Como evitar conflitos de IP?

pinguimbianque
(usa Ubuntu)

Enviado em 28/03/2017 - 08:46h

Bom dia, Pessoal. Tudo bem.

O cenário é o seguinte: Evitar que alguém chegue na minha rede, conecte um notebook setado com o mesmo ip do gateway, por exemplo, e derrube a rede.

Alguém sabe alguma forma de fazer isso?

Obrigado!

MrBlackWolf
(usa Arch Linux)

Enviado em 28/03/2017 - 08:49h

Vou wardar esse tópico aqui pra acompanhar a resposta dos Administradores de Redes.

removido
(usa Nenhuma)

Enviado em 28/03/2017 - 09:22h

VLAN.

https://under-linux.org/entry.php?b=1447

MrBlackWolf
(usa Arch Linux)

Enviado em 28/03/2017 - 10:05h

Mas Amarildo. Mesmo com o uso de uma VLAN o usuário não poderia setar manualmente um IP igual ao Default Gateway definido, por exemplo, para uma porta?

macyszyn
(usa Ubuntu)

Enviado em 28/03/2017 - 10:10h

Ainda não tive este problema, mas também não uso ips de faixa comum(192.168.X.X).
Outro detalhe, é não permitir conexões de pessoas sem cadastro/liberação. Isso resolve muitos problemas.

removido
(usa Nenhuma)

Enviado em 28/03/2017 - 10:27h

Não sou de redes mas por onde passei é configurado o Spanning Tree. Nesse caso daria down na porta.

Existem outros meios de segurança. Os switchs de hoje são bem inteligentes nessa questão.

removido
(usa Nenhuma)

Enviado em 28/03/2017 - 10:32h

Em alguns switchs você pode amarrar o mac do gateway a porta. No Cisco chama-se port security.

MrBlackWolf
(usa Arch Linux)

Enviado em 28/03/2017 - 10:33h

É por isso que esses switchs gerenciáveis custam a alma. Tem recurso demais cara kkkkkkkkkkkkkk

pinguimbianque
(usa Ubuntu)

Enviado em 28/03/2017 - 13:04h

Ótimo texto, Amarildo.

Alguém utiliza 802.1x? Numa rede grande acredito que ter que autenticar pra entrar seria uma boa. E a possibilidade de autenticar via LDAP seria ótimo, integrável a ambientes existentes. Pra gerenciar remotamente que é o meu caso seria muito bom. Alguém tem algum tutorial?

removido
(usa Nenhuma)

Enviado em 28/03/2017 - 15:51h

Boa dica
:)

Sera que fixar ip ao mac evita conflito de rede?

Configura um servidor DHCP


apt-get install arp-scan

Para detectar conflitos rode:

$ sudo arp-scan -I INTERFACE_DE_REDE -l

Exemplo:

$ sudo arp-scan -I eth0 -l


192.168.1.10 00:1b:a9:63:a2:4c BROTHER INDUSTRIES, LTD.
192.168.1.30 00:1e:8f:58:ec:49 CANON INC.
192.168.1.33 00:25:4b:1b:10:20 Apple, Inc
192.168.1.37 10:9a:dd:55:d7:95 Apple Inc
192.168.1.38 20:c9:d0:27:8d:56 (Unknown)

192.168.1.39 d4:85:64:4d:35:be Hewlett Packard
192.168.1.39 00:0b:46:e4:8e:6d Cisco (DUP: 2)


192.168.1.40 90:2b:34:18:59:c0 (Unknown)


O endereço IP 192.168.1.39 está em conflito, com dois endereços MAC diferentes solicitando pelo mesmo endereço IP.


Fontes:

https://groups.google.com/forum/#!topic/elastixbrasil/AFaE0B8YoXg
http://www.netdeep.com.br/blog/redes/como-detectar-conflitos-de-enderecos-ip-no-linux.html

pinguimbianque
(usa Ubuntu)

Enviado em 28/03/2017 - 16:02h

Sem dúvida! Usar faixas de ip óbvias é até um risco para segurança da rede.

No DHCP amarro o MAC da máquina ao IP. A tabela arp do meu firewall também é travada, ou seja, criei um arquivo "ethers" com o MAC e IP das estações.

Se houvesse alguma forma, via script netlogon, bat, de travar o arp das estações Windows, resolveria parcialmente meu problema.

macyszyn
(usa Ubuntu)

Enviado em 28/03/2017 - 16:08h

meianoite, relacionar MAC a IP não ira resolver se o cliente estiver com ip fixo.
Acredito que a solução mais eficiente seria o 802.1x autenticado. Não uso atualmente, mas pretendo implementar!

Oque utilizo, é um sistema de cadastro, onde relaciono o MAC a um IP, e realizo a liberação de acesso no firewall, apesar de ainda não ter enfrentado problemas com conflito de IP, reconheço que isso não resolveria.