Mantengo una pequeña LAN ( 192.168.1.0/24) en la que tenemos varias máquinas que no son de confianza, donde los usuarios de esas máquinas tienen derechos administrativos o pueden conectar sus propias máquinas a la red.
El servidor también está en esa red ( 192.168.1.200) y necesito evitar que un conflicto de IP elimine los servicios de red cuando el usuario configura la IP de su máquina igual que la del servidor (posiblemente de forma maliciosa).
He pensado en dividir la red en dos (algo como 192.168.1.0/25y 192.168.1.128/25).
¿Cuál es la mejor manera de mantener los servicios en funcionamiento?
Respuesta1
Mueva sus servidores a una VLAN separada; esto lo mitigará, aunque no hay nada que impida al usuario configurar su IP en la de la puerta de enlace. O mejor, mueva el usuario problemático a su propia VLAN.
Esto también se puede solucionar utilizandoinspección dinámica de arpen un conmutador gestionado suficientemente bueno.
Esto también puede resolverse tratándolo como un problema disciplinario que debe abordarse en ese nivel.
En su defecto, unbate de uñaspuede ser el último recurso.
Respuesta2
La solución técnica a este tipo de problemas es802.1x, pero probablemente sea excesivo para esta situación.
Haga que sus usuarios confíen en DHCP y/o no les permita modificar su configuración de IP.
Respuesta3
Si conoce la IP y tiene derecho a cambiar la dirección IP de una máquina, no hay mucho que pueda hacer. Podrías considerar jugar con IP Source Guard con DHCP Snooping para obligar al usuario a usar DHCP.