ip-vergabe

[aldisachen 11]

hallo zusammen,

 

ich versuche gerade beim w2k srv heruaszubekommen,

wie ich eine bestimmte ip-adresse an eine mac-adresse

einer bestimmten karte zuweisen kann. leider werde ich nicht so richtig fündig. kann mir jemand helfen in welchen einstellungen ich wie vorgehen muss ? :(

[grizzly999 11]

Du meinst im DHCP? Dort in dem betreffenden Bereich unter Reservierungen->Neue Reservierung, und dann die entsprechenden Daten eingeben.

 

grizzly999

[aldisachen 11]

hallo grizzly999,

 

danke für die schnelle antwort. ich dachte schon im dhcp.

ich möchte es so einstellen, das evtl. fremde ins netz kommende pc erst einmal keine ip bekommen, sondern das sie bei dem server eingetragen werden. verstehst du wie ich das meine?

halt so, das ein nicht dahergelaufener kollege bzw. mitarbeiter mit nem laptop kommt, sich ne ip zieht und dann frei das machen kann, was er möchte. also quasi erst die "erlaubnis" bekommt.

[grizzly999 11]

Ja, das geht über die Reservierungen im DHCP-Bereich. Allerdings muss man darauf achten, dass keine IP-Adresse im Bereich ohne Reservierung ist, sonst gibt der DHCP doch eine raus.

Man bedenke aber dieses: das hilft das nichts dagegen, dass sich jemand eine freie feste IP-Adresse aus dem Bereich des Netzwerks gibt, so er den Bereich kennt (ist das kleinste Problem, ihn kennenzulernen).

Und da liegt der Hase im Pfeffer, bzw. die Chance des Admins: Man muss das System auf Systemebene dicht machen, dann ist auch egal, wer eine IP aus meinem Netz hat.

 

Eine weitere Möglichkeit gibt es noch, aber für die müssen die Voraussetzungen geschaffen sein, und die sehr aufwendig zu admnistrieren: Es gibt Switche, bei denen man über die Verwaltungskonsole MAC-Adressen zu Ports zuordnen kann, und alle anderen MAC-Adressen spielen nicht mit in diesem Netz. Aber dafür braucht man Switche, die das können.

 

 

grizzly999

[blub 115]

Zum Verhindern, dass fremde Clients sich ins Netz hängen, ist IPSEC-AH gedacht und nicht DHCP

 

cu

blub

[aldisachen 11]

hi blub,

 

mit ipsec-ah habe noch nie gearbeitet. habe mal was gehört, aber noch nie angewendet

[aldisachen 11]

@grizzly999:

 

danke für die hinweise. der 2. von dir erwähnt punkt ist doch etwas zu aufwendig. die 1. variante find ich schon ok.

[grizzly999 11]

IPSecurity-Richtlinien, die man auch bei Windows ab 2000 aufwärts auf den Computern einrichten kann. Können so konfiguriert werden, dass der Verkehr nur verschlüsselt übers Netz geht, oder verschlüsselt und signiert (Default), oder nur signiert (das meinte blub). Dabei wird zusätzlich ein Authentication Header (AH) an die Pakete gehängt, womit die Pakete fälschungssicher sind, und andererseits nur authentifizierte Rechner mitspielen dürfen, wenn alle Rechner IPsec-Richtlinien implementiert haben und die Richtlinien entsprechend konfiguriert wurden. Damit wäre auch jeder Kommunikationsversuch eines fremden Rechners mit Rechnern des verwalteten Netzes aussen vor.

Kleiner Nachteil: wie oben beschrieben gibt es bei Microsoft dieses Feature erst ab 2000. NT 4.0/W9x etc. haben die Möglichkeit nicht, auch nicht nachrüstbar (nur für VPN-Verbindungen).

 

grizzly999