Я управляю довольно небольшой сетью (около 150 машин). У нас есть DHCP-сервер, настроенный с резервированием для всех машин в сети, и зона исключения, настроенная для всего диапазона, так что только известные машины получат IP-адрес и, следовательно, доступ к сети.
Однако эта практика рассчитана на безопасность благодаря неизвестности.
Возможно, что, подключив постороннее устройство с его собственным настроенным IP-адресом, другие машины смогут подключиться к сети.
Есть ли способ предотвратить это? Есть ли способ заставить машины в сети игнорировать трафик с компьютера, которому DHCP не назначил адрес?
Вы должны начать смотреть на 802.1x, это «Сетевая аутентификация» на уровне коммутатора. По сути, каждая подключаемая машина должна сначала аутентифицировать себя, прежде чем она будет разрешена в сети.
Посмотри Вот для учебника
Короткий ответ - нет.
В зависимости от вашего DHCP-сервера вы должны иметь возможность ограничивать распределение по MAC-адресу, но тривиально обнюхать MAC-адреса, уже находящиеся в сети, и изменить адрес на конкретном компьютере. Но это все еще больше усилий, чем просто установка IP-адреса напрямую.
Если вы хотите защитить свою сеть, используйте безопасные протоколы и правильную аутентификацию.
Возможно, что, подключив постороннее устройство с его собственным настроенным IP-адресом, другие машины смогут подключиться к сети.
Да очень легко.
Есть ли способ предотвратить это? Есть ли способ заставить машины в сети игнорировать трафик с компьютера, которому DHCP не назначил адрес?
Ну да, вы можете просто установить промежуточный межсетевой экран, чтобы запретить все, кроме разрешенного диапазона IP-адресов.
Тем не менее, есть и другие способы сделать это, вы можете использовать брандмауэр на основе списка MAC-адресов, это немного более безопасно, чем по IP, но не намного, если это действительно важно для вас, тогда вы применили какую-то форму зашифрованного решения на основе сертификатов например, настройка VPN между разрешенными устройствами и внутренней частью вашей сети. Это очень часто используемый сценарий, особенно в организациях, у которых есть открытые сети Wi-Fi, и он далек от передовых технологий.
Похоже, то, что вы ищете, называется программным обеспечением для контроля доступа к сети или защиты доступа к сети. Особенно если 802.1x auth на уровне переключателя, как предлагает MichelZ, недостаточен для ваших нужд. (Хотя я бы посмотрел на настройку сервера RADIUS или ж / д перед покупкой решений NAC.)
У Cisco есть версия, у Microsoft есть версия (в Server 2008, называемая NAP), как и у многих сторонних поставщиков и компаний, занимающихся компьютерной безопасностью / AV. [Полное раскрытие, раньше я работал в магазине разработки программного обеспечения, который делает такой продукт.]
Сказав это, безопасность - это анализ рисков и затрат. На самом деле, «идеальная» система безопасности - это та, взлом которой обходится дороже, чем то, что она защищает, а не «непроницаемая» система (если, конечно, вы не защищаете что-то «бесценное», тогда непроницаемость была бы идеальным вариантом).
Поэтому, прежде чем покупать (или даже внедрять «бесплатное») решение безопасности, вы должны подумать, какую прибыль вы получите от своих вложений времени и / или денег. (Или, если вам повезет, это может быть решение вашего босса или кого-то еще.) Точно так же, как нет смысла покупать сейф за 10 000 долларов, чтобы защитить несколько сотен долларов, возможно, это не стоит ваших вложений. время или деньги, чтобы установить надлежащую безопасность NAC / NAP, если риск невелик и / или данные, которые вы защищаете, не особенно ценны.
Это тоже безопасность через неизвестность. Злоумышленник может прослушивать широковещательные передачи, получить действительный MAC-адрес от какого-нибудь «хорошего» компьютера, а после его выключения использовать «хороший» Mac для получения действительного IP-адреса от DHCP.
То, что вы хотите, может быть реализовано с помощью некоторого специального программного обеспечения, которое будет проверять DHCP и соответствующим образом изменять правила брандмауэра, или с помощью фильтра Mac на каждой машине и обновлять список `` хороших '' Mac каждый раз, когда добавляется новое поле (большой PITA для админов).
Если вы управляли коммутаторами с поддержкой 802.1x, я бы порекомендовал изучить это или настроить безопасность порта, чтобы разрешить трафик порта только с определенных MAC-адресов.