¿Prevención de direcciones IP duplicadas?

8

Ayer, una computadora portátil bloqueó la red porque la dirección IP de la computadora era la misma que la del enrutador. Las computadoras en la red llegaban a la computadora portátil en lugar del enrutador.

¿Hay alguna forma de evitar que esto suceda?

Actualmente tenemos un D-Link DFL860.

router ipv4 ip ip-address Patrick Dubois
fuente
Primero, agregue dhcp a la subred si aún no lo ha hecho; asegúrese de que dhcp administre las direcciones de las computadoras portátiles. A continuación, necesita algo que realice la inspección ARP. Cisco IOS y Junos tienen esta característica; No puedo encontrarlo en el DFL860 (pero estoy buscando desde mi teléfono).
Mike Pennington
Gracias Mike Si te entiendo, cuando una computadora establece su IP estática, enviará un ARP al enrutador. ¿Entonces el enrutador puede detectar y tomar medidas para bloquear esa computadora?
Patrick Dubois
44
Cerrar, más precisamente, necesita el interruptor en el que se conecta la computadora portátil para realizar una inspección ARP. Esta característica es un poco dolorosa de mantener. La mayoría de las personas simplemente aceptan el riesgo de una dirección duplicada y educan a los usuarios para que no hagan este tipo de cosas. Todo depende del medio ambiente. Técnicamente lo que quieres es posible. En un entorno de alta seguridad, utilice la inspección ARP para evitar este y otros ataques de suplantación de identidad ARP.
Mike Pennington,
No tengo un switch administrado y somos una empresa bastante pequeña. Creo que la educación será la mejor solución hasta ahora.
Patrick Dubois
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

9

En una Ethernet normal, no hay nada que pueda evitar que los dispositivos en la red interfieran entre sí. Las herramientas como DHCP pueden ayudar a prevenir conflictos accidentales si se usan correctamente, pero los hosts maliciosos o mal configurados aún pueden causar problemas.

Algunas cosas que son comunes:

  • Direcciones en conflicto (dos o más direcciones MAC que afirman tener la misma dirección IP en ARP o ND)
  • Falsificación de ARP o ND (alguien que finge intencionalmente ser otra persona)
  • Rogue RA (alguien que envía anuncios de enrutador IPv6 cuando no debería)
  • Servidores Rogue DHCPv4 o DHCPv6 (servidores DHCP que no deberían estar allí)

Como ethernet es un medio de transmisión, todos pueden transmitir lo que quieran, a menos que se tomen medidas especiales. Para tales acciones especiales necesita equipo que pueda implementarlas. Esto significa que necesita conmutadores ethernet de grado empresarial, puntos de acceso inalámbrico, etc. Las medidas que pueden tomar son, por ejemplo, filtrar paquetes RA y DHCP no deseados, asegurarse de que un sistema solo envíe paquetes con una dirección de origen que haya sido asignada por DHCP ( esto requiere DHCP snooping en el interruptor) y protecciones contra ARP y ND highjacking.

Dichas funciones de seguridad solo están disponibles en equipos profesionales, por lo que no las espere en dispositivos para consumidores o pymes o equipos empresariales de bajo presupuesto.

Sander Steffann
fuente
1

Puede iniciar sesión en la interfaz web del enrutador y configurar una asignación DHCP estática basada en la dirección MAC Siga este procedimiento para su modelo de enrutador:

1. Go to: System > DHCP > DHCP Servers > DHCPServer1 > Static Hosts > Add > Static Host Entry
2. Now enter:
• Host:192.168.1.1 (enter the host IP address here)
• MAC: 00-01-02-03-04-05 (enter the host MAC address here)
3. Click OK

Ahora su host cada vez que se inicie recibirá la misma dirección IP. Para obtener su dirección IP y MAC de host en Windows, abra una ventana de cmd, escriba ipconfig / all y verifique las líneas de Dirección IPv4 y Dirección física para su interfaz de red

cioby23
fuente
2
Esto no tiene en cuenta las entradas manuales de direcciones. La inspección DHCP es realmente lo que se necesita.
Ryan Foley
1
¿Evita que una computadora establezca una IP estática duplicada? Al igual que la puerta de enlace IP duplicada.
Patrick Dubois
@PatrickDubois No, no lo hace.
Ryan Foley
2
El modelo D-Link DFL860 ofrece algún tipo de protección contra falsificación de IP mediante la creación de algunas reglas de acceso. Consulte la sección 6.1.2 del manual dlink.com/-/media/Business_Products/DFL/DFL%20260E/Manual/…
cioby23
@ cioby23, la suplantación de IP es un problema diferente que las direcciones IP duplicadas. En el caso de la pregunta original, la suplantación de IP mencionada en esta sección del manual no ayudará a resolver el problema.
YLearn