Jak zapobiec pobieraniu przez komputer adresu IP


1

Wyobraź sobie, że masz sieć, z którą inni użytkownicy mogą łączyć się ze swoimi komputerami, skonfigurowałeś pewne reguły, na przykład serwer DHCP, który podaje adresy 192.168.2.100 - .254, a pierwsze 100 adresów jest zarezerwowanych dla osób, które chcą statycznego IPv4 adres.

W jaki sposób technicznie jest możliwe, aby uniemożliwić komuś zajęcie innego adresu IPv4? Jak możesz ograniczyć kogoś do korzystania tylko z określonego adresu IP?

Jak na przykład dostawca usług internetowych zmusza ludzi do korzystania tylko z publicznego adresu IP, który im przydzielono? Na przykład mam serwer w serwerowni i otrzymałem N adresów IPv4, otrzymałem listę wszystkich adresów IPv4, których wolno mi używać (wszystkie są publicznymi IPv4, do których można uzyskać dostęp przez Internet). Nie próbowałem brać żadnych innych adresów IP, niż mi wolno, ponieważ prawdopodobnie naruszyłoby to jakąś zasadę i mogłyby wyłączyć serwer, więc nie zamierzam tego próbować, ale z ciekawości, czy jest to technicznie możliwe jakoś ograniczyć? W jaki sposób?


Czy zadajesz to pytanie z punktu widzenia sieci lub serwera? To zależy od sposobu konfiguracji sieci. Ale ponieważ powiedziałeś, że to DHCP, przychodzi na myśl filtrowanie adresów MAC.
EternalHour

Stanowisko sieciowe. Chciałbym wiedzieć, w jaki sposób ktoś, kto utrzymuje sieć, może zapobiec nadużywaniu go przez urządzenie, które jest fizycznie (za pomocą kabla) lub bezprzewodowo podłączone, na przykład biorąc adres IP przeznaczony dla innego urządzenia i tak dalej. Nie mam takiej sieci, to tylko hipotetyczne pytanie zadawane z ciekawości.
Petr

Jeśli chcesz uzyskać odpowiedź z perspektywy sieci, lepiej opublikować ją na networkengineering.stackexchange.com
thilina R

Odpowiedzi:


1

Przy odpowiednim sprzęcie jest to dość łatwe. Przełącznik zarządzany pozwoli Ci przypisać jeden lub więcej adresów IP do portu (fizycznego) i zablokuje ruch przychodzący z dowolnego innego adresu IP na tym porcie. Możesz także użyć innego interfejsu sieciowego dla każdego komputera na serwerze, choć może to okazać się szybsze i bardziej kosztowne.

Bez takiego sprzętu najlepsze, co możesz zrobić, to filtrowanie adresów MAC i blokowanie ruchu przychodzącego z adresu IP, który nie jest powiązany z adresem MAC. Można to zrobić za pomocą iptables w systemie Linux. Pamiętaj jednak, że sfałszowanie adresu MAC jest dość łatwe.

Nie uniemożliwi to komputerowi „przejęcia” adresu IP, ponieważ nadal można go ustawić statycznie w interfejsie, jednak wszystkie pakiety korzystające z tego adresu IP zostaną odrzucone, więc nie jest to bardzo przydatne.


3

Nie ma sposobu, aby komputer nie używał innego adresu IP. Możesz jednak przypisać określony adres IP do komputera za pośrednictwem DHCP na podstawie adresu MAC, więc gdy komputer zażąda adresu IP z serwera DHCP, otrzymuje ten sam za każdym razem.

Dam ci kilka możliwości poniżej, ale pamiętaj, że nie zapobiegnie to przypisaniu przez kogoś wybranego statycznego adresu IP i prawdopodobnie nie spowoduje duplikacji adresu IP w sieci.

  1. Rezerwacje DHCP - dzięki temu podejściu adres MAC każdego komputera „rezerwuje” lub „wynajmuje” określony adres IP temu urządzeniu. Nie jest to podejście na białej liście ani na czarnej liście, a każdemu komputerowi można przypisać adres IP w sieci. Wierzę, że jest to używane tylko z routerami typu domowego.
  2. Filtrowanie adresów MAC - podobnie jak w przypadku rezerwacji DHCP, z tym wyjątkiem, że adresy mac są dodawane do białej lub czarnej listy, aby umożliwić / zabronić dostępu do sieci.

EDYCJA:
Ponieważ myślałem o tym więcej, istnieje sposób, aby zapobiec zmianie adresu IP, ale nie tylko po stronie sieci . Jeśli komputery były w domenie, administrator systemu mógłby zablokować niektóre części systemu operacyjnego, takie jak ustawienia karty sieciowej, wiersz poleceń itp. Za pomocą zasad grupy Active Directory.


Hmm, myślę, że moje pytanie nie jest napisane poprawnie, poprawię je później, ale najpierw muszę wymyślić, jak je sformułować. Nie dbam o rzeczy wysokiego poziomu, takie jak system operacyjny, rozważam to tylko z sieciowego punktu widzenia. Załóżmy, że istnieje urządzenie, które źle się zachowuje, kradnie adres IP niektórych usług i chce zrobić coś bardzo nieprzyjemnego. Jak sobie z tym poradzisz, poza odłączeniem kabla? Musi być jakiś sposób, ponieważ nikt nie ma mocy, aby odłączyć kabel dowolnego urządzenia w Internecie.
Petr

Oczywiście musi istnieć sposób na zablokowanie niskiego poziomu urządzenia, które robi coś złego w sieci, na przykład biorąc adres IP, którego nie powinno się przyjmować, a blok ten musi nastąpić znacznie wcześniej, niż wpływ na inne urządzenia w sieci przez to
Petr

Należy również pamiętać, że nawet adres Mac można łatwo zmienić. Możesz to zrobić nawet w polu wirtualnym, gdy utworzysz maszynę wirtualną, zobaczysz na routerze i innych urządzeniach sieciowych, że będą widzieć adres Mac twojej maszyny wirtualnej, tak jak ją zmieniłeś. To tylko liczba przesyłana kablem, zarówno adres IP, jak i Mac mogą być łatwo nadużywane.
Petr

0

Nie sądzę, żeby to było możliwe. Nawet na moim domowym koncie pppoe skonfigurowałem statyczny adres IP, ale tylko dla dynamicznego adresu IP. Jedynym problemem są konflikty IP.


Jeśli nie jest to możliwe, w jaki sposób dostawca usług internetowych mógłby uniemożliwić użytkownikom na przykład pobranie adresu IP jakiegoś publicznego serwera WWW, takiego jak Google? Przypuszczam, że infrastruktura sieciowa prawdopodobnie odcięłaby cię, gdybyś spróbował tego, ale nie wiem, dlatego pytam tutaj.
Petr

Jeśli korzystasz z tej samej podsieci co serwer internetowy Google, może to być możliwe, ale spowodowałoby to konflikt adresów IP. Myślę, że trasy są skonfigurowane tylko dla twoich adresów IP zarejestrowanych w ISPS, więc możesz wziąć dowolny inny adres z bloku ISPS.
Wilhelm Erasmus

0

Na poziomie ISP możesz podać sobie dowolny adres IP, który ci się podoba, ale tylko te faktycznie przypisane do ciebie trasy, reszta nie otrzyma ruchu powrotnego. Nie zakazają cię, to po prostu nie zadziała.

Lokalnie jest to trochę trudniejsze. Może być możliwe blokowanie klientów innych niż DHCP, ale tak naprawdę chcesz po prostu wylogować VLAN z komputerów-gości, aby nie powodowały żadnych problemów.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.