395 – Evitare gli IP duplicati

Partiamo dalle basi del protocollo IP, che potete riascoltare in alcune vecchie puntate, la 36, la 234, la 304, la 330 e la 348, se le ho beccate tutte.
Inizia ad essere difficile andare a trovare dove ho parlato di un certo argomento con quasi 400 puntate.
In una rete locale le basi sono tutto sommato semplici, la prima, fondamentale, è che ogni dispositivo deve avere il suo indirizzo IP e non ci devono essere due dispositivi con lo stesso indirizzo IP assegnato nello stesso momento.
Se succede una cosa del genere, i due dispositivi verranno disconnessi dalla rete nel momento in cui la loro scheda si accorge che da qualche parte c’è un altro dispositivo con lo stesso indirizzo.
La disconnessione viene fatta dalla loro scheda, “ehi, c’è un indirizzo IP come il mio, mi disconnetto, poi riprovo, c’è ancora, mi disconnetto di nuovo” e così via.
Va gestita l’assegnazione degli indirizzi.
Si può gestire in due modi.
Il primo modo è manuale.
Definita la subnet, so qual è il range degli indirizzi che posso usare.
Mi faccio un foglio dove mi scrivo a quale indirizzo corrisponde ogni dispositivo e li configuro tutti a mano di conseguenza.
Devo tenere conto di quelli che nel tempo smaltisco, li devo cancellare dalla lista e devo stare attento a non assegnare per errore lo stesso indirizzo a due dispositivi.
A casa si può fare, forse.
In azienda, dove ci sono migliaia di dispositivi, la cosa è più complessa.
La tecnologia ci aiuta, esiste un protocollo, il DHCP, Dynamic Host Configuration Protocol, in italiano protocollo di configurazione automatica dei dispositivi, che gestisce l’assegnazione degli indirizzi IP in modo automatico, per i dettagli c’è la puntata 225.
Se attivo il DHCP server, questo servizio ha la lista degli IP disponibili e li assegna ai dispositivi che man mano li chiedono quando vengono accesi.
Se stanno spenti per troppo tempo l’assegnazione scade e l’indirizzo resta disponibile per nuovi dispositivi.
Se abbiamo bisogno che un certo dispositivo abbia sempre lo stesso indirizzo, possiamo diste al DHCP server che quel dispositivo, una volta che gli è stato assegnato un indirizzo, non ha scadenza, è riservato.
È comodo a casa per un NAS, ad esempio o per tutti quei dispositivi domotici che lavorano con Home Assistant, che ama gli indirizzi statici.
La regola fondamentale è che ci sia un solo DHCP server attivo in ogni rete. Mai metterne due.
Se ne possono mettere due, ma si deve sapere quello che si fa. A casa uno solo.
Di solito è il router, ma non è detto che sia sempre lui, potrebbe essere altro.
Seguite queste regole, difficilmente vi troverete ad avere un errore di IP duplicato in rete.
Ma se accade, cosa potrebbe essere successo?
Qualcuno ha collegato alla vostra rete un dispositivo con un IP statico che è già assegnato a un altro dispositivo.
E qui iniziano i problemi.
La cosa peggiore è quando qualcuno inserisce nella rete un dispositivo con un IP statico che non solo suba un IP a qualcos’altro, ma fa anche da DHCP server.
In questo caso gli IP duplicati inizieranno ad essere parecchi.
Non provate, né a casa vostra, né tantomeno in azienda, potrebbe essere motivo di licenziamento e potreste dovervi cercare un avvocato.
Potrebbe anche capitare che qualcuno colleghi ad una rete un secondo DHCP server su una subnet diversa.
Non avrete errori di Indirizzi duplicati, ma alcuni dispositivi a caso avranno indirizzi non compatibili con la subnet principale e non riusciranno ad accedere alle risorse della rete.
In ufficio questi eventi creano problemi più grandi quando gli IP duplicati sono relativi a qualcosa di produzione, come ad esempio i server.
Come ci si protegge?
Più la rete è semplice, meno è facile proteggersi.
Più la rete è complessa, più è facile proteggersi.
Se avete una rete piatta, non gestita, senza VLAN, andare a cercare il dispositivo pirata è un lavoro lungo e laborioso: va fatto a mano, per singola porta di ogni switch, fino a quando non lo si trova. Se è sulla rete WiFi, si deve capire sotto quale access point è, non banale.
Diciamo che se si fa in modo che non ci siano punti rete accessibili e utilizzabili, inserirsi diventa più difficile, si deve staccare qualcosa di acceso e si nota.
