DHCP & fremde Laptops

[bronto665 10]

Hallo!

 

Ich habe eine Windows 2003 Domäne mit ausschließlich XP Clients. Ab unnd an kommen externe Besucher mit ihren eigenen Laptops in unser Netzwerk und bekommen natürlich auch eine DHCP Adresse. Ich habe 2 Intenetgateways, die vollkommen getrennt sind. Einer wird kaum benutzt.

 

Kann ich meinem DHCP Server irgendwie sagen, dass er den Clients aus der Domäne einen bestimmten DHCP Adressbereich gibt? Den anderen (Laptops) soll er eine anderes Netz / Bereich geben. Aus Sicherheitsgründen.

 

Ich dachte schon daran den Clients über GP einfach eine ClassID zuzuweisen. Allerdings bringen die ClassIDs leider nur in einem Adressbereich etwas: So könnte ich den Laptops einen anderen DNS oder gateway geben - aber das reicht ja nicht aus. Ich möchte die Laptops gern aus meinem Netzbereich ganz raus haben.

 

Vielen Dank für Ideen / Lösungen

 

Gruß,

Bronto

[Tobi72 10]

Hallo,

 

das ist kein Problem. Richte einfach eine IP-Adressreservierung ein. Du brauchst dazu die MAC-Adresse der Netzwerkkarte des Laptops und schon kann es losgehen.

[carlito 10]

Kann ich meinem DHCP Server irgendwie sagen, dass er den Clients aus der Domäne einen bestimmten DHCP Adressbereich gibt? Den anderen (Laptops) soll er eine anderes Netz / Bereich geben. Aus Sicherheitsgründen.

 

Hm. Vielleicht wenn der DHCP Server zwei NICs hat, die an unterschiedliche Switches angeschlossen sind.

 

Ich möchte die Laptops gern aus meinem Netzbereich ganz raus haben.

 

AFAIK geht das so nicht. Vielleicht mit 802.1x Authentifizierung, sofern die Switches das können. Damit habe ich mich allerdings noch nicht beschäftigt.

[lefg 276]

Hallo Bronto, von mir ein Willkommen am Board. :)

 

 

Wo schliessen diese Besucher ihre Rechner denn an? Sie werden doch wohl nicht einen angeschlossenen Rechner abklemmen und dessen Anschluss nutzen.

 

Oder doch?

 

Wer sind denn diese Besucher, Firmenangehörige oder Fremde?

 

Gruß

 

Edgar

[carlito 10]

Richte einfach eine IP-Adressreservierung ein. Du brauchst dazu die MAC-Adresse der Netzwerkkarte des Laptops und schon kann es losgehen.

 

Die MAC-Adressen von externen Besuchern als DHCP-Reservierung eintragen? Sorry, aber das klingt ziemlich unpraktisch.

[substyle 20]

Das ist nichtnur unpraktisch sondern nützt auch wenig.

Sicherheitstechnisch kann man eingeschleppte "Fremdhardware" nur mit IPSec und

MAC Filter an den Swtches bekämpfen.

 

subby

[lefg 276]

Die MAC-Adressen von externen Besuchern als DHCP-Reservierung eintragen? Sorry, aber das klingt ziemlich unpraktisch.

Das meine ich auch.

 

Falls ein Fremder ohne Kenntnis der Administration ein Gerät an das physikalische Netz klemmt, was dann?

 

Muss die (erste) Sperre nicht schon am Port des (konfigurierbaren) Switches ansetzen?

 

Hausangehörige dürfen(können) nur ihnen zugewiesene Anschlüsse benutzen, Frende nur bestimmte andere.

 

Das Nichteinhalten der Vorschriften muss Alarm auslösen.

[Gulp 265]

Das meine ich auch.

 

Falls ein Fremder ohne Kenntnis der Administration ein Gerät an das physikalische Netz klemmt, was dann?

 

Muss die (erste) Sperre nicht schon am Port des (konfigurierbaren) Switches ansetzen?

 

Hausangehörige dürfen(können) nur ihnen zugewiesene Anschlüsse benutzen, Frende nur bestimmte andere.

 

Das Nichteinhalten der Vorschriften muss Alarm auslösen.

 

Da stimme ich Edgar voll und ganz zu.

 

Die portbasierte Filterung auf Switch Ebene ist für so etwas ideal. Da lassen sich ganze VLAN's für die Gäste abbilden.

 

Grüsse

 

Gulp

[bronto665 10]

Danke für die Antworten @all!

 

Bisher haben wir es über V-LAN auf den Switches gelöst. Nur ist das für unsere Zwecke zu unflexibel.

 

Die Netzwerkdosen im ganzen Haus sind gepatcht und an freie Dosen werden des öfteren Laptops angesteckt; private Geräte.

Da wir nicht vorhersehen können, welche MAC der Laptop hat ( ;) ) können wir darüber auch nichts lösen.

 

Eigentlich ne ganz einfache Geschichte: Es gibt ein großes, geswitchtes Netz an dem alle Domönencomputer hängen und einen DHCP server der diese mit Adressen bestückt.

Jetzt muss eine Lösung gefunden werden für die externen odert privaten Laptops. Diese sollen einfach in ein eigenes Netz, egal wo sie sich anklemmen. IMO wäre eine Clientseiteige Lösung das bestmögliche: Der Client bekommt irgendein Attribut, das dem DHCP sagt: Gib ihm eine IP aus der Range für unser Netzwerk. Da der Laptop dieses Attribut nicht besitzt kommt er in die andere Range.

Vll lieg ich mit der Idee auch total falsch :D

 

Jedenfalls findet man das Szenario doch ständig vor. Ich wundere mich irgendiwe, das es dafür keine "einfache" Lösung gibt °^

 

Vielen Dank für die Antworten!!!

 

Gruß

Bronto

[lefg 276]

.... IMO wäre eine Clientseiteige Lösung das bestmögliche: Der Client bekommt irgendein Attribut, das dem DHCP sagt: Gib ihm eine IP aus der Range für unser Netzwerk. Da der Laptop dieses Attribut nicht besitzt kommt er in die andere Range.

Und wie soll das bitte geschehