web-dev-qa-db-fra.com

Arrêter les utilisateurs d'utiliser une adresse IP

J'ai un routeur Mikrotik (qui a des capacités de pare-feu et de script) qui agissent en tant que serveur DHCP pour le sous-réseau 192.168.1.0/24. Est-ce que je peux l'arrêter de passer du trafic d'un utilisateur qui s'est affecté statilement une adresse dans cette gamme? Si oui, comment s'appelle-t-il pour que je puisse la mettre en œuvre Google? Dois-je créer un script qui modifie de manière dynamique les règles de pare-feu pour correspondre à des contrats de location DHCP?

Mon objectif final montre comme exemple au cas où ma question n'est pas assez claire : Un utilisateur se donne l'adresse de 192.168.1.2. Mon routeur voit que ce n'est pas dans sa table de location DHCP. Il dépose tout le trafic de 192.168.1.2.

3
Seanny123

Ce que vous décrivez est appelé SNOOPING DHCP et Guard source IP et est implémenté sur la plupart des commutateurs de couche gérés 2 gérés.

Ça marche comme ceci:

  • Lorsque l'interrupteur voit une adresse MAC, il ne sait pas que le DHCP ne laissera que DHCP à partir de cette adresse d'adresse. Tous les autres trafics seront supprimés.
  • Si le serveur DHCP répond avec une adresse IP, le commutateur créera une entrée de liaison pour l'IP + Mac
  • Le trafic avec cette combinaison IP + Mac sera maintenant autorisé

Routeurs ne supporte pas cette fonctionnalité, mais il y a deux façons de la simuler:

  1. Dans les paramètres d'interface, définissez ARP sur "Répondre-seulement" - cela empêchera le routeur d'apprendre de nouvelles combinaisons IP + Mac. Ensuite, dans les paramètres du serveur DHCP, activez "Ajouter ARP pour les contrats de location". Cela ajoutera la liaison Mac-IP lorsque le DHCP attribue une adresse IP.
  2. En utilisant les filtres de pont, vous pouvez définir des combinaisons IP + Mac valides et supprimer tout autre trafic.

Si vous souhaitez limiter un certain Mac pour n'apparaître que sur un certain port, jetez un coup d'œil à Option DHCP 82 (également une partie de Snooping DHCP) ou 802.1x qui peut également communiquer Le port qu'un client est connecté à (NAS-Port-Id), les deux sont supportés par de nombreux commutateurs de couche 2.

Cependant, cette technique ne peut toujours empêcher que les inondations de Mac, l'entrepooftage ARP, l'usurpation IP et les conflits IP. Il ne garantit pas que la personne à la fin de l'adresse MAC est vraiment ce que vous pensez être.

2
dog

Non, ce que vous demandez est fondamentalement impossible. La fonction principale de l'adresse MAC sous-couche permet de la communication de nombreux périphériques (couche OSI 2) via un support physique (couche OSI 1). Rien n'empêche un attaquant d'attribuer leur NIC une valeur d'adresse mac arbitraire . Effet un côté est que votre serveur DHCP émettra ensuite la même adresse IP sur le même Mac Pour chaque demande, même si la demande provient de la machine d'un attaquant. Cela ne doit pas être confondu avec l'entrepoiffage ARP, qui est utile pour les attaques de MITM et peut être empêchée .

Vraiment ce que vous cherchez est un VPN. Cela peut être utilisé pour autoriser uniquement les hôtes de confiance à communiquer.

2
rook