Una cosa che ogni realtà professionale dovrebbe fare, sempre, è buttare via gli switch non gestiti da 15€ e comprare degli switch seri L3, con un sistema operativo, una console di gestione e la possibilità di fare le VLAN.
Non solo quelli di centro stella, tutti.
A questo punto si identifica l’indirizzo fisico della scheda di rete, il MAC address, che ha l’indirizzo IP pirata e poi, con pochi comandi sulle interfacce degli switch si trova su che porta è collegato.
Si tira giù la porta e si va a prendere il buontempone con il suo dispositivo per portarlo da HR. O si fa quello che le policy aziendali dicono.
Per fare un piccolo step ulteriore in fatto di sicurezza della rete a questo tipo di attacco, perché alla fine di questo si tratta, si possono usare le VLAN. Ne ho parlato nella puntata 188.
Si segmenta la rete e di fa in modo di isolare la parte dei server, la parte di gestione dei dispositivi di rete, le stampanti, le sale riunioni dove la gente attacca ogni cosa, i PC degli utenti, la WiFi.
In questo modo, se qualcuno si attacca da qualche parte può fare danni solo sulla VLAN dove si è attaccato e non sulle altre, anche se usa un indirizzo della subnet della VLAN dei server, ad esempio.
Salendo ancora di complessità si può fare in modo che i dispositivi che si collegano alla rete abbiano tutti un certificato, in assenza di questo, lo switch non fa traffico verso di loro, a questo punto il problema non si pone, il dispositivo malevolo non funzionerà.
So perfettamente che chi mi ascolta non fa sistemista di rete e, sicuramente, non può andare dal capo ufficio in un ufficio di 10 persone a chiedere di mettere tutti switch L3 e le VLAN per gestire la rete dell’ufficio.
Ma, dovesse mai capitare qualcosa che manda in palla la rete, tenete pronta questa puntata, gliela passate per essere al sicuro la prossima volta.
Questo podcast è gratis per tutti da oltre 10 anni.
Ma non sarebbe arrivato a 10 anni senza gli ascoltatori che, ritenendolo meritevole, hanno deciso di sostenerlo economicamente.
Se pensi che il mio lavoro meriti il tuo sostegno, puoi andare alla pagina pilloledb.it/sostienimi, scegliere uno dei tanti modi, scegliere l’importo e partecipare anche tu alla realizzazione delle prossime puntate.
Con 3€ avete accesso alla puntata dedicata ai sostenitori di questo mese.
Da 6€ vi spedisco i gadget, dovete compilare il form.
Se cercate un gestore di connettività super affidabile, provate Ehiweb! Li consiglio vivamente: offrono molti servizi, fissi e mobili, hanno un supporto clienti eccezionale e sono un’azienda che tratta bene i dipendenti. Non tornerete più indietro! Usate il link sponsorizzato sul sito oppure telefonate e dite che vi mando io.
Per l’Hosting del vostro sito, c’è ThirdEye, che ospita con grande professionalità il sito del podcast da anni. Una garanzia! I contatti sono sul sito.
E se volete, fate i vostri acquisti su Amazon usando i link sponsorizzati che trovate sul sito, una piccola parte arriva al podcast.
Come vi raccontavo qualche puntata fa, ho iniziato a produrre la parte audio usando l’adorabile pulsantiere StreamDeck, con i tasti programmabili, ognuno dei quali ha un piccolo display che ricorda la sua funzione.
Non fate confusione con la SteamDeck che è sempre una roba fighissima, ma completamente diversa.
Potrebbe capitare di dover assegnare a un tasto una funzione che potrebbe essere comodo ricordare con una emoji. Solo che le emoji non sono immagini, ma caratteri.
Per metterli come sfondo della StreamDeck mi servivano delle immagini.
A questo punto potrebbe anche venirvi in mente che potrebbe essere comodo avere delle immagini con le emoji all’interno, per usarle in qualsiasi ambito.
C’è un sito, facile facile che fa solo questo: scegliere l’emoji e lui vi fa scaricare il PNG.
Utile da tenere nei preferiti e richiamare nel momento del bisogno.
Il link nelle note come al solito.
Questa puntata di Pillole di Bit è giunta al termine, vi ricordo che se ne può discutere nel gruppo Slack e che tutti i link e i riferimenti li trovate sull’app di ascolto podcast o sul sito, non serve prendere appunti.
Io sono Francesco e vi do appuntamento a lunedì prossimo per una nuova puntata del podcast che, se siete iscritti al feed o con una qualunque app di ascolto vi arriva automagicamente.