ユーザーによるIPのなりすましの防止
192.168.1.0/24サブネットのDHCPサーバーとして機能しているMikroTikルーター(ファイアウォールとスクリプト機能を備えています)があります。静的にその範囲内のアドレスを自分に割り当てたユーザーからのトラフィックを通過させないようにする方法はありますか?もしそうなら、それを実装する方法をグーグルできるように、それは何と呼ばれていますか? DHCPリースと一致するようにファイアウォールルールを動的に変更するスクリプトを作成する必要がありますか?
私の質問が十分に明確でない場合の例として示されている私の最終目標:ユーザーは自分自身に192.168.1.2のアドレスを与えます。私のルーターは、これがDHCPリーステーブルにないことを認識しています。彼は192.168.1.2からのすべてのトラフィックをドロップします。
説明しているものはDHCPスヌーピングおよびIPソースガードと呼ばれ、最も優れた管理対象のレイヤー2スイッチに実装されています。
それはこのように動作します:
- スイッチがMACアドレスを検出しても、スイッチはそのアドレスからのDHCP要求のみを通過させることを認識していません。他のすべてのトラフィックはドロップされます。
- DHCPサーバーがIPアドレスで応答した場合、スイッチはIP + MACのバインディングエントリを作成します
- そのIPとMACの組み合わせによるトラフィックが許可されます
RouterOSはその機能をサポートしていませんが、それをシミュレートするには2つの方法があります。
- インターフェース設定で、ARPを「返信のみ」に設定します-これにより、ルーターが新しいIP + MACの組み合わせを学習できなくなります。次に、DHCPサーバーの設定で「リースのARPを追加」を有効にします。これにより、DHCPがIPを割り当てるときにMAC-IPバインディングが追加されます。
- ブリッジフィルターを使用して、有効なIP + MACの組み合わせを定義し、他のすべてのトラフィックをドロップできます。
特定のMACを特定のポートにのみ表示するように制限する場合は、DHCP Option 82(DHCP snoopingの一部でもある)または802.1xも確認してください。クライアントが接続されているポート(NAS-Port-Id)、両方とも多くのレイヤー2スイッチでサポートされています。
ただし、この手法では、MACフラッディング、ARPスプーフィング、IPスプーフィング、およびIP競合のみを防ぐことができます。 MACアドレスの末尾の人物が、あなたが本当にそうであると思っている人物であるとは限りません。
いいえ、あなたが求めていることは基本的に不可能です。 MACアドレスサブレイヤーの主な機能 は、物理メディア(OSIレイヤー1)を介して多数のデバイス(OSIレイヤー2)の通信を可能にします。攻撃者がNIC an arbitrary MAC address value リクエストが攻撃者のマシンから発信された場合でも、各リクエストに対してこれはMITM攻撃に役立つARPスプーフィングと混同しないでください 防止できます 。
本当に探しているのはVPNです。これは、信頼できるホストのみが通信できるようにするために使用できます。
許可されていないクライアントがネットワークへのアクセスを許可されていないことを確認したいようです。この場合は、以下のNetwork Securityセクションを参照してください。主に競合を回避し、ユーザーにDHCPサーバーの使用を強制することを検討している場合は、以下のNetwork Availabilityセクションをお読みください。
ネットワーク可用性
- Rook による以前の回答が指摘したように、具体的に求めていることは、さまざまな方法で覆すことができます。ユーザーが自分のIPアドレスを設定し、DHCP割り当てアドレスとのネットワーク競合を作成することだけを懸念している場合、MicroTik DHCPサーバーはすでにリースを割り当てる前に、アドレスが使用可能かどうかを確認します checks 。これには追加の設定が必要になる場合があり、走行距離は異なる場合があります
ネットワークセキュリティ
- ネットワークアクセスを制御し、ネットワーク上で承認された人だけにネットワークアクセスを許可するソリューションは、 ネットワークアクセス制御 です。このためのプロトコルは 802.1x です。シスコには、802.1x認証を直接実行するルータの機能を回避する Clean Access Agent という製品があります。
おそらく、より高いレベルでアクセス制御を行うか、802.1xのような概念のNACのような概念を実装できます。純粋にスイッチされたネットワークを使用している場合は、認証されるまでポートを無効にできます。上記のようにVPNにすべてのトラフィックを強制することも、認証を使用してTLS/SSLなどのプロキシを介してトラフィックを強制し、不正をネットワークから切り離すこともできます。
- http://en.wikipedia.org/wiki/802.1x
- http://en.wikipedia.org/wiki/Network_Access_Control
- http://en.wikipedia.org/wiki/Network_Admission_Control
ここでの根本的な質問は、許可されていないのになぜ誰かが物理的にネットワークに接続できるのかということです。
心のこもった回答をありがとうございました。私が探しているものには万能のソリューションがないことがわかりました(私はISPであるため、802.1Xは私のネットワークにとって非現実的であるため)。
幸い、MikroTik DHCPサーバーオプションを参照しているときに、誤って探していた答えを見つけました。 this フォーラムの投稿で説明されている「Add-ARP」オプションを使用して、誰かがIPアドレスを偽装してゲートウェイにアクセスするのを阻止できます。これにより、ユーザーは私のゲートウェイと通信を開始する必要があります。
しかし、MACアドレスのスプーフィングはどうですか?私の(確かに、正統ではない)ネットワークでは、DHCPのMACアドレス認証がありますが、ACLにより、ユーザーは分離され、ゲートウェイとのみ会話でき、ユーザーのMACアドレスは特定のポートに関連付けられます。言い換えると、ユーザーが最初に関連付けられたポート以外の新しいポートでユーザーが検出された場合(正当である可能性は非常に低い)、ユーザーは認証されません。
私はこれを私の最終的な回答としてまだ受け入れていません。私が見逃したものがあるかどうか、またはこの回答に説明が必要かどうかを知りたいからです。