วิธีการป้องกัน ผู้ใช้งานตั้ง IP Address ตัวเดียวกันกับ IP Server

[Bluebird]

ใครมีวิธี การป้องกัน ผู้ใช้งานตั้ง IP Address ตัวเดียวกันกับ IP Server บ้างครับ

เนื่องจากปัจจุบัน เจอปัญหา ผู้ใช้งานบางคน (คนที่ไม่มีความเข้าใจเรื่องการกำหนด IP Address หรือ ชอบแกล้ง Admin)  โดยไปกำหนด IP Address เครื่องใช้งานของตัวเองเป็นตัวเดียวกับ Server ทำให้ ฐาน HOSxP เชื่อมต่อไม่ได้เลย

[Noppadol]

ผมใช้ winguard ล็อกการเข้าไป config เครื่องครับ.............แต่ก็ยังมีปัญหากับ notebook ของเจ้าหน้าที่อยู่เลยครับ.........

[ittipol]

เราต้องเป็นคนจ่าย IP เท่านั้นห้ามตั้ง IP เอง

[เข้ม]

หลาย ๆ อย่างดูในนี้ อ. เคยให้ไว้แล้ว
และ อ.ตะนอยได้แนะนำวิธีการใช้งานแล้วด้วย

http://hosxp.net/index.php?option=com_smf&Itemid=28&topic=4472.0

 

[Bluebird]

เครื่องโรงพยาบาลไม่มีปัญหา แต่ที่ชอบมีปัญหา กรณีเครื่องส่วนตัวของเจ้าหน้าที่ที่ชอบกำหนด IP เอง

หาก IP อัติโนมัติไม่มีปัญหา เพราะผม กำหนด เป็น 2 กลุ่ม HOSxP จะเป็นกลุ่มที่ต้องกำหนด IP เอง  ส่วนกลุ่มผู้ใช้งานส่วนตัวที่ตั้ง Auto จะไปใช้เลขอีกกลุ่ม

[auing]

เครื่องโรงพยาบาลไม่มีปัญหา แต่ที่ชอบมีปัญหา กรณีเครื่องส่วนตัวของเจ้าหน้าที่ที่ชอบกำหนด IP เอง

หาก IP อัติโนมัติไม่มีปัญหา เพราะผม กำหนด เป็น 2 กลุ่ม HOSxP จะเป็นกลุ่มที่ต้องกำหนด IP เอง  ส่วนกลุ่มผู้ใช้งานส่วนตัวที่ตั้ง Auto จะไปใช้เลขอีกกลุ่ม

ของผมมีกรณีที่เจ้าหน้าที่ต้องการใช้งาน HOSxP ที่บ้านพักในโรงบาลจำเป็นต้องกำหนด IP เดียวกันในกลุ่มซึ่งเป็นปัญหามากครับยังไม่มีทางจะแก้ไขเลยครับ  Super User งานผมเยอะจริงๆ

[Khuad]

... ความเห็นส่วนตัวนะครับ ...  ...

... เราต้องจ่าย IP อัตโนมัติให้ครับ และอย่าไปกำหนดให้ IP ของ Server อยู่ในช่วงค่าIP อัตโนมัติด้วย แล้วก็ควรกำหนดเป็น IP ที่คนทั่วไปเขาไม่ค่อยใช้ครับ
    ที่จริงการกำหนดค่า IP ของ Server เอง เราก็สามารถเลี่ยงตัวที่มีโอกาสถูกตั้งซ้ำได้ง่าย เช่น 1,10,100,200 อะไรพวกนี้แหละครับ ควรเลี่ยง

    แล้วก็ชี้แจง จนท. ครับ ว่าถ้านำเครื่องส่วนตัวเข้ามาเชื่อมต่อในเครือข่าย ห้ามกำหนด IP เอง

   ถ้ายังมีปัญหาก็นำเรื่องและปัญหาเข้าแจ้ง กรรมการบริหารฯ
   ว่าห้ามเอาเครื่องส่วนตัวมาเชื่อมต่อเลย   
   ถ้า กห. เขาเห็นว่ายังควรให้นำเครื่องส่วนตัวมาเชื่อมต่อได้ ก็ถือว่า ต่อไปถ้าเกิดปัญหานี้ขึ้นอีก กห.คือผู้รับผิดชอบ อิ อิ  ...      ...


