Jump to content

DHCP kontrollierte Verteilung und Ausfallsicherheit


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

in unserem internen VLAN sind Server w2k,2003,NW6.5,Linux,Solaris und Clients Win9x..XP per IP-classB und teilweise IPX vernetzt (ges. ca.350Geräte). Das Internet ist über einen Router zu erreichen. Unter anderem gibt es eine Domäne mit 2x W2k(DC) und 1x Win2003(M) Server. Auf den DC's läuft DHCP,DNS,WINS. Die meisten Clients haben feste IP's aus benanntem ClassB-Netz. Alle anderen Clients beziehen Konfigurationen vom DHCP. Die Netzanbindung erfolgt mittels cisco switches mit ethernet100 Ports. Beide DHCP-Server stehen zwecks Ausfallsicherheit im gleichen subnetz mit unterschiedlichen Bereichen. Um den ungewollten Anschluss zB. virenverseuchter Laptops in Zukunft zu verhindern aber trotzdem registrierten Studenten und Gästen eine Kommunikation zu ermöglichen, würde ich nun bekannte MAC's in Reservierungslisten eintragen und die Bereiche auf jene beschränken müssen. Diese Prozedur muss dann wohl je DHCP Server getätigt werden. Beim Ausscheiden dann nochmals.

Frage

1. Gibt es eine elegantere Lösung?

2. Ist Windows DHCP der richtige Weg oder Diskusionen pro NovellDHCP nachzugeben?

3. Wie kann man die Performanceeinbußen wegen langer Listen eingrenzen oder sind sie zu vernachlässigen?

4. Gibt es eine Möglichkeit die Zuweisungen mittels Passwortabfrage zu regulieren?

 

schon mal danke im voraus

taubi

Link zu diesem Kommentar

Hy

 

ich würde bis auf Drucker und Server alles andere dynamisch per DCHP regeln. (Einfacher Administrierbar) Novell würde ich von Board schmeißen kenn genug die höchset Novell Zertifizierungen haben und gesagt haben Novell hat den Zug verpasst.

 

Lange Listen gibts nicht und die Zuweisung könntest du zwar nicht per Passwort aber per MAC steuern, wozu ? (hoher Aufwand )

 

Gruß

 

CoolAce :cool:

Link zu diesem Kommentar

hallo..

 

also deine Grundidee ist auf jedenfall gut.. jedoch halte ich den Aufwand für zu gigantisch.

 

Ich kenne deine Netzstrucktur nicht genug um hier jetzt einen besseren Vorschlag machen zu können. Jedoch würde ich mir überlegen die von dir gewünschte Sicherheit evtl auf anderen Wegen herzustellen.

 

Grundsätzlich würden meine Ideen richtung Firewalls oder IDS etc gehen.

Vielleicht könnte die Umarbeitung der Netzstrucktur auch helfen.

 

Hierzu mal ein paar Fragen die Dir vielleicht helfen:

1. Gibt es ausser deinen PC´s und die Gastzugänge noch weitere "Gruppen" von Usern.

2. Gibt es Systeme die man in eigene Netze setzen kann wo nur einzelne Gruppen zugriff

haben.

3. Gibt es sehr sensibele Bereiche? Hier könnte ein Macfilter vor dem Server helfen. etc.

 

Insgesamt sollte man auch nicht vergessen das eine MAC Adresse auch geändert werden kann. Die Sicherheit ist nicht unbedingt dadurch gegeben.

MAC Adressen verschaffen etwas Sicherheit. Sind aber auch leicht zu attakieren.

 

Ich hoffe ich konnte Dir etwas helfen.

 

MFG

a.jakob

Link zu diesem Kommentar

Hi CoolAce , hi A.Jakob

 

alle Rechner mit DHCP verwalten hört sich gut an, kann ich aber nur durchsetzen, wenn ich mit einer überzeugenden Lösung aufwarten kann.

Für "Netware rausschmeissen" gilt das gleiche. Nochimmer ist die Verwaltung der Dateisystemrechte und die NDS einfacher zu bedienen und schneller wirksam. Zum Beispiel kann ich für einen Benutzer per Knopfdruck alle vergebenen Dateirechte im gesamten Baum suchen und listen lassen. Gleiches gilt für die effektiven Rechte. Eine Änderung wird sofort wirksam. Deshalb wurde vor kurzem für die Dateiserver mit Netware 4 ein Upgrade auf Netware 6.5 entschieden.

Nichts desdo trotz möchte ich hier mit guten MS Lösungen überzeugen zB. DHCP, DNS...

 

Eine Firewall gibts natürlich zwischen Intranet und Internet. Ich beziehe mich auf das Intranet indem fast ALLE PC's und Laptop's folgende Gemeinsamkeiten haben :

-nichtöffentliche IP Adresse mit Maske 16Bit

-selben Gateway zum Internet

-Zugriff mittels Novellclient über TCP/IP auf 2 oben erwähnte Dateiserver

 

Der sensible Bereich ist pysisch getrennt und hat damit auch keinen Intranet und Internetzugang; soll auch hier nicht betrachtet werden.

Die Änderung einer MAC sehe ich als mutwilligen manuellen Systemeingriff und möchte diesen aus der Aufgabenstellung erstmal ausklammern.

 

Mac-Filter am Server(DHCP) - was ist damit gemeint ?

 

würde mich auf weitere Vorschläge freuen

taubi

Link zu diesem Kommentar
  • 2 Monate später...

So sieht nun unsere Lösung aus:

Dhcp1 und 2 mit identischen Bereichen

Bereich auf Dhcp2 von der Verteilung ausgeschlossen

trotzdem auf beiden Dhcp identische Registrierungen je MAC manuell pflegen

 

Der client findet bei Anfrage die Reservierung auf einem der Server und erhält die Lease. Fällt einer aus , reicht der zweite DHCP für Leasebestätigung laut Reservierung aus. Eine Zuständigkeitsüberschneidung und Datenbankfehler gibt es wegen der Bereichsausschließung auf Dhcp2 nicht.

 

Demnächst implementiert:

Um den manuellen Aufwand für Tagesgäste klein zu halten wird ein WLAN hinter einem Router örtlich und zeitlich begrenzt aktiviert, welches Dhcp ohne Registrierung zulassen wird. Die erlaubten Verbindungen werden dort beschränkt werden.

 

Damit ist das Netz kontrollierbarer geworden. Die absolute Sicherheit könnte man über inteligente Switche und Radiusserver erreichen. Manueller Aufwand bleibt jedoch gleich groß.

 

ciao taubi

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...