Ich verwalte ein kleines LAN ( 192.168.1.0/24
), in dem wir mehrere nicht vertrauenswürdige Maschinen haben, wobei die Benutzer dieser Maschinen über Administratorrechte verfügen oder ihre eigenen Maschinen mit dem Netzwerk verbinden können.
Der Server befindet sich auch in diesem Netzwerk ( 192.168.1.200
) und ich muss verhindern, dass die Netzwerkdienste durch einen IP-Konflikt unterbrochen werden, wenn der Benutzer (möglicherweise in böswilliger Absicht) die IP seines Computers auf den gleichen Wert wie die des Servers einstellt.
Ich habe darüber nachgedacht, das Netzwerk in zwei Teile aufzuteilen (so etwas wie 192.168.1.0/25
und 192.168.1.128/25
).
Wie können die Dienste am besten aufrechterhalten werden?
Antwort1
Verschieben Sie Ihre Server in ein separates VLAN. Dies mildert das Problem, obwohl der Benutzer nicht daran gehindert wird, seine IP auf die des Gateways einzustellen. Oder besser noch: Verschieben Sie den Problembenutzer in sein eigenes VLAN.
Dies kann auch gelöst werden durch die Verwendung vondynamische ARP-Inspektionauf einem ausreichend guten verwalteten Switch.
Dies kann auch gelöst werden, indem man es als disziplinarisches Problem behandelt, das auf dieser Ebene angegangen werden muss.
AndernfallsNagelfledermauskann der letzte Ausweg sein.
Antwort2
Die technische Lösung für diese Art von Problem ist802.1x
, aber das ist für diese Situation wahrscheinlich übertrieben.
Sorgen Sie dafür, dass Ihre Benutzer DHCP vertrauen und/oder erlauben Sie ihnen nicht, ihre IP-Einstellungen zu ändern.
Antwort3
Wenn er die IP-Adresse kennt und die Berechtigung hat, die IP-Adresse eines Rechners zu ändern, können Sie nicht viel tun. Sie könnten versuchen, mit IP Source Guard und DHCP Snooping herumzuspielen, um den Benutzer zur Verwendung von DHCP zu zwingen.