Jak zapobiec pobieraniu przez komputer adresu IP

Wyobraź sobie, że masz sieć, z którą inni użytkownicy mogą łączyć się ze swoimi komputerami, skonfigurowałeś pewne reguły, na przykład serwer DHCP, który podaje adresy 192.168.2.100 - .254, a pierwsze 100 adresów jest zarezerwowanych dla osób, które chcą statycznego IPv4 adres.

W jaki sposób technicznie jest możliwe, aby uniemożliwić komuś zajęcie innego adresu IPv4? Jak możesz ograniczyć kogoś do korzystania tylko z określonego adresu IP?

Jak na przykład dostawca usług internetowych zmusza ludzi do korzystania tylko z publicznego adresu IP, który im przydzielono? Na przykład mam serwer w serwerowni i otrzymałem N adresów IPv4, otrzymałem listę wszystkich adresów IPv4, których wolno mi używać (wszystkie są publicznymi IPv4, do których można uzyskać dostęp przez Internet). Nie próbowałem brać żadnych innych adresów IP, niż mi wolno, ponieważ prawdopodobnie naruszyłoby to jakąś zasadę i mogłyby wyłączyć serwer, więc nie zamierzam tego próbować, ale z ciekawości, czy jest to technicznie możliwe jakoś ograniczyć? W jaki sposób?

Przy odpowiednim sprzęcie jest to dość łatwe. Przełącznik zarządzany pozwoli Ci przypisać jeden lub więcej adresów IP do portu (fizycznego) i zablokuje ruch przychodzący z dowolnego innego adresu IP na tym porcie. Możesz także użyć innego interfejsu sieciowego dla każdego komputera na serwerze, choć może to okazać się szybsze i bardziej kosztowne.

Bez takiego sprzętu najlepsze, co możesz zrobić, to filtrowanie adresów MAC i blokowanie ruchu przychodzącego z adresu IP, który nie jest powiązany z adresem MAC. Można to zrobić za pomocą iptables w systemie Linux. Pamiętaj jednak, że sfałszowanie adresu MAC jest dość łatwe.

Nie uniemożliwi to komputerowi „przejęcia” adresu IP, ponieważ nadal można go ustawić statycznie w interfejsie, jednak wszystkie pakiety korzystające z tego adresu IP zostaną odrzucone, więc nie jest to bardzo przydatne.

Nie ma sposobu, aby komputer nie używał innego adresu IP. Możesz jednak przypisać określony adres IP do komputera za pośrednictwem DHCP na podstawie adresu MAC, więc gdy komputer zażąda adresu IP z serwera DHCP, otrzymuje ten sam za każdym razem.

Dam ci kilka możliwości poniżej, ale pamiętaj, że nie zapobiegnie to przypisaniu przez kogoś wybranego statycznego adresu IP i prawdopodobnie nie spowoduje duplikacji adresu IP w sieci.

1. Rezerwacje DHCP - dzięki temu podejściu adres MAC każdego komputera „rezerwuje” lub „wynajmuje” określony adres IP temu urządzeniu. Nie jest to podejście na białej liście ani na czarnej liście, a każdemu komputerowi można przypisać adres IP w sieci. Wierzę, że jest to używane tylko z routerami typu domowego.
2. Filtrowanie adresów MAC - podobnie jak w przypadku rezerwacji DHCP, z tym wyjątkiem, że adresy mac są dodawane do białej lub czarnej listy, aby umożliwić / zabronić dostępu do sieci.

EDYCJA:
Ponieważ myślałem o tym więcej, istnieje sposób, aby zapobiec zmianie adresu IP, ale nie tylko po stronie sieci . Jeśli komputery były w domenie, administrator systemu mógłby zablokować niektóre części systemu operacyjnego, takie jak ustawienia karty sieciowej, wiersz poleceń itp. Za pomocą zasad grupy Active Directory.

Nie sądzę, żeby to było możliwe. Nawet na moim domowym koncie pppoe skonfigurowałem statyczny adres IP, ale tylko dla dynamicznego adresu IP. Jedynym problemem są konflikty IP.

Na poziomie ISP możesz podać sobie dowolny adres IP, który ci się podoba, ale tylko te faktycznie przypisane do ciebie trasy, reszta nie otrzyma ruchu powrotnego. Nie zakazają cię, to po prostu nie zadziała.

Lokalnie jest to trochę trudniejsze. Może być możliwe blokowanie klientów innych niż DHCP, ale tak naprawdę chcesz po prostu wylogować VLAN z komputerów-gości, aby nie powodowały żadnych problemów.