Duplikat Pencegahan Alamat IP?

8

Kemarin laptop menabrak jaringan karena alamat IP komputer sama dengan router. Komputer dalam jaringan menjangkau laptop alih-alih router.

Apakah ada cara untuk mencegah hal ini terjadi?

Kami saat ini memiliki D-Link DFL860.

Patrick Dubois
sumber
Pertama, tambahkan dhcp ke subnet jika Anda belum melakukannya; memastikan bahwa alamat laptop dikelola oleh dhcp. Selanjutnya Anda memerlukan sesuatu yang melakukan pemeriksaan ARP. Cisco IOS dan Junos memiliki fitur ini; Saya tidak dapat menemukannya di DFL860 (tapi saya mencari dari ponsel saya).
Mike Pennington
Terima kasih Mike. Jika saya mengerti Anda, ketika komputer mengatur IP statisnya, itu akan mengirim ARP ke router. Kemudian router dapat mendeteksi dan mengambil tindakan untuk memblokir komputer itu?
Patrick Dubois
4
Tutup, lebih tepatnya Anda membutuhkan sakelar yang dihubungkan laptop untuk melakukan pemeriksaan ARP. Fitur ini agak menyakitkan untuk dijaga. Kebanyakan orang hanya menerima risiko alamat duplikat dan mendidik pengguna untuk tidak melakukan hal semacam ini. Itu semua tergantung lingkungan. Secara teknis apa yang Anda inginkan adalah mungkin. Dalam lingkungan dengan keamanan tinggi, gunakan inspeksi ARP untuk mencegah hal ini dan serangan spoofing ARP lainnya.
Mike Pennington
Saya tidak memiliki saklar yang dikelola dan kami adalah perusahaan yang cukup kecil. Saya pikir pendidikan akan menjadi solusi terbaik sejauh ini.
Patrick Dubois
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

9

Pada Ethernet normal tidak ada yang dapat mencegah perangkat di jaringan saling mengganggu. Alat-alat seperti DHCP dapat membantu mencegah konflik yang tidak disengaja jika digunakan dengan benar, tetapi host yang berbahaya atau salah konfigurasi masih dapat menyebabkan masalah.

Beberapa hal yang umum:

  • Alamat yang saling bertentangan (dua atau lebih alamat MAC yang mengklaim memiliki alamat IP yang sama dalam ARP atau ND)
  • Spoofing ARP atau ND (seseorang dengan sengaja berpura-pura menjadi orang lain)
  • Rogue RAS (seseorang yang mengirim Iklan Router IPv6 padahal seharusnya tidak)
  • Server DHCPv4 atau DHCPv6 palsu (server DHCP yang seharusnya tidak ada di sana)

Karena ethernet adalah media penyiaran, semua orang dapat menyiarkan apa pun yang mereka inginkan, kecuali jika tindakan khusus diambil. Untuk tindakan khusus seperti itu, Anda memerlukan peralatan yang dapat mengimplementasikannya. Ini berarti Anda memerlukan switch ethernet tingkat perusahaan, titik akses nirkabel, dll. Langkah-langkah yang dapat mereka ambil adalah misalnya menyaring paket RA dan DHCP yang tidak diinginkan, pastikan bahwa sistem hanya mengirim paket dengan alamat sumber yang telah ditetapkan oleh DHCP ( ini membutuhkan pengintaian DHCP pada sakelar) dan perlindungan terhadap serangan ARP dan ND tinggi.

Fitur keamanan semacam itu hanya tersedia pada peralatan profesional, jadi jangan berharap pada perangkat konsumen atau UKM atau peralatan perusahaan beranggaran rendah.

Sander Steffann
sumber
1

Anda dapat masuk ke antarmuka web router dan mengatur assigment DHCP statis berdasarkan alamat MAC. Ikuti prosedur ini untuk model router Anda:

1. Go to: System > DHCP > DHCP Servers > DHCPServer1 > Static Hosts > Add > Static Host Entry
2. Now enter:
• Host:192.168.1.1 (enter the host IP address here)
• MAC: 00-01-02-03-04-05 (enter the host MAC address here)
3. Click OK

Sekarang host Anda setiap kali boot up akan menerima alamat IP yang sama. Untuk mendapatkan alamat IP dan MAC host Anda di Windows, buka windows cmd ketik ipconfig / all dan periksa alamat IPv4 dan garis alamat fisik untuk antarmuka jaringan Anda

cioby23
sumber
2
Ini tidak memperhitungkan entri alamat manual. Pengintaian DHCP benar-benar diperlukan.
Ryan Foley
1
Apakah itu mencegah komputer untuk menetapkan duplikat IP statis? Seperti gateway duplikat IP.
Patrick Dubois
@ Patrick Dubois Tidak, tidak.
Ryan Foley
2
Model D-Link DFL860 menawarkan semacam perlindungan spoofing IP dengan membuat beberapa aturan akses. Periksa bagian 6.1.2 dari manual dlink.com/-/media/Business_Products/DFL/DFL%20260E/Manual/…
cioby23
@ cioby23, spoofing IP adalah masalah yang berbeda dari duplikat alamat IP. Dalam kasus pertanyaan awal, spoofing IP yang disebutkan dalam bagian manual ini tidak akan membantu mengatasi masalah.
YPelajari