Em nosso ambiente LAN (com e sem fio), o conflito de endereços IP quase sempre deixa nossos sistemas inativos.
Temos muitos equipamentos ligados à rede: PC's, Access Points, RF, balanças, máquinas POS. Cada equipamento possui sua própria faixa de endereços IP definidos. No entanto, os IPs são atribuídos estaticamente. Fornecedores externos configuram seus respectivos equipamentos off-line. Este é quase sempre o caso de conflito quando as máquinas estão conectadas à rede.
Já sabemos como solucionar problemas e resolver o conflito. O que quero perguntar agora é COMO BLOQUEAR OU EVITAR A INTRODUÇÃO OU CONEXÃO de qualquer máquina/equipamento à nossa rede com endereço IP que esteja em conflito com os IPs existentes e utilizados?
Estou planejando executar o LookAtLan em uma tarefa agendada, digamos, às 2h da manhã, diariamente, para que possamos obter uma nova lista de todos os endereços IP e Mac usados e, em seguida, criar um programa que executará automaticamente a validação (de IP) após a detecção de qualquer nova entrada no rede através das portas do switch (somente para conexão com fio - não tenho nada para conexão sem fio).
Uma vez validada a nova entrada em conflito com a existente, O QUE E COMO EVITAR A ENTRADA é o meu PRINCIPAL PROBLEMA.
Não sei se meus planos são viáveis e possíveis. Por favor ajude.
Responder1
Como parece que você está usando IPv4, os conflitos de rede do endereço IP estático podem ser encontrados porARP gratuito. O problema é que esta detecção só funcionadepois que o conflito acontece.
No entanto, você pode minimizar o impacto do conflito de endereço IP usando recursos de segurança de alguns switches, comoInspeção ARP Dinâmica da Ciscocomo sugeridonesta resposta.
DAI é um recurso de segurança que valida pacotes ARP em uma rede. DAI intercepta, registra e descarta pacotes ARP com ligações de endereço IP para MAC inválidas. Esse recurso protege a rede contra alguns ataques man-in-the-middle.
Então, basicamenteno IPv4 você não pode evitar conflitos de endereços IP estáticos (não atribuídos por DHCP) e deve se concentrar em minimizar o impacto de eventuais conflitos em seu sistema, o que pode ser alcançado usando hardware e configuração de rede adequados.
Se você usasse IPv6, você se beneficiariaDetecção otimista de endereços duplicados (DAD) para IPv6.
Com o ARP gratuito IPv4, os campos Endereço do protocolo de origem e Endereço do protocolo de destino no cabeçalho da mensagem de solicitação ARP são definidos como o endereço IPv4 para o qual a duplicação está sendo detectada. No IPv6 DAD, o campo Target Address na mensagem Neighbor Solicitation (NS) é definido como o endereço IPv6 para o qual a duplicação está sendo detectada. DAD difere da resolução de endereço das seguintes maneiras:
- Na mensagem DAD NS, o campo Endereço de origem no cabeçalho IPv6 é definido como o endereço não especificado (::). TO endereço que está sendo consultado para duplicação não pode ser usado até que seja determinado que não há duplicatas.
- Na resposta do Neighbor Advertisement (NA) a uma mensagem DAD NS, o endereço de destino no cabeçalho IPv6 é definido como o endereço multicast link-local de todos os nós (FF02::1). O sinalizador Solicitado na mensagem NA é definido como 0. Como o remetente da mensagem DAD NS não está usando o endereço IP desejado, ele não pode receber mensagens NA unicast. Portanto, a mensagem NA é multicast.
- Após o recebimento da mensagem multicast NA com o campo Target Address definido como o endereço IP para o qual a duplicação está sendo detectada, o nó desabilita o uso do endereço IP duplicado na interface. Caso o nó não receba uma mensagem NA que defenda o uso do endereço, ele inicializa o endereço na interface.
Portanto, no IPv6 o conflito é detectado antes de acontecer e o endereço IP duplicado não pode ser usado até que seja determinado que não há duplicatas.