Prévention des adresses IP en double?

8

Hier, un ordinateur portable a bloqué le réseau car l'adresse IP de l'ordinateur était la même que celle du routeur. Les ordinateurs du réseau atteignaient l'ordinateur portable au lieu du routeur.

Y a-t-il une façon d'empêcher que cela se produise?

Nous avons actuellement un D-Link DFL860.

Patrick Dubois
la source
Tout d'abord, ajoutez dhcp au sous-réseau si vous ne l'avez pas déjà fait; assurez-vous que les adresses des ordinateurs portables sont gérées par DHCP. Ensuite, vous avez besoin de quelque chose qui effectue une inspection ARP. Cisco IOS et Junos ont cette fonctionnalité; Je ne le trouve pas dans le DFL860 (mais je cherche depuis mon téléphone).
Mike Pennington
Merci Mike. Si je vous comprends bien, lorsqu'un ordinateur définit son adresse IP statique, il envoie un ARP au routeur. Ensuite, le routeur peut détecter et prendre des mesures pour bloquer cet ordinateur?
Patrick Dubois
4
Fermer, plus précisément, vous avez besoin du commutateur auquel l'ordinateur portable se branche pour avoir une inspection ARP. Cette fonctionnalité est un peu pénible à maintenir. La plupart des gens acceptent simplement le risque d'une adresse double et éduquent les utilisateurs à ne pas faire ce genre de chose. Tout dépend de l'environnement. Techniquement, ce que vous voulez est possible. Dans un environnement de haute sécurité, utilisez l'inspection ARP pour empêcher cela et d'autres attaques d'usurpation ARP.
Mike Pennington
Je n'ai pas de commutateur géré et nous sommes une toute petite entreprise. Je pense que l'éducation sera la meilleure solution jusqu'à présent.
Patrick Dubois
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

9

Sur un réseau Ethernet normal, rien ne peut empêcher les périphériques du réseau d'interférer les uns avec les autres. Des outils comme DHCP peuvent aider à prévenir les conflits accidentels s'ils sont utilisés correctement, mais des hôtes malveillants ou mal configurés peuvent toujours causer des problèmes.

Certaines choses qui sont courantes:

  • Adresses en conflit (deux adresses MAC ou plus qui prétendent avoir la même adresse IP dans ARP ou ND)
  • Usurpation ARP ou ND (quelqu'un prétendant intentionnellement être quelqu'un d'autre)
  • RA escrocs (quelqu'un qui envoie des publicités de routeur IPv6 alors qu'il ne devrait pas)
  • Serveurs DHCPv4 ou DHCPv6 escrocs (serveurs DHCP qui ne devraient pas être là)

Ethernet étant un support de diffusion, tout le monde peut diffuser tout ce qu'il veut, sauf si des actions spéciales sont prises. Pour de telles actions spéciales, vous avez besoin d'un équipement capable de les mettre en œuvre. Cela signifie que vous avez besoin de commutateurs Ethernet de qualité entreprise, de points d'accès sans fil, etc. cela nécessite DHCP snooping sur le commutateur) et des protections contre ARP et ND highjacking.

Ces fonctionnalités de sécurité ne sont disponibles que sur les équipements professionnels, alors ne vous y attendez pas sur les appareils grand public ou PME ou les équipements d'entreprise à petit budget.

Sander Steffann
la source
1

Vous pouvez vous connecter à l'interface Web du routeur et configurer une attribution DHCP statique basée sur l'adresse MAC Suivez cette procédure pour votre modèle de routeur:

1. Go to: System > DHCP > DHCP Servers > DHCPServer1 > Static Hosts > Add > Static Host Entry
2. Now enter:
• Host:192.168.1.1 (enter the host IP address here)
• MAC: 00-01-02-03-04-05 (enter the host MAC address here)
3. Click OK

Désormais, chaque hôte à chaque démarrage recevra la même adresse IP. Pour obtenir votre adresse IP et MAC hôte sous Windows, ouvrez une fenêtre cmd, tapez ipconfig / all et vérifiez les lignes d' adresse IPv4 et d'adresse physique pour votre interface réseau

cioby23
la source
2
Cela ne tient pas compte des entrées d'adresse manuelles. L'espionnage DHCP est vraiment ce qu'il faut.
Ryan Foley
1
Cela empêche-t-il un ordinateur de définir une adresse IP statique en double? Comme la passerelle IP dupliquée.
Patrick Dubois
@PatrickDubois Non, ce n'est pas le cas.
Ryan Foley
2
Le modèle D-Link DFL860 offre une sorte de protection contre l'usurpation d'adresse IP en créant des règles d'accès. Consultez la section 6.1.2 du manuel dlink.com/-/media/Business_Products/DFL/DFL%20260E/Manual/…
cioby23
@ cioby23, l'usurpation d'adresse IP est un problème différent de celui des adresses IP en double. Dans le cas de la question d'origine, l'usurpation d'adresse IP mentionnée dans cette section du manuel n'aidera pas à résoudre le problème.
YLearn