Você deve começar a olhar para 802.1x
, isso é "Autenticação de rede" no nível de comutador. Basicamente, todas as máquinas que são conectadas precisam se autenticar antes de serem permitidas na rede.
Dê uma olhada aqui para um tutorial
Eu gerencio uma rede razoavelmente pequena (150 máquinas ou mais). Temos um servidor DHCP configurado com reservas para todas as máquinas na rede e uma zona de exclusão configurada em todo o intervalo, para que apenas as máquinas conhecidas recebam um endereço IP e, portanto, acesso à rede.
No entanto, esta prática espera segurança pela obscuridade.
É possível que ao conectar um dispositivo externo ao seu próprio endereço IP configurado, outras máquinas possam entrar na rede.
Existe alguma maneira de evitar isso? Existe alguma maneira de obter máquinas na rede para ignorar o tráfego de um computador que não tenha sido atribuído um endereço por DHCP?
Você deve começar a olhar para 802.1x
, isso é "Autenticação de rede" no nível de comutador. Basicamente, todas as máquinas que são conectadas precisam se autenticar antes de serem permitidas na rede.
Dê uma olhada aqui para um tutorial
Resposta curta é não.
Dependendo do seu servidor DHCP, você deve ser capaz de restringir as alocações pelo endereço mac - mas é fácil farejar os endereços mac já existentes na rede e alterar o endereço em uma máquina específica. Mas isso ainda é mais esforço do que apenas definir o endereço IP diretamente.
Se você deseja proteger sua rede, use protocolos seguros e autenticação adequada.
It is possible that by plugging a foreign device with its own configured IP address, other machines can get on the network.
Sim, muito facilmente.
Is there any way to prevent this? Is there any way to get machines on the network to ignore traffic from a computer that has not been assigned an address by DHCP?
Bem, sim, você pode ter apenas um firewall no intervalo definido para negar todos, exceto o intervalo de IP permitido.
Dito isto, há outras maneiras de fazer isso, você poderia firewall com base em uma lista de endereços MAC, isso é um pouco mais seguro do que por IP, mas não muito, se é realmente importante para você, então você fez alguma forma de certificado criptografado Uma solução orientada, como a configuração de uma VPN entre dispositivos aceitos e o interior de sua rede. Este é um cenário muito comumente usado, especialmente em organizações que possuem redes Wi-Fi abertas e está longe de ser de ponta.
Parece que o que você está procurando é chamado de Network Access Control ou software Network Access Protection. Especialmente se 802.1x
auth no nível do switch, conforme sugerido por MichelZ, for insuficiente para suas necessidades. (Embora eu olhasse para configurar um servidor RADIUS ou w / e antes de procurar soluções NAC.)
A Cisco tem uma versão, a Microsoft tem uma versão (no Server 2008, chamada NAP), assim como muitos fornecedores de terceiros e empresas de segurança / antivírus. [Divulgação completa, eu costumava trabalhar para uma loja de desenvolvimento de software que fabricava esse produto.]
Dito isto, a segurança é toda sobre fazer uma análise de custo / benefício em torno do risco. Realmente, o sistema de segurança "ideal" é mais caro do que o que ele está protegendo, e não um sistema "impenetrável" (a menos que você esteja protegendo algo que é "inestimável", é claro, então a impenetrabilidade seria o ideal).
Portanto, antes de comprar (ou até mesmo implementar uma solução de segurança "livre"), você deve considerar o retorno que receberá em seu investimento de tempo e / ou dinheiro. (Ou, se você tiver sorte, talvez essas decisões "em seu chefe, ou em outra pessoa.) Assim como não faz sentido comprar um seguro de US $ 10.000 para proteger algumas centenas de dólares, pode não valer a pena seu investimento em tempo ou dinheiro para estabelecer a segurança adequada do NAC / NAP, se o risco for baixo e / ou os dados que você está protegendo não forem particularmente valiosos.
Isso também é segurança pela obscuridade. Um invasor pode ouvir transmissões, obter um endereço MAC válido de um computador "bom" e, depois de ser desativado, usar o "bom" mac para obter um endereço IP válido do DHCP.
O que você deseja, poderia ser implementado por algum software personalizado que verificaria com o DHCP e alteraria as regras do firewall, ou por ter um filtro mac em cada máquina, e atualizaria a lista 'boa' mac toda vez que uma nova caixa fosse adicionado (grande PITA para os administradores).
Se você gerenciasse switches habilitados para 802.1x, eu recomendaria investigar isso ou configurar a segurança de portas, permitindo assim o tráfego de portas somente de MACs específicos.
Tags dhcp ip-address