Como bloquear um endereço IP para um endereço MAC

2

Eu sei que o título não é o melhor título possível.

Atualmente, todos os servidores da minha rede podem usar qualquer IP estático simplesmente configurando-o no nível do sistema operacional. O que estou tentando fazer é permitir que um endereço IP específico seja usado apenas com um endereço MAC específico.

Por exemplo, eu deveria ser capaz de definir 192.168.1.1 e 192.168.1.2 somente ser usado pelo endereço MAC < strong> 00: fe: 94: 82: 05: 32 .

Se outro NIC, com um endereço MAC diferente, digamos 00: fe: 94: 82: 05: 31 , deseja acesso para usar 192.168.1.1 ou 192.168.1.2, algo deve negar sua solicitação. O que seria isso algo ? Eu suponho que deveria ser o roteador ou um switch de nível 3. Em caso afirmativo, qual recurso devo procurar nas especificações dos roteadores para comprar?

    
por ispirto 08.03.2013 / 19:09

4 respostas

3

Você precisaria de um switch inteligente para fazer isso na rede. Não sei se existe uma ferramenta de gerenciamento de VMs que possa impedir que os usuários adicionem outro ou alterem os IPs em seus convidados.

No Cisco-land, você está procurando por segurança de porta para impedir que alguém em uma porta diferente impeça o mac e a proteção de origem de IP (IPSG) para inspecionar a combinação mac / IP e / ou a inspeção dinâmica de arp (DAI) para evitar spoofing ARP. O IPSG e o DAI dependem do snooping DHCP ou de uma tabela configurada pelo usuário, portanto, pode adicionar bastante a sobrecarga à sua operação.

Outros fornecedores (Juniper / Extreme / Force10 / etc ...) podem fazer os mesmos recursos de segurança, mas os nomes podem diferir do que eu mencionei. Todos os fornecedores terão seus próprios requisitos de hardware / software / licenciamento que você precisará trabalhar com seu fornecedor / VAR.

Além disso, há complicações na configuração desse tipo de segurança, e um erro de configuração pode ser realmente difícil de solucionar e, dependendo da rede, talvez não seja possível fornecer esse nível de segurança.

    
por 09.03.2013 / 07:06
2

Você tem alguma coisa distribuindo IPs na sua rede 192.168.1.X?

Se você estiver usando um servidor DHCP, poderá criar uma reserva DHCP, que bloqueia um endereço MAC para um IP específico. Os servidores seriam configurados para usar o DHCP e, ao entrar em contato com o servidor DHCP, obterá o endereço reservado para esse host.

Você poderia criar entradas ARP estáticas para cada IP - MAC no seu roteador. No entanto, isso evitaria a comunicação da Camada 3 de um host que tentasse usar um endereço não compatível com seu MAC. Para evitar toda a comunicação, você precisaria criar entradas ARP estáticas em cada host no domínio da Camada 2 com o qual o host poderia precisar se comunicar e impedir que as pessoas pudessem alterar essas entradas (parece um pesadelo de gerenciamento para mim).

    
por 08.03.2013 / 19:23
2

Mate, se você realmente tem esse tipo de ambiente, a única resposta para o seu problema é uma Política bem definida do que pode ou não ser feito.

Não há tecnologia capaz de fazer o que você precisa. A proteção de portas, o firewall correspondente ao par MAC / IP ou qualquer outra solução não impedirá que o proprietário da VM simplesmente altere seu endereço IP.

Mas uma política real, com regras claras e punitiva para quem a quebra, terá mais efeito para ela.

    
por 09.03.2013 / 11:19
1

Como eles podem usar "qualquer IP estático"? Se você tem um conjunto de IP estático, então é isso que ele usa. Depois de definir o IP estático, você deve mantê-lo e documentá-lo para cada servidor.

"Endereços de Protocolo da Internet são atribuídos a um host de novo no momento da inicialização ou permanentemente por configuração fixa de seu hardware ou software. A configuração persistente também é conhecida como o uso de um endereço IP estático"

Então você está usando IPs estáticos ou DHCP? Ou você está apenas em um ambiente de laboratório que está mudando IPs o tempo todo?

Acho que minha sugestão é configurar uma VLAN específica com os servidores que você deseja manter os endereços IP estáticos e depois colocar os que estão sendo alterados em outra VLAN.

    
por 08.03.2013 / 19:20

Tags