Prevenção de endereço IP duplicado?

8

Ontem, um laptop travou a rede porque o endereço IP do computador era o mesmo do roteador. Os computadores da rede estavam acessando o laptop em vez do roteador.

Existe alguma maneira de impedir que isso aconteça?

Atualmente, temos um D-Link DFL860.

router ipv4 ip ip-address Patrick Dubois
fonte
Primeiro, adicione dhcp à sub-rede se você ainda não o fez; verifique se os endereços dos laptops são gerenciados pelo dhcp. Em seguida, você precisa de algo que execute a inspeção ARP. O Cisco IOS e o Junos têm esse recurso; Não consigo encontrá-lo no DFL860 (mas estou pesquisando no meu telefone).
Mike Pennington
Obrigado Mike. Se bem entendi, quando um computador definir seu IP estático, ele enviará um ARP ao roteador. Então o roteador pode detectar e tomar medidas para bloquear esse computador?
Patrick Dubois
4
Feche, mais precisamente, você precisa da chave na qual o laptop se conecta para fazer a inspeção ARP. Esse recurso é um pouco doloroso de manter. A maioria das pessoas simplesmente aceita o risco de um endereço duplicado e instrui os usuários a não fazer esse tipo de coisa. Tudo depende do meio ambiente. Tecnicamente, o que você quer é possível. Em um ambiente de alta segurança, use a inspeção ARP para evitar este e outros ataques de falsificação de ARP.
Mike Pennington
Não tenho um switch gerenciado e somos uma empresa bastante pequena. Eu acho que a educação será a melhor solução até agora.
Patrick Dubois
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

9

Em uma Ethernet normal, não há nada que possa impedir que os dispositivos na rede interfiram entre si. Ferramentas como o DHCP podem ajudar a evitar conflitos acidentais se usadas corretamente, mas hosts mal-intencionados ou mal configurados ainda podem causar problemas.

Algumas coisas que são comuns:

  • Endereços conflitantes (dois ou mais endereços MAC que afirmam ter o mesmo endereço IP no ARP ou ND)
  • ARP ou ND falsificação (alguém intencionalmente fingindo ser outra pessoa)
  • RAs invasores (alguém que envia anúncios de roteador IPv6 quando não deveria)
  • Servidores não autorizados DHCPv4 ou DHCPv6 (servidores DHCP que não deveriam estar lá)

Como a Ethernet é um meio de transmissão, todos podem transmitir o que quiserem, a menos que ações especiais sejam tomadas. Para essas ações especiais, você precisa de equipamentos que possam implementá-las. Isso significa que você precisa de comutadores Ethernet de nível empresarial, pontos de acesso sem fio etc. As medidas que eles podem tomar são, por exemplo, para filtrar pacotes RA e DHCP indesejados, verifique se o sistema envia apenas pacotes com um endereço de origem atribuído pelo DHCP ( isso requer espionagem de DHCP no comutador) e proteções contra o highjacking de ARP e ND.

Esses recursos de segurança estão disponíveis apenas em equipamentos profissionais; portanto, não os espere em dispositivos para consumidores ou PME ou equipamentos corporativos de baixo orçamento.

Sander Steffann
fonte
1

Você pode fazer logon na interface da web do roteador e configurar uma atribuição DHCP estática com base no endereço MAC Siga este procedimento para o seu modelo de roteador:

1. Go to: System > DHCP > DHCP Servers > DHCPServer1 > Static Hosts > Add > Static Host Entry
2. Now enter:
• Host:192.168.1.1 (enter the host IP address here)
• MAC: 00-01-02-03-04-05 (enter the host MAC address here)
3. Click OK

Agora, seu host toda vez que a inicialização receber o mesmo endereço IP. Para obter o endereço IP e MAC do host no Windows, abra uma janela cmd, digite ipconfig / all e verifique as linhas de endereço IPv4 e endereço físico da sua interface de rede

cioby23
fonte
2
Isso não considera entradas de endereço manuais. A espionagem de DHCP é realmente o que é necessário.
22614 Ryan Foley
11
Isso impede que um computador defina um IP estático duplicado? Como o IP duplicado do gateway.
Patrick Dubois
@PatrickDubois Não, não faz.
Ryan Foley
2
O modelo DFL860 da D-Link oferece algum tipo de proteção contra falsificação de IP, criando algumas regras de acesso. Verifique a seção 6.1.2 do manual dlink.com/-/media/Business_Products/DFL/DFL%20260E/Manual/…
cioby23
@ cioby23, a falsificação de IP é um problema diferente dos endereços IP duplicados. No caso da pergunta original, a falsificação de IP mencionada nesta seção do manual não ajudará a solucionar o problema.
YLearn