Duplicitní IP adresa brány v síti

[bleak]

Zdravím vás. V naší síti si jeden z uživatelů z nevědomosti na svém PC do IP adresy počítače nastavil IP adresu brány. Vznikl stav, kdy se část počítačů v síti napojovala na skutečnou bránu a další část na PC toho uživatele. Připojení do internetu bylo funkční tak na 15%. Toho uživatele, který to způsobil, jsem našel podle MAC adresy, kterou mi vyhodil router v hlášce o duplicitní IP adrese.
Podle mých informací neexistuje proti výše popsanému žádný ochranný mechanismus. Máte někdo nějaký tip, jak řešit podobnou situaci, případně tomu zabránit?
Automatické přidělování IP adres DHCP serverem nechci používat.

[Airwolf]

zabranit: sebrat admin prava.

jinak to osetrit nejde...maximalne konfigurovatelnym switchem

[bleak]

zabranit: sebrat admin prava.

jinak to osetrit nejde...maximalne konfigurovatelnym switchem

komunikace prochází přes konfigurovatelný switch Cisco. Prosím o navedení správným směrem: jaké nastavení mám hledat (upravit)?

[monsoon]

No zabranit mu v tom nemuzes, ale budes mi li mit DHCP, tak se to snad stat nemuze, az na pripad, kdy by to dotycny udelal naschval.

[Jezevec]

Na tom switchi pokud to umi. Moh by umet ARP => pak by slo kontrolovat IP+MAC/port. Jinak smula.

[Geeker]

Co je na prislusne PC za OS??

[Fox!MURDER]

co presne je to za cisco ?
jinak kdyz na vsech tech pocitacich nastavis napevno arp tak by si musel zmenit mac adresu (ale to uz zase osefujes na tom switchi - to umi urcite (teda pokud je to aspon 2950ka))

[tosuja]

Bez DHCP ti bude tezko. Nejlepsi je nenechavat nastaveni site na uzivatelich, ti jsou schopni nastavit blbe kdeco - branu, DNS.... a pak te s tim otravovat. Opravdu nejjistejsi varianta je DHCP server

[Fox!MURDER]

Bez DHCP ti bude tezko. Nejlepsi je nenechavat nastaveni site na uzivatelich, ti jsou schopni nastavit blbe kdeco - branu, DNS.... a pak te s tim otravovat. Opravdu nejjistejsi varianta je DHCP server

to furt nezabrani nekterejm vykukum ktery to proste MUSEJ mit rucne ...

[tosuja]

Bez DHCP ti bude tezko. Nejlepsi je nenechavat nastaveni site na uzivatelich, ti jsou schopni nastavit blbe kdeco - branu, DNS.... a pak te s tim otravovat. Opravdu nejjistejsi varianta je DHCP server

to furt nezabrani nekterejm vykukum ktery to proste MUSEJ mit rucne ...

Odpojit...

[Fox!MURDER]

Bez DHCP ti bude tezko. Nejlepsi je nenechavat nastaveni site na uzivatelich, ti jsou schopni nastavit blbe kdeco - branu, DNS.... a pak te s tim otravovat. Opravdu nejjistejsi varianta je DHCP server

to furt nezabrani nekterejm vykukum ktery to proste MUSEJ mit rucne ...

Odpojit...

hehe jojo to zni tak jednoduse

[Airwolf]

Bez DHCP ti bude tezko. Nejlepsi je nenechavat nastaveni site na uzivatelich, ti jsou schopni nastavit blbe kdeco - branu, DNS.... a pak te s tim otravovat. Opravdu nejjistejsi varianta je DHCP server

to furt nezabrani nekterejm vykukum ktery to proste MUSEJ mit rucne ...

Odpojit...

hehe jojo to zni tak jednoduse

kdyz se to da do smlouvy...tak proc ne ? pripadne jim vycislit naklady na pripadne zneschopneni site...a ono je to nauci.

[Whistler]

Ja by som to riesil uz priamo zmluvou a to nejakym taku sposobom:


Do zmluvy by som dal bod,ze nastavenie IP adries prevadza jedine na to sposobily uzivatel firmy (cize technik).Pri zlom nastaveni IP adresy uzivatela a naslednom znefunkcneny siete,pripadne pouzitie duplicitnej IP ineho uzivatela a nasledneho znefunkcnenie pripojenie jemu,by som vycislil sankcie,pripadne by som dal za uhradu skody,ktore sposobil (ak niekomu nepojde net 3 dni,urcite nebude kludny a zavola Vam na tech. podporu minimalne 100x).

