fremde DHCP verhindern

[smartino 11]

Hallo zusammen,

 

ich hatte hier neulich das Problem, daß fremde DHCPs das LAN ganz schön in Unruhe versetzt haben. insbesondere diese dann zu finden. Nun bin ich am Maßnahmen überlegen, wie man verhindern könnte, daß endwefder fremde DCHPs im LAN IPs verteilen bzw. die Clients diese annehmen.

 

Grüße, Thomas

[Sunny61 816]

Zum finden des DHCP ist evtl. hier was dabei: DHCP Server ermitteln? - www.ms-news.net

[marka 589]

Wir nutzen hierzu die Funktionalität unserer HP-Switche.

In der Config kann man hinterlegen, an welchen(m) Port(s) der/die DHCP Server hängen. und nur von diesen Ports aus können Antworten auf DHCP-Requests gesendet werden. Antworten von DHCP-Servern an anderen Ports werden geblockt.

[smartino 11]

ah merci - besonders das Feature der HP Switche finde ich bemerkenswert und dazu noch simpel - also effizient. Schade, daß wir nur Netgear Switche haben. Wäre ein Argument (welches ich eh suche) die Dinger zu ersetzen.

 

Grüße

Thomas

[marka 589]

Je nschdem, ob Eure Switche managebar sind, gibt es bei denen evtl. ja auch diese Option?

[lefg 276]

Wie aber kommen fremde DHCP in das Netz, ist das nicht das primäre Problem?

[Sunny61 816]

Wie aber kommen fremde DHCP in das Netz, ist das nicht das primäre Problem?

 

Das hatte er schon in einem anderen Thread erklärt, fremde Techniker bringen immer wieder DSL-Router oder ähnliches mit und schliessen die einfach an.

[zahni 569]

Die MAC-Adressen der fremden DHCP-Server sollte nan zumindest mit dem Netmon herausbekommen. Dann versuchen, anhand der MAC-Adresse der Hesteller des Gerätes herauszubekommen. Nun auf die Suche gehen. Das Gerät (notfalls samt Mitarbeiter) entfernen.Und natürlich sollte niemand, aussder ein definierter Personenkreis, Adminrechte jeglicher Art haben.

 

-Zahni

[smartino 11]

ich habe auf den Netgear Switchen auf die Schnelle keine Option gefunden, DCHP auf Ports zu blocken und btw. ich war nicht der von einem früheren thread habe aber ganz ähnliche Probleme.

 

Es ist einfach nicht auszuschließen, daß jemand einen DHCP Server an eine LAN-Dose hängt.

 

Beispielsweise hatte ein Techniker einen Router in Betrieb genommen und vergessen den DHCP auszuschalten. Und auch sonst ist ja nicht auszuschließen, daß wieder einmal irgend so ein Guschtel was DCHP fähiges ins Netz stellt. Sniffen geht zwar grundsätzlich aber es müssen in dem Moment auch DCHP Anfragen durchs Netz gehen. Und ich muß das Gerät im u.U. auch physikalisch finden, um es zu töten. Im Falle eines Falles ist es dann etwas zäh, den fremden DHCP sofort zu finden. Besonders, wenn die aufgebrachte Meute mit brennenden Fackeln und Mistgabeln hinter einen steht.

 

Daher gefällt mir das mit den HP Switchen enorm gut.

 

Grüße

Thomas

[smartino 11]

Und natürlich sollte niemand, aussder ein definierter Personenkreis, Adminrechte jeglicher Art haben.

 

-Zahni

 

hindert aber niemanden in Deinem LAN daran, mal eben einen Router mit aktiviertem DHCP anzustöpseln.

 

Grüße

Thomas

[zahni 569]

Hindern nicht. Aber nur 1x .

 

Fremde, nicht zugelassende Netzwerkgeräte, sind hier strickt verboten.

 

Und falls hier einer auf die Idee kommt seinen privaten NB anzustecken...

 

-Zahni

[lefg 276]

Nun, latent besteht immer die Möglichkeit, dass irgend ein Schwachkopf eine Kiste mitbringt und anschliesst, das obwohl er aktenkundig belehrt wurde, eine Erklärung unterschrieben hat. Es müssen ja nicht immer Fremde sein, die grösste Gefahr steht meist innen.

 

Falls man sich da mal wirklich einen Wolf gesucht, dann sucht man wohl schon eine Möglichkeit der vorbeugenden Abhilfe.