DHCP предоставляет три способа распределения IP-адресов:
Ручное распределение. При этом способе сетевой администратор сопоставляет аппаратному адресу (для Ethernet сетей это MAC-адрес) каждого клиентского компьютера определённый IP-адрес. Фактически, данный способ распределения адресов отличается от ручной настройки каждого компьютера лишь тем, что сведения об адресах хранятся централизованно (на сервере DHCP), и потому их проще изменять при необходимости.
Автоматическое распределение. При данном способе каждому компьютеру на постоянное использование выделяется произвольный свободный IP-адрес из определённого администратором диапазона.
Динамическое распределение. Этот способ аналогичен автоматическому распределению, за исключением того, что адрес выдаётся компьютеру не на постоянное пользование, а на определённый срок. Это называется арендой адреса. По истечении срока аренды IP-адрес вновь считается свободным, и клиент обязан запросить новый (он, впрочем, может оказаться тем же самым). Кроме того, клиент сам может отказаться от полученного адреса.

Выберите то что вам нужно и почитайте как это реализовано в вашем ПО.
Да, от подмены mac адреса это не поможет, здесь нужны другие меры защиты.
Ну и так в догонку
Создается два пула адресов
В одном все настраивается как хочется и как надо.
Второй пул делается фейковый, выдача адресов из этого пула разрешена всем. но в этой сети нет ни серверов ничего. просто они получают ип адреса и ничего более. Когда комп получает адрес по dhcp и нет выозможности его выдать он долго тупит. Да и это наводит на мысль что есть что поломать. пусть лучше юзают сетку фейковую
Ответ написан
Комментировать
@smartlight
Я считаю, что без замены свичей, на свичи которые умеют IP+MAC Binding не обойтись
Ответ написан
IlyaEvseev
@IlyaEvseev
Opensource geek
В DHCP все привязки сделать статическими.

Для всех неиспользуемых IP-адресов сделать на Windows Server статические ARP-записи с левым MAC-адресом.
Ответ написан
@rozhik
Эта защита — защита от дурака. Даже дети умеют прописывать статические айпи. Ну привязали Вы айпи к макам, но защищенности это ни капли не прибавило.
Ответ написан
sharikoff
@sharikoff
cisco свич на всю контору + port security
Ответ написан
Комментировать
YaroslavEremin
@YaroslavEremin
Just a man.
Правильное решение, внедрение IEEE 802.1X с привязкой к Network Access Protection Services в вашем Windows Server.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы