Verhindern Sie, dass administrative Benutzer ihren Arbeitsstationen doppelte statische IP-Adressen zuweisen

13

Wie kann ich verhindern, dass ein Benutzer, der Administrator auf seinem lokalen Computer ist, seinem Netzwerkadapter, der auf einem Server verwendet wird, manuell eine IP-Adresse zuweist? Einige Benutzer haben dies getan, und es sind doppelte IP-Probleme aufgetreten, die Knoten in Clustern in meiner Organisation zum Erliegen gebracht haben.

despe
quelle
1
Was verwenden Sie für DHCP? Windows? Linux? Etwas anderes? Sie möchten einen Pool für DHCP erstellen und die IPs ausschließen, die Sie für Ihre Server verwenden.
Colealtdelete
Ihre Frage war etwas unklar, vielleicht weil Englisch nicht Ihre Muttersprache ist? Ich habe es bearbeitet, um es ein wenig verständlicher zu machen.
MDMarra
4
@mdcp Auf keinen Fall. Nicht, wenn die Benutzer lokale Administratoren sind. Und nicht, wenn die Computer nicht einmal in der Domäne sind - wenn ich mit meinem eigenen Laptop in Ihr Büro komme und eine bereits verwendete IP-Adresse einstecke und Sie in Schicht 2 nichts unternehmen, um Schäden zu vermeiden (z. B. 802.1x, NAC usw.), dann habe ich gerade etwas anderes aus dem Netzwerk geworfen.
Mfinni
2
Ich würde wirklich gerne wissen - warum machen die Leute das überhaupt?
Richard Terrett
1
Wenn Ihre Benutzer feste IP-Adressen auf ihren Computern festlegen, müssen Sie sich sehr genau überlegen, warum sie dies tun. In fast allen Fällen liegt ein Grundproblem vor, das Sie beheben sollten. Wenn Ihr Netzwerk (einschließlich DNS) ordnungsgemäß funktioniert, sollte es keinen Grund dafür geben. Mit anderen Worten, was müssen Sie korrigieren, um die Gründe zu beseitigen und dies zu einem Nicht-Problem zu machen?
John Gardeniers

Antworten:

25
  1. Verfügen Sie über ein separates Subnetz (und vorzugsweise ein separates VLAN) für Ihre Server. Dadurch wird das Problem der "zufälligen" Überlappung weitgehend beseitigt.

  2. Verwenden Sie eine Art NAC- oder Port-Level-Authentifizierung und lassen Sie eine DHCP-zugewiesene Adresse Voraussetzung für die Integritätsprüfung sein.

  3. Lass deine Benutzer nicht auf ihren lokalen Rechnern Administrator sein :)

MDMarra
quelle
1
+1 Alle oben genannten =]
Chris S
9
Es gibt keine Möglichkeit, jemanden mit lokalem Administrator auf einem Computer daran zu hindern, eine bereits verwendete IP-Adresse zuzuweisen. Da sie die Maschine besitzen, können sie sagen, was sie wollen. Alles , was Sie tun können , ist Grenze der Schaden - was, wenn Sie NAC oder ähnliches verwenden, ist es , den Schaden zu begrenzen bis auf 0 herunter fähig ist
mfinni
2

Versuchen Sie, DHCP-Snooping zu aktivieren. Jedes an den Switch angeschlossene Gerät muss eine DHCP-Anfrage stellen und eine gültige Antwort von Ihrem vertrauenswürdigen DHCP-Server erhalten, bevor das Netzwerk verwendet werden kann.

0xFF
quelle