Pripad od pripadu by si potom mohol riesit individualne,jasne,ze ked to nejaky chudak spravi raz tak mu nedas vsetko preplatit,ale ho len upozornis do buducnosti,ze nech radsej zavola technika (ktory by mal byt v takych pripadoch bezplatny,ale to je uz na Tebe,ci sa Ti to oplati).Ale nastavenie IP by som velmi jasne zdoraznil v zmluve,aby sa nemohlo stat,ze bod o znasani skod si "nahodou neprecita alebo nevsimne".Alebo im IP vobec nedat a po kazdej zmene PC/reinstalacia Windowsu im ich prist nastavit ty,v tom nehrozi uz ziadne nebezpecenstvo.Ten,ktory si tie IP dokaze najst si ich si myslim aj dokaze nastavit.

k DHCP: u nas na sieti je okolo 12 000 ucastnikov,vsetci su spojeni.A riesit,aku to ze ma zasa kamarat IP na privatny CS/FTP server je dost na prcu.Takze sa niekedy DHCP server neoplati,pripadne je ucastnikom len na obtiaz

[Jezevec]

Mel by sis uvedomit, ze DHCP se naopak vyplati predevsim pro velky site. Tam bych to dal dokonce ucastnikum jako povinost a kdo by si nakonfil ruco, byl by jednoduse odstrelen.

Si predstav, ze potrebujes zmenit strukturu site, to budes 12 000 lidem vysvetlovat, ze si maji zmenit IP, masky, default routy ... ? Na DHCPku to provedes behem peti minut, prepises txt soubor.

Samo predpokladam v zasade staticky pridelovani IP dle MAC z DB. Dynamicky ma smysl pro kompy pripojovany jen obcas.

Zminenej problem je zkratka jednou z nevyhod switchovany site, stejne jako ARP poison a podobny radosti. Bud mas slusny usery, kterem staci normalne rict ze se do toho nemaj hrabat kdyz nevedi co a jak, nebo musis nasadit sankce v podobe vytrzeni kablu ze switche.

[Whistler]

Ano,to je jasne,DHCP server je na velke siete skor nutnost.Ale vyplati sa Tebe,nie Tvojim userom,ver mi,oni budu radi,ak maju vlastnu staticku IP a nemusia sa babrat s tym,ze aku to ze ma IP ten moj kamos vedla v bloku,ked od neho nieco chce.Ale to uz som pisal...

[tosuja]

Ano,to je jasne,DHCP server je na velke siete skor nutnost.Ale vyplati sa Tebe,nie Tvojim userom,ver mi,oni budu radi,ak maju vlastnu staticku IP a nemusia sa babrat s tym,ze aku to ze ma IP ten moj kamos vedla v bloku,ked od neho nieco chce.Ale to uz som pisal...

DHCP nevylucuje statickou (stale stejnou) IP adresu. Jenom ji budes dostavat od serveru....
Nad 20 pocitacu neni o cem uvazovat - jedine DHCP, vsechno ostatni je nocni mura. Nemluve o tom, ze pokud budes mit v rukou kontrolu IP, muzes udelat lokalni DNS, takze nikdo nebude potrebovat znat IP druheho konce, pripadne si ji jednoduse najde....

[Whistler]

Aha,to s tou istou adresou od DHCP som nevedel,kedze DHCP sa u nas nepouziva.Tak uz som aspon zasa o nieco mudrejsi

[skorec1]

Zdravím vás. V naší síti si jeden z uživatelů z nevědomosti na svém PC do IP adresy počítače nastavil IP adresu brány. Vznikl stav, kdy se část počítačů v síti napojovala na skutečnou bránu a další část na PC toho uživatele. Připojení do internetu bylo funkční tak na 15%. Toho uživatele, který to způsobil, jsem našel podle MAC adresy, kterou mi vyhodil router v hlášce o duplicitní IP adrese.
Podle mých informací neexistuje proti výše popsanému žádný ochranný mechanismus. Máte někdo nějaký tip, jak řešit podobnou situaci, případně tomu zabránit?
Automatické přidělování IP adres DHCP serverem nechci používat.

mne DHCP server(na routru) prideluje IP podla MAC, je to 100% efektivne dokial nevypadne router :-)

[tom-as]

Zdravím vás. V naší síti si jeden z uživatelů z nevědomosti na svém PC do IP adresy počítače nastavil...
...přidělování IP adres DHCP serverem nechci používat.

mne DHCP server(na routru) prideluje IP podla MAC, je to 100% efektivne dokial nevypadne router

jo, ale nezabranis blbymu uzivateli aby si nenastavil ip-cku manualne, a o tom se tu ted vede rec

[skorec1]

no a neda sa spravit tak ze na routru, ak je, sa zakaze jeho MAC adresa a tym je po problemu?

[Jezevec]

Ne, tim nevyresis nic.