Obcy w sieci, blokada nadania adresu w DHCP


(Artz) #1

Panowie,

 

mam jakiegoś intruza w sieci, co jakiś czas wysyła broadcast, dostaje adres IP nie odpowiada. Dzierżawa DHCP wygasa, jakiś czas go  nie ma i znów pobiera adres.

DHCP nie widzi nazwy hosta, jedynie MAC adres.

 

Wireshark pokazuje że to jakas karta HP, sam adres MAC też na to wskazuje.

 

Jak dotrzeć do źródła? i jak zablokować nadawanie adresu dla tego urządzenia?

 

DHCP Windows 2008R2


#2

Włącz uwierzytelnianie po MAC adresie.


(roobal) #3

Rozumiem, że to sieć firmowa? Sieć jest otwarta czy szyfrowana, użytkownicy są uwierzytelniani? Jeśli otwarta, to ktoś może podłącza się telefonem, może nawet robi to nieświadomie, jeśli ma ustawione automatyczne łączenie się z hot-spotami (niezabezpieczone sieci).


(Artz) #4

Nie dodałem że mówimy tutaj o sieci LAN.


(roobal) #5

Albo ktoś się podpina do sieci kablem (gniazdko, przełącznik), albo jakaś drukarka pobiera adres dynamicznie. Jeśli jest to zawsze to samo urządzenie, zablokuj po MAC adresie. Jeśli korzystasz z jakiegoś przełącznika i posiada on port security, tj. możesz ustawić automatyczne wyłączanie portu po wykryciu niepożądanego MAC lub innego, niż przypisany do portu. Jeśli są to różne urządzenia lub nawet to samo, to możesz dodatkowo ustalić mniejszą podsieć, adresy przypisać statycznie tam gdzie potrzeba (serwery, drukarki itp.) lub zarezerwować, zmiejszyć pulę DHCP i dodać adresy statyczne do wykluczeń (nie orientuję się czy serwer DHCP na WS to obsługuje), niewykorzystane adres możesz blokować.