... ที่ รพ.ผมเอง การเชื่อมต่อเครือข่ายผ่าน access point จะมีการ lock MAC ไว้  ไม่ได้ป้องกันอะไรมากหรอกครับ  เพียงแต่มันจะทำให้เรามีทะเบียน MAC ของเครื่องที่จะมาเชื่อมต่อ ทำให้พอที่จะทราบได้ว่า เวลาเกิดปัญหา มันมาจากเครื่องตัวไหน ของใครน่ะครับ ได้ตามไปจัดการปัญหาได้ถูกจุด

    ส่วนปัญหาเรื่องการที่มีการไปถอดสาย LAN ของเครื่องในระบบเอามาเสียบเครื่องส่วนตัวเพื่อใช้งาน  ปัจจุบันที่รพ.ผมเอง จุดที่มีการเดินสาย LAN เผื่อเอาไว้และยังไม่มีการใช้งาน ผมจะไม่เชื่อมต่อกับ Switch ครับ  จะเชื่อมต่อไว้แต่จุดที่ใช้งาน มีบางที่ทีเสียบคาเอาไว้ก่อน ทำให้มีการเอาสายมาต่อแล้วเชื่อมกับเครื่องส่วนตัวได้
    พอทำแบบนี้ช่วงเวลาทำงานปกติ ก็จะไม่มีใครเอาเครื่องมาเชื่อมต่อผ่านสาย LAN ครับ เพราะทุกจุดถูกใช้งานอยู่  อาจจะเจอตอนกลางคืน แต่ว่าก็จะทำให้เราตรวจสอบง่ายขึ้น เพราะกลางคืนมีคนใช้น้อยอยู่แล้ว
    แต่ถ้ามีใครลงทุนถึงขนาดพก Switch เอามาต่อขยายจุดเอาเอง  ก็ปล่อยเขาครับ แล้วรวบรวมหลักฐานแจ้งทางผู้บริหารไปเลย

    ที่สำคัญแจ้งให้ทุกคนทราบว่า การลักลอบเชื่อมต่อ การทำให้ระบบขององค์กรเกิดปัญหาในการทำงาน มันมีความผิดตาม พรบ.คอมฯ  ติดคุกได้ครับ ...  ....

[ismailsa]

ปล่อยเป็น DHCP ทั้งระบบดีไหมครับ จะได้ไม่มีปัญหาเรื่อง conflic IP

[dotAtainer]

  ทำได้ครับโดยกำหนดให้อุปกรณ์ที่แจก IP ปล่อยให้ client โดยเว้นช่วงของ IP Server ไว้ เช่น Server IP 192.168.1.15/24 ก็เริ่มแจกตั้งแต่ 192.168.1.16/24 ขึ้นไป แต่มีปัญหาว่า DHCP ก็สามารถตั้ง แบบ fix และใช้งานด้วยกันได้ ในกรณีเจ้าของกระทู้ที่ว่าโดนกลั่นแกล้งครับ 

ปล่อยเป็น DHCP ทั้งระบบดีไหมครับ จะได้ไม่มีปัญหาเรื่อง conflic IP

[chinno]

ปัญหาที่ผู้ใช้งาน fix ip เองนี้เป็นสิ่งที่เลี่ยงไม่ได้ครับ
แต่เราจะจัดการ เครื่อง server ที่เราดูแลอยู่นั้นไม่ให้โดน fix ip ชน เป็นอีกทางเลือกที่น่าสนใจอีกวิธีนึงครับ
เช่น แยกโซน server ไปอีกโซนนึงครับ เช่น
ที่โรงพยาบาลแยก ออกเป็น 4 โซนครับ (ใช้ endian)
วงที่ 1 เป็นโซนที่ใช้กับเครื่องทั่วไปในโรงพยาบาล pc ทุกเครื่องจะถูก fix ip ไว้ และปล่อย dhcp สำหรับ notbook เช่น ผมปล่อย 200.200.200.200\24 - 200.200.200.225\24  แสดงว่าปล่อย DHCP 26 ip
วงที่ 2 เป็นโซนของเครื่อง server fix ip ทั้งหมด กำหนดเป็น 10.10.10.0\29 จะได้ทั้งหมด 8 ip
วงที่ 3 เป็นโซนของ หอพักบุคลากร ให้ DHCP จ่าย โดยใช้หลักการ subnet เข้ามาช่วย เพื่อไม่ให้ขนาดของ network กว้างเกินไปเช่น 100.100.100.0/27 จะได้ทั้งหมด 32 ip (ตามจำนวนเครื่องที่ใช้งาน แล้วแต่ความต้องการ)
ส่วนวงที่ 4 เป็น WAN

ซึ่งถ้าเราทำแบบนี้จะสามารถกำหนดการเข้าถึง port ได้  โดยการ config ที่ไฟล์วอล
เปอร์เซ็นที่จะมีการ fix ip ชน กับ server จะน้อยลงจนถึงกับไม่มี
เราจะสามารถกำหนดได้เลยว่าจะให้ ip ไหนใช้งานฐานข้อมูลได้ เข้าเว็บได้ และบริการอื่นๆ

แต่กว่าจะทำได้แบบนี้ต้อง config ไฟวอล มโหราณ มาก แต่ก็คุ้มกับเวลาที่ทำ และมั่นใจยิ่งขึ้นว่าจะไม่มีใครแอบยิงเครื่อง server ของเราให้ร่วง


ถ้าหากอธิบายผิดไปในส่วนใดก็ขออภัยมา ณ ที่นี้ด้วยครับ