Como alguém impede que outro servidor em uma sub-rede "roube" o endereço IP de nosso próprio servidor enquanto ele é reiniciado?

Navegue suas respostas
7

Estamos alugando um servidor raiz do Windows no Serverloft. Recentemente, quando o servidor foi reiniciado após a instalação de atualizações regulares da Microsoft, ele foi reiniciado corretamente, mas não pôde mais ser acessado, e um servidor Linux estava respondendo!

Depois de convencer a linha direta que esse não foi nosso erro (que levou algum tempo), eles descobriram que algum outro servidor na mesma sub-rede de alguma forma (eles não explicaram como) "roubaram" o IP público do nosso servidor ( ou melhor, "teve precedência").

Eles desconectaram o "ladrão" e, por um curto período de tempo, pudemos ver nosso servidor novamente. Então, sem reiniciar, aconteceu de novo! Depois de mais uma hora, nosso servidor estava de volta.

Pergunta: isso faz sentido (somos desenvolvedores simples que realmente não sabem)? E é possível evitar esse cenário? Ou pode alguém em um ambiente típico de hospedagem simplesmente "roubar" outro IP, desde que ele / ela saiba como fazer isso?

    
por Olaf 20.02.2011 / 18:45

5 respostas

2

Entradas ARP estáticas no cache ARP dos comutadores ajudariam

Pergunte ao Serverloft como estão configurados seus switches e se algo assim está agendado.

editar:

Entradas de arcos estáticos nos comutadores não impediriam que alguém "roubasse" o endereço IP se ele fosse desejado (pois o endereço MAC pode ser alterado), mas evitaria que isso aconteça acidentalmente.

A outra solução que vejo para evitar o roubo de IP seria implementar o 802.1x nos switches, como no wifi.

802.1x no comutador é a autenticação baseada em porta. A Wikipedia tem um bom artigo descrevendo como um host fala com o switch usando EAP , e o switch fala com um servidor Radius.

No servidor radius pode ser definido atributos para um host, e definir o endereço IP do cliente na tabela de endereços mac do switch, uma vez autenticado (por exemplo, como um raio faz com um servidor LNS).

    
por 20.02.2011 / 18:50
1

Estou sentindo falta de algo aqui? Ou todo mundo está perdendo o fato de que parece que você está atribuindo endereços dinâmicos (com DHCP) para servidores?

Em geral, os servidores devem receber endereços estáticos para que situações como essa não ocorram.
Também ajuda a garantir que um servidor não receba um novo endereço na reinicialização, aparentemente fazendo com que o servidor desapareça.

    
por 20.02.2011 / 21:40
1

Não é possível evitar conflitos de IP no servidor. Eu suspeito que você está em um provedor que permite acesso root ou administrador aos servidores (que ou um provedor gerenciado incompetente). Uma vez é um erro, duas vezes é inaceitável. Em um ISP que faz configuração básica para você e gerencia os servidores para você, isso não acontece. Eu sugeriria mudar de provedor. Minha sugestão pessoal é orcsweb . A razão mais provável é que o Linux não responda ou gere solicitações ARP gratuitas para ajudar a evitar conflitos de IP.

    
por 20.02.2011 / 21:21
0

Não há nada que você possa fazer para impedir que um administrador do sistema atribua um endereço IP estático ao sistema que possa entrar em conflito com o seu. E se essa máquina estiver na mesma vlan que sua própria caixa, então eles entrarão em conflito (basta perguntar a um cara da rede que um usuário atribuiu à máquina o mesmo endereço IP do roteador, o quanto isso é divertido).

Isso soa como erro do usuário por parte de outro administrador do sistema. Se você estiver usando atribuições dinâmicas (DHCP), as concessões ou reservas permanentes poderão reduzir a probabilidade de isso acontecer. Seu provedor de hospedagem também pode implementar sub-redes menores ou vlans privadas para tornar isso menos provável.

    
por 20.02.2011 / 22:06
-2

Resposta curta: Altere o endereço MAC da máquina.

Possível explicação:

Um cenário possível é quando as máquinas são "máquinas virtuais" no VMware ou no Hyper-V. O que as pessoas geralmente fazem é criar uma máquina de referência e cloná-la quando e quando as pessoas a solicitarem. Portanto, normalmente todas as configurações de hardware são copiadas para a máquina 'clonada' também.

Se formos ao básico, o IP é atribuído a uma NIC e o Servidor DHCP atribui IPs às NICs. e as NICs são identificadas por seus endereços MAC.

    
por 20.02.2011 / 21:29

Tags

Escalando em um host VMware - adicionar vCPUs ou VMs? Onde é o melhor lugar para o LUKS se sentar em uma pilha RAID / LVM / LUKS?