Prevenzione dell'indirizzo IP duplicato?

8

Ieri un laptop si è schiantato sulla rete perché l'indirizzo IP del computer era lo stesso del router. I computer della rete stavano raggiungendo il laptop anziché il router.

Esiste un modo per impedire che ciò accada?

Al momento abbiamo un D-Link DFL860.

router  ipv4  ip  ip-address 
Patrick Dubois
fonte
Per prima cosa, aggiungi dhcp alla sottorete se non l'hai già fatto; assicurarsi che gli indirizzi dei laptop siano gestiti da dhcp. Successivamente è necessario qualcosa che esegua l'ispezione ARP. Cisco IOS e Junos hanno questa funzione; Non riesco a trovarlo nel DFL860 (ma sto cercando dal mio telefono).
Mike Pennington,
Grazie Mike. Se ti capisco, quando un computer imposta il suo IP statico, invierà un ARP al router. Quindi il router può rilevare e intervenire per bloccare quel computer?
Patrick Dubois
4
Chiudi, più precisamente è necessario l'interruttore a cui è collegato il laptop per eseguire l'ispezione ARP. Questa funzione è un po 'dolorosa da mantenere. La maggior parte delle persone accetta semplicemente il rischio di un indirizzo duplicato ed educa gli utenti a non fare questo tipo di cose. Tutto dipende dall'ambiente. Tecnicamente ciò che vuoi è possibile. In un ambiente ad alta sicurezza, utilizzare l'ispezione ARP per prevenire questo e altri attacchi di spoofing ARP.
Mike Pennington,
Non ho uno switch gestito e siamo una piccola azienda. Penso che l'istruzione sarà la soluzione migliore finora.
Patrick Dubois
Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:

9

Su una normale Ethernet non c'è nulla che possa impedire ai dispositivi della rete di interferire tra loro. Strumenti come DHCP possono aiutare a prevenire conflitti accidentali se utilizzati correttamente, ma host dannosi o non configurati correttamente possono comunque causare problemi.

Alcune cose comuni:

  • Indirizzi in conflitto (due o più indirizzi MAC che dichiarano di avere lo stesso indirizzo IP in ARP o ND)
  • Spoofing ARP o ND (qualcuno che finge intenzionalmente di essere qualcun altro)
  • Rogue RAs (qualcuno che invia annunci di router IPv6 quando non dovrebbe)
  • Server DHCPv4 o DHCPv6 non autorizzati (server DHCP che non dovrebbero essere presenti)

Poiché Ethernet è un mezzo di trasmissione, tutti possono trasmettere tutto ciò che vogliono, a meno che non vengano intraprese azioni speciali. Per tali azioni speciali sono necessarie attrezzature in grado di implementarle. Ciò significa che sono necessari switch ethernet di livello aziendale, punti di accesso wireless ecc. Le misure che possono adottare sono, ad esempio, per filtrare i pacchetti RA e DHCP indesiderati, assicurarsi che un sistema invii solo pacchetti con un indirizzo di origine assegnato dal DHCP ( questo richiede snooping DHCP sullo switch) e protezioni contro highjacking ARP e ND.

Tali funzionalità di sicurezza sono disponibili solo su apparecchiature professionali, quindi non aspettatevi che vengano utilizzate su dispositivi consumer o PMI o dispositivi aziendali a basso budget.

Sander Steffann
fonte
1

È possibile accedere all'interfaccia Web del router e configurare un dispositivo DHCP statico basato sull'indirizzo MAC Seguire questa procedura per il modello del router:

1. Go to: System > DHCP > DHCP Servers > DHCPServer1 > Static Hosts > Add > Static Host Entry
2. Now enter:
• Host:192.168.1.1 (enter the host IP address here)
• MAC: 00-01-02-03-04-05 (enter the host MAC address here)
3. Click OK

Ora il tuo host ogni volta che si avvia riceverà lo stesso indirizzo IP. Per ottenere l'indirizzo IP e MAC dell'host su Windows, apri un cmd windows digita ipconfig / all e controlla l' indirizzo IPv4 e le righe dell'indirizzo fisico per l'interfaccia di rete

cioby23
fonte
2
Questo non tiene conto dell'immissione manuale dell'indirizzo. Lo snooping DHCP è davvero ciò che è necessario.
Ryan Foley,
1
Impedisce a un computer di impostare un IP statico duplicato? Come l'IP duplicato del gateway.
Patrick Dubois
@PatrickDubois No, non lo è.
Ryan Foley,
2
Il modello D-Link DFL860 offre una sorta di protezione da spoofing IP creando alcune regole di accesso. Controlla la sezione 6.1.2 del manuale dlink.com/-/media/Business_Products/DFL/DFL%20260E/Manual/…
cioby23
@ cioby23, lo spoofing IP è un problema diverso rispetto agli indirizzi IP duplicati. Nel caso della domanda originale, lo spoofing IP menzionato in questa sezione del manuale non aiuterà a risolvere il problema.
Impara
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.