Cegah pengguna administratif dari menetapkan duplikat IP statis ke workstation mereka

13

Bagaimana saya bisa mencegah pengguna yang merupakan administrator di mesin lokal mereka dari secara manual menetapkan IP ke adaptor jaringan mereka yang digunakan di server? Beberapa pengguna telah melakukan ini, dan itu menyebabkan masalah duplikat IP yang telah mengambil node dalam cluster di organisasi saya.

despe
sumber
1
Apa yang Anda gunakan untuk DHCP? Windows? Linux? Sesuatu yang lain Anda akan ingin membuat kumpulan untuk DHCP dan mengecualikan IP yang Anda gunakan untuk server Anda.
colealtdelete
Pertanyaan Anda agak tidak jelas, mungkin karena bahasa Inggris bukan bahasa utama Anda? Saya telah mengeditnya agar lebih mudah dimengerti.
MDMarra
4
@ mdcp Tidak mungkin. Tidak jika pengguna adalah admin lokal. Dan tidak jika mesin tidak ada dalam domain - jika saya datang ke kantor Anda dengan laptop saya sendiri dan pasang dengan IP yang sudah digunakan dan Anda tidak melakukan sesuatu pada Layer-2 untuk mencegah kerusakan (seperti 802.1x, NAC, dll), maka saya baru saja mengetuk sesuatu yang lain dari jaringan.
mfinni
2
Saya benar-benar ingin tahu - mengapa orang melakukan ini?
Richard Terrett
1
Jika pengguna Anda menetapkan alamat IP tetap pada mesin mereka, Anda harus berpikir keras tentang mengapa mereka melakukannya. Dalam hampir semua kasus akan ada beberapa masalah mendasar yang harus Anda atasi. Ketika jaringan Anda (termasuk hal-hal seperti DNS) berfungsi dengan benar, mereka seharusnya tidak memiliki alasan untuk melakukannya. Dengan kata lain, apa yang perlu Anda perbaiki untuk menghilangkan alasan mereka dan dengan demikian menjadikan ini tidak menjadi masalah?
John Gardeniers

Jawaban:

25
  1. Memiliki subnet terpisah (dan lebih disukai VLAN terpisah) untuk server Anda. Ini cukup banyak menghilangkan masalah "tidak disengaja" tumpang tindih.

  2. Gunakan semacam NAC atau autentikasi level port dan memiliki alamat yang ditetapkan DHCP sebagai prasyarat pemeriksaan kesehatan.

  3. Jangan biarkan pengguna Anda menjadi admin di mesin lokal mereka :)

MDMarra
sumber
1
+1 Semua hal di atas =]
Chris S
9
Tidak ada cara untuk mencegah seseorang dengan admin lokal pada mesin dari menetapkan alamat IP yang sudah digunakan, titik. Karena mereka memiliki mesin, mereka dapat membuatnya mengatakan apa pun yang mereka inginkan. Yang dapat Anda lakukan adalah membatasi kerusakan - yang, jika Anda menggunakan NAC atau serupa, itu dapat membatasi kerusakan hingga 0.
mfinni
2

Coba aktifkan DHCP snooping. Setiap perangkat yang terhubung ke switch harus mengeluarkan permintaan DHCP dan menerima balasan yang valid dari server DHCP tepercaya Anda sebelum dapat menggunakan jaringan.

0xFF
sumber