Защита сервера от присвоения IP недругом - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

- - Защита сервера от присвоения IP недругом (http://forum.oszone.net/showthread.php?t=124347)

Защита сервера от присвоения IP недругом

Возник такой вопрос:
У сервака присвоен статически адрес.
Как защититься от того чтоб какой-нить ..... не прописал у себя статикой такой же и не выбил из сети сервак?

Получается, я могу взять бук, притащить его на работу и вбить ip 192.168.1.1, к примеру. А бук не в домене, нигде. Соответственно никакие политики, DHCP не смогут с ним ничего сделать. Втыкаю сеть в бук и получаю танцы....

Есть мысли, как можно оградиться от этого?

Какие ещё танцы, если IP занят? Это надо попасть в тот момент, когда сервер волшебным образом будет в оффлайне, и тогда включить ноут.
Если же рассматривать ситуацию с точки зрения поставленного вопроса, то спасут управляемые свичи с VLAN'ами и управлением портами. Например, выдаёшь на порт строго один IP с определённым MAC. Если кто-то другой попробует подключиться к порту, получит фигу. Так же можно присвоить VLAN определенному набору портов, в котором IP выдаётся через DHCP, и любой другой, прописанный вручную будет получать DROP для любого пакета.
Программного решения этой проблемы я не знаю:) Скорее всего, его нет.

Цитата:

Цитата Spooner

Это надо попасть в тот момент, когда сервер волшебным образом будет в оффлайне, и тогда включить ноут. »

Не согласен. Сервер может быть и включен. Просто я назначаю IP до того, как включу кабель в сетевуху. В этом случае мне никто не сможет отказать в присвоении такого адреса.

Интересует, есть ли именно программное решение, аппаратное то понятно, что существует :)

Какая разница, когда назначать IP?
Единственный способ присвоить адрес - задосить или отключить физически удаленный хост.

Цитата:

Цитата Delirium

Просто я назначаю IP до того, как включу кабель в сетевуху. В этом случае мне никто не сможет отказать в присвоении такого адреса. »

Если не ошибаюсь, то в таком случае срабатывает принцип "Кто первый встал, того и тапки". По крайней мере специально попробовал - отключил шнур от ПК2 и назначил ему адрес как у работающего и находящегося в сети ПК1, после этого подключил шнур обратно. ПК1 заявил "Конфликт IP-адреса с другой системой в сети", но продолжил нормально работать (по крайней мере исходящие пинги шли и можно было заходить на шары других компов. А вот у ПК2 минут 10 висело "Получение сетевого адреса"(потом просто ждать надоело и я поставил обратно динамику), соответственно ipconfig /all выдавал ip: адрес 0.0.0.0, маска подсети: 0.0.0.0.

Цитата:

Цитата Spooner

Какая разница, когда назначать IP?
Единственный способ присвоить адрес - задосить или отключить физически удаленный хост. »

Или ARP-spoofing. Delirium, товарищ прав. На уровне протокола никак, только железками.

В свое время столкнулся с похожей проблемой у на прошлой работе, грабли строил сам.
Был у нас сервер LTSP (с тонкими клиентами) под Линукс. Понадобилось мне собрать тестовый и настроить, да так чтобы еще и инет был. Пока возился, умотался и случайно перепутал сетевые карты. Воткнул в гнездо, что для тестовой сетки, провод с внутренней сетки. Сервер (рабочий) был сбит с ума, а тонкие клиенты переключились на мой. В итоге перезагрузка клиентов и отключения провода было решением.
Похожая ситуация была, когда случайно не так настроил виртуальную машину с win2k3.
Это так, из жизни.

Немного поможет безопасное обновление DNS.
Свойства DNS -> динамическое обновление, флаг только безопасное.

Правда к ip это не очень относится )))) От других случаев больше.