Wie verhindert man, dass ein anderer Server in einem Subnetz beim Neustart die IP-Adresse unseres eigenen Servers „stiehlt“?

7

Wir mieten einen Windows-Root-Server bei Serverloft. Als der Server kürzlich nach der Installation regulärer Microsoft-Updates neu gestartet wurde, wurde er ordnungsgemäß neu gestartet, konnte jedoch nicht mehr aufgerufen werden, und stattdessen antwortete ein Linux-Server!

Nachdem sie die Hotline davon überzeugt hatten, dass dies nicht unser Fehler war (was einige Zeit in Anspruch nahm), stellten sie fest, dass ein anderer Server im selben Subnetz irgendwie (sie erklärten nicht, wie) die öffentliche IP unseres Servers "gestohlen" hatte (oder besser gesagt " hatte Vorrang ").

Sie trennten den "Dieb" und für kurze Zeit konnten wir unseren Server wieder sehen. Dann, ohne Neustart, passierte es wieder! Nach ungefähr einer weiteren Stunde war unser Server zurück.

Frage: Ist das sinnvoll (wir sind einfache Entwickler, die es nicht wirklich wissen)? Und ist es möglich, ein solches Szenario zu verhindern? Oder kann jemand in einer typischen Hosting-Umgebung einfach eine andere IP "stehlen", vorausgesetzt er weiß, wie das geht?

Olaf
quelle
4
Ich vermute, es ist eher eine Fehlkonfiguration von jemandem (ob das Hosting-Unternehmen oder der andere Benutzer) als eine üble Verschwörung, die Welt durch den Diebstahl von IP-Adressen zu erobern. Und ja, es ist durchaus möglich; TCP / IP wurde von Natur aus in einer vertrauensvolleren Zeit entwickelt, sodass es nicht so viele Sicherheitsvorkehrungen gegen diese Art von Dingen gibt, die in die Grundlagen des Systems eingebettet sind.
Rob Moir
Danke - gut zu wissen. Und nein, ich wollte nicht vorschlagen, dass es beabsichtigt ist (deshalb habe ich beim "Stehlen" Anführungszeichen verwendet).
Olaf

Antworten:

2

Statische ARP-Einträge im ARP-Cache der Switches würden helfen

Fragen Sie Serverloft, wie die Switches konfiguriert sind und ob so etwas geplant ist.

bearbeiten:

Statische Arp-Einträge in den Switches würden nicht verhindern, dass jemand die IP-Adresse "stiehlt", wenn dies gewünscht wird (da die MAC-Adresse geändert werden kann), aber sie würden verhindern, dass sie versehentlich auftreten.

Die andere Lösung, die ich sehe, um IP-Diebstahl zu verhindern, wäre die Implementierung von 802.1x auf den Switches, wie bei WLAN.

802.1x auf dem Switch ist eine portbasierte Authentifizierung. Wikipedia hat einen guten Artikel, der beschreibt, wie ein Host über EAP mit dem Switch und der Switch mit einem Radius-Server kommuniziert.

Im Radius-Server können Attribute für einen Host festgelegt werden, und die Client-IP-Adresse wird nach der Authentifizierung in der Mac-Adresstabelle des Switches festgelegt (z. B. wie ein Radius mit einem LNS-Server).

Petrus
quelle
Ich glaube, sie haben ARP erwähnt, daher vermute ich eine Fehlkonfiguration oder Fehlfunktion. Aber danke, ja, ich werde sie fragen.
Olaf
1

Vermisse ich hier etwas? Oder fehlt allen die Tatsache, dass Sie anscheinend Servern dynamische Adressen (mit DHCP) zuweisen?

Im Allgemeinen sollten Servern statische Adressen zugewiesen werden, damit solche Situationen nicht auftreten.
Es hilft auch sicherzustellen, dass ein Server beim Neustart keine neue Adresse erhält, wodurch der Server scheinbar verschwindet.

