Verhinderung doppelter IP-Adressen?


8

Gestern stürzte ein Laptop das Netzwerk ab, weil die IP-Adresse des Computers mit der des Routers übereinstimmte. Computer im Netzwerk erreichten den Laptop anstelle des Routers.

Gibt es überhaupt eine Möglichkeit, dies zu verhindern?

Wir haben derzeit einen D-Link DFL860.


Fügen Sie zunächst DHCP zum Subnetz hinzu, falls Sie dies noch nicht getan haben. Stellen Sie sicher, dass Laptop-Adressen von DHCP verwaltet werden. Als nächstes benötigen Sie etwas, das eine ARP-Inspektion durchführt. Cisco IOS und Junos verfügen über diese Funktion. Ich kann es im DFL860 nicht finden (aber ich suche von meinem Telefon aus).
Mike Pennington

Danke Mike. Wenn ich Sie verstehe, sendet ein Computer beim Einstellen seiner statischen IP-Adresse einen ARP an den Router. Dann kann der Router diesen Computer erkennen und Maßnahmen ergreifen, um ihn zu blockieren.
Patrick Dubois

4
Schließen Sie genauer, Sie benötigen den Schalter, an den der Laptop angeschlossen ist, um eine ARP-Inspektion durchzuführen. Diese Funktion ist etwas schmerzhaft zu pflegen. Die meisten Menschen akzeptieren einfach das Risiko einer doppelten Adresse und weisen die Benutzer an, solche Dinge nicht zu tun. Es hängt alles von der Umgebung ab. Technisch ist das, was Sie wollen, möglich. Verwenden Sie in einer Hochsicherheitsumgebung die ARP-Inspektion, um diese und andere ARP-Spoofing-Angriffe zu verhindern.
Mike Pennington

Ich habe keinen verwalteten Switch und wir sind eine ziemlich kleine Firma. Ich denke, Bildung wird die bisher beste Lösung sein.
Patrick Dubois

Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:


9

In einem normalen Ethernet kann nichts verhindern, dass Geräte im Netzwerk sich gegenseitig stören. Tools wie DHCP können bei korrekter Verwendung dazu beitragen, versehentliche Konflikte zu vermeiden. Böswillige oder falsch konfigurierte Hosts können jedoch weiterhin Probleme verursachen.

Einige Dinge, die häufig sind:

  • Widersprüchliche Adressen (zwei oder mehr MAC-Adressen, die behaupten, in ARP oder ND dieselbe IP-Adresse zu haben)
  • ARP- oder ND-Spoofing (jemand, der absichtlich vorgibt, jemand anderes zu sein)
  • Rogue RAs (jemand, der IPv6-Router-Werbung sendet, wenn er nicht sollte)
  • Rogue DHCPv4- oder DHCPv6-Server (DHCP-Server, die nicht vorhanden sein sollten)

Da Ethernet ein Übertragungsmedium ist, kann jeder alles senden, was er will, es sei denn, es werden besondere Maßnahmen ergriffen. Für solche speziellen Aktionen benötigen Sie Geräte, die diese implementieren können. Dies bedeutet, dass Sie Ethernet-Switches für Unternehmen, drahtlose Zugriffspunkte usw. benötigen. Sie können beispielsweise unerwünschte RA- und DHCP-Pakete herausfiltern und sicherstellen, dass ein System nur Pakete mit einer von DHCP zugewiesenen Quelladresse sendet ( Dies erfordert DHCP-Snooping am Switch und Schutz vor ARP- und ND-Highjacking.

Solche Sicherheitsfunktionen sind nur für professionelle Geräte verfügbar. Erwarten Sie sie daher nicht für Verbraucher- oder KMU-Geräte oder preisgünstige Unternehmensausrüstung.


1

Sie können sich bei der Router-Weboberfläche anmelden und eine statische DHCP-Zuweisung basierend auf der MAC-Adresse einrichten. Gehen Sie für Ihr Routermodell folgendermaßen vor:

1. Go to: System > DHCP > DHCP Servers > DHCPServer1 > Static Hosts > Add > Static Host Entry
2. Now enter:
• Host:192.168.1.1 (enter the host IP address here)
• MAC: 00-01-02-03-04-05 (enter the host MAC address here)
3. Click OK

Jetzt erhält Ihr Host bei jedem Start dieselbe IP-Adresse. Um Ihre Host-IP- und MAC-Adresse unter Windows abzurufen, öffnen Sie ein cmd-Fenster und geben Sie ipconfig / all ein. Überprüfen Sie die IPv4-Adresse und die physischen Adresszeilen für Ihre Netzwerkschnittstelle


2
Dies berücksichtigt keine manuellen Adresseinträge. DHCP-Snooping ist wirklich das, was benötigt wird.
Ryan Foley

1
Verhindert es, dass ein Computer eine doppelte statische IP-Adresse festlegt? Wie das Gateway duplizierte IP.
Patrick Dubois

@PatrickDubois Nein, das tut es nicht.
Ryan Foley

2
Das D-Link DFL860-Modell bietet eine Art IP-Spoofing-Schutz, indem einige Zugriffsregeln erstellt werden. Überprüfen Sie Abschnitt 6.1.2 des Handbuchs dlink.com/-/media/Business_Products/DFL/DFL%20260E/Manual/…
cioby23

@ cioby23, IP-Spoofing ist ein anderes Problem als doppelte IP-Adressen. Im Fall der ursprünglichen Frage hilft das in diesem Abschnitt des Handbuchs erwähnte IP-Spoofing nicht, das Problem zu beheben.
YLearn
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.