dglomo 3 Geschrieben 17. März 2014 Melden Teilen Geschrieben 17. März 2014 Hallo zusammen, folgendes soll umgesetzt werden: Computer sollen nur dann eine Netzwerkadresse bekommen wenn Sie Domänencomputer sind. Hab schon einiges gelesen, bezüglich NAP und DHCP usw. Kann man überhaupt sagen, wenn der pc, der sich ins Netzwerk einstöpselt kein Domänencomputer ist, dann bekommt er keine iP? Gruß Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 17. März 2014 Melden Teilen Geschrieben 17. März 2014 Moin, das wird wohl so einfach nicht funktionieren. Dafür ist DHCP einfach nicht ausgelegt. Schließlich sollen auch Geräte eine IP bekommen, die überhaupt keine Domänenmietglieder werden können (z.B. Drucker oder andere Netzwerkdevices) Evtl. könnte man das über eine MAC Sperrliste realisieren. Sprich nur Rechner mit bekannter MAC bekommen eine DHCP-Adresse vom Server. Das wäre aber auch Handarbeit, da dort jedes Gerät in einer Whitelist aufgenommen werden müsste Gruß Dirk Zitieren Link zu diesem Kommentar
dglomo 3 Geschrieben 17. März 2014 Autor Melden Teilen Geschrieben 17. März 2014 Andere Geräte wie Drucker oder sonstiges haben alle feste IP's. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 17. März 2014 Melden Teilen Geschrieben 17. März 2014 (bearbeitet) Andere Geräte wie Drucker oder sonstiges haben alle feste IP's. Ja und!? Meinst Du deswegen ändert sich was an der Funktion des DHCP-Servers? Also nochmal: Du wirst nicht um die Pflege einer MAC-Liste im DHCP-Server herumkommen. Was willst Du überhaupt erreichen? Gruß Dirk bearbeitet 17. März 2014 von monstermania Zitieren Link zu diesem Kommentar
dglomo 3 Geschrieben 17. März 2014 Autor Melden Teilen Geschrieben 17. März 2014 (bearbeitet) Nicht Domänen PC's sollen keine IP bekommen. Das man dann dennoch eine manuelle vergeben kann ist klar. Wo genau besteht denn der Sinn der Möglichkeit Radius für verkabelte Netze? bearbeitet 17. März 2014 von dglomo Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 17. März 2014 Melden Teilen Geschrieben 17. März 2014 (bearbeitet) Das kannst Du so nicht machen. Der DHCP-Server kann die Domainzugehörigkeit nicht prüfen. Was Du machen kannst, ist den PCs die Netzwerkkommunikation wegzunehmen. Da bist Du bei NAP schon an der richtigen Stelle. Damit kannst Du Geräte, die den NAP-Test nicht bestehen, per Defaultroute isolieren. Hilft aber nicht gegen feste IPs. Fragen wir mal die übliche Gegenfrage: Warum willst Du das machen? Was willst Du auf dem Weg erreichen? Wenn man es professionell macht, ist Domain Isolation der richtige Startpunkt: Introduction to Server and Domain Isolation Der Sinn von RAIDUS für verkabelte Netze ist Netzwerktrennung. Man kann berechtigte Clients damit in ein anderes VLAn packen als unberechtigte Clients. bearbeitet 17. März 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
dglomo 3 Geschrieben 17. März 2014 Autor Melden Teilen Geschrieben 17. März 2014 (bearbeitet) Der Grund ist, dass nicht jeder beliebige Client per Netzwerkkabel im Firmennetzwerk eine IP bekommt. Mir ist durchaus klar, dass durch die Einstellung einer festen IP immernoch der Zugang zum Netzwerk vorhanden ist. Aber es externen Besuchern nicht zu leicht gemacht werden. Wie kann ich denn NAP so konfigurieren, dass Client's ohne Domänenzugehörigkeit erstmal keine IP bekommen? bearbeitet 17. März 2014 von dglomo Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 17. März 2014 Melden Teilen Geschrieben 17. März 2014 Moin, das mit NAP per DHCP als Zugriffsschutz würde ich ganz schnell vergessen. Wie Daniel schon schrieb, ist es sehr leicht zu umgehen. Eine IP vom DHCP bekommen die Clients immer, es wird bei nicht konformen nur eine 32'er Netzmaske gesetzt und der Client so in seiner Kommunikation 'eingeschränkt'. Domain Isolation mit IPSec ist das andere Extrem. Relativ einfach umzusetzen ist 802.1x. Du brauchst dafür allerdings geeignete Switches. Da wird die Authentifizierung auf Portebene am Switch vorgenommen und über eine simple Regel am NPS (Bsp.: Mitglied in Gruppe 'Domänencomputer') kannst Du den Client für's Firmen-VLAN berechtigen. Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 17. März 2014 Melden Teilen Geschrieben 17. März 2014 Listen and repeat: dhcp ist kein sicherheitsfeature. Zitieren Link zu diesem Kommentar
dglomo 3 Geschrieben 18. März 2014 Autor Melden Teilen Geschrieben 18. März 2014 Dunkelmann - das war der Denksantoß den ich brauchte :-) Unsere Switche unterstützen das. Werde das Ganze einrichten und dann nochmal Feedback geben. Danke erstmal. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 18. März 2014 Melden Teilen Geschrieben 18. März 2014 (bearbeitet) Denk dran, dass Du für die Technik, die kein 802.x unterstützt, auch eine Lösung schaffen musst. Drucker, Scanner, Telefone, etc. Am Besten in jeweils ein eigenes VLAN. Weiterhin brauchst Du einen Port, an dem Du Rechner in die Domäne aufnehmen kannst, wenn Du sie neu aufsetzt. Denk an die Ausfallsicherheit der RADIUS-Server. Wenn der nicht geht, geht sonst gar nix mehr. Das ganze sollte sauber durchdacht und geplant werden vor der Umsetzung. Sonst schießt Du Dir ganz schnell und einfach ins Knie ;-) bearbeitet 18. März 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.