Uniemożliwiaj użytkownikom administracyjnym przypisywanie zduplikowanych statycznych adresów IP do swoich stacji roboczych

13

Jak mogę uniemożliwić użytkownikowi, który jest administratorem na swoim komputerze lokalnym, ręczne przypisywanie adresu IP do karty sieciowej używanej na serwerze? Niektórzy użytkownicy to zrobili i spowodowało to zduplikowane problemy z IP, które spowodowały, że węzły w klastrach spadły w mojej organizacji.

despe
źródło
1
Czego używasz do DHCP? Windows? Linux? Coś innego? Będziesz chciał utworzyć pulę dla DHCP i wykluczyć adresy IP używane na serwerach.
colealtdelete
Twoje pytanie było trochę niejasne, być może dlatego, że angielski nie jest twoim pierwszym językiem? Zredagowałem to, aby było trochę łatwiejsze do zrozumienia.
MDMarra,
4
@mdcp Nie ma mowy. Nie, jeśli użytkownicy są lokalnymi administratorami. I nie, jeśli maszyny nie są nawet w domenie - jeśli przyjdę do twojego biura z własnym laptopem i podłączę się do już używanego adresu IP, a ty nie robisz nic w warstwie 2, aby zapobiec uszkodzeniom (np. 802.1x, NAC itp.), Po prostu usunąłem coś innego z sieci.
mfinni
2
Naprawdę chciałbym wiedzieć - dlaczego ludzie to robią?
Richard Terrett
1
Jeśli Twoi użytkownicy ustawiają stałe adresy IP na swoich komputerach, musisz bardzo mocno przemyśleć, dlaczego to robią. W prawie wszystkich przypadkach pojawi się problem, który należy naprawić. Kiedy Twoja sieć (w tym DNS) działa poprawnie, nie powinna mieć powodu, aby to robić. Innymi słowy, co musisz naprawić, aby usunąć ich przyczyny, a tym samym sprawić, że nie będzie problemu?
John Gardeniers,

Odpowiedzi:

25
  1. Posiadaj oddzielną podsieć (a najlepiej oddzielną sieć VLAN) dla swoich serwerów. To prawie eliminuje problem „przypadkowego” nakładania się.

  2. Użyj pewnego rodzaju uwierzytelnienia NAC lub uwierzytelniania na poziomie portu i skonfiguruj adres przypisany do DHCP, aby sprawdzić poprawność.

  3. Nie pozwól użytkownikom administrować na ich lokalnych komputerach :)

MDMarra
źródło
1
+1 Wszystkie powyższe =]
Chris S
9
Nie ma sposobu, aby uniemożliwić osobie z lokalnym administratorem na komputerze przypisanie już używanego adresu IP, kropki. Ponieważ są właścicielami maszyny, mogą sprawić, że powie coś, co zechce. Wszystko, co możesz zrobić, to ograniczyć obrażenia - co, jeśli używasz NAC lub podobnego, jest w stanie ograniczyć obrażenia do zera
mfinni 26.12.12
2

Spróbuj włączyć szpiegowanie DHCP. Każde urządzenie podłączone do przełącznika będzie musiało wysłać żądanie DHCP i otrzymać prawidłową odpowiedź z zaufanego serwera DHCP, zanim będzie mogło korzystać z sieci.

0xFF
źródło