Azz
quelle
1
Das ist ein Kommentar, keine Antwort. Ich glaube auch nicht, dass DHCP in diesem Fall im Spiel ist. Wahrscheinlicher ist es nichts anderes als ein anderer Computer, der mit derselben IP-Adresse konfiguriert ist.
John Gardeniers
1
Wie ist das keine Antwort? Er schlägt (richtig) vor, die IP-Adresse statisch zuzuweisen, um dies zu verhindern.
Soße Gesicht
1
A: Wie sehen Sie die Beteiligung von DHCP und B, na und? Das Zuweisen derselben "gestohlenen" IP führt zu demselben Problem. Es ist jedoch ein gültiger Kommentar
Jim B
Es ist sicherlich kein DHCP beteiligt, sondern statische Adressen. Das Problem ist meines Wissens nur, dass ein Computer sich selbst eine beliebige IP-Adresse zuweisen kann.
Olaf
1

Es ist nicht möglich, IP-Konflikte auf dem Server zu verhindern. Ich vermute, Sie befinden sich bei einem Anbieter, der Root- oder Administratorzugriff auf die Server ermöglicht (dieser oder ein inkompetenter verwalteter Anbieter). Einmal ist ein Fehler, zweimal ist inakzeptabel. Bei einem ISP, der die Basiskonfiguration für Sie durchführt und die Server für Sie verwaltet, geschieht dies nicht. Ich würde vorschlagen, den Anbieter zu wechseln. Mein persönlicher Vorschlag ist orcsweb . Der wahrscheinlichste Grund dafür ist, dass Linux keine kostenlosen ARP-Anforderungen beantwortet oder generiert, um IP-Konflikte zu vermeiden.

Jim B.
quelle
Ja, Root-Zugriff ist zulässig, da wir einen dedizierten Server mieten.
Olaf
0

Sie können nichts tun, um zu verhindern, dass ein Systemadministrator dem System eine statische IP-Adresse zuweist, die möglicherweise mit Ihrer eigenen in Konflikt steht. Und wenn sich dieser Computer zufällig im selben VLAN wie Ihre eigene Box befindet, kommt es zu Konflikten (fragen Sie einfach einen Netzwerk-Mitarbeiter, bei dem ein Benutzer seinem Computer dieselbe IP-Adresse wie dem Router zugewiesen hat, wie viel Spaß das macht).

Dies klingt nach einem Benutzerfehler eines anderen Systemadministrators. Wenn Sie dynamische Zuweisungen (DHCP) verwenden, können permanente Leases oder Reservierungen die Wahrscheinlichkeit verringern, dass dies geschieht. Ihr Hosting-Anbieter könnte auch kleinere Subnetze oder private VLANs implementieren, um die Wahrscheinlichkeit zu verringern, dass dies geschieht.

Peter
quelle
-2

Kurze Antwort: Ändern Sie die MAC-Adresse des Geräts.

Mögliche Erklärung:

Ein mögliches Szenario ist, wenn die Maschinen unter VMware oder Hyper-V "Virtuelle Maschinen" sind. Normalerweise erstellen Benutzer eine Referenzmaschine und klonen sie nach Bedarf. Daher werden normalerweise auch alle Hardwareeinstellungen auf den "geklonten" Computer kopiert.

Wenn wir zu den Grundlagen gehen, wird die IP einer Netzwerkkarte zugewiesen, und der DHCP-Server weist den Netzwerkkarten IPs zu. Die Netzwerkkarten werden anhand ihrer MAC-Adressen identifiziert.

user67714
quelle
3
Wie würde das Ändern der MAC-Adresse helfen, wenn die erforderliche IP-Adresse bereits auf einem anderen Computer festgelegt wurde?
John Gardeniers
Ohne Kenntnis der Vernetzung in diesem Fall kann es schwierig sein, eine Lösung zu finden. Ich erklärte ein mögliches Szenario: Obwohl bekannt ist, dass Servern feste IPs zugewiesen werden sollten, variiert die Art und Weise, in der sie angegeben werden. 1. Die Computer selbst geben ihre statische IP in ihre Netzwerkeigenschaften ein. 2. Den Computern wird vom DHCP-Server eine feste IP zugewiesen. In diesem Fall befindet sich der Computer noch im DHCP-Modus, erhält jedoch immer eine feste IP. Wenn es nun Fall 2 ist, werden durch Ändern des MAC und Aktualisieren oder Neustarten des Rogue und der echten Computer die Dinge richtig gemacht. Ich glaube schon.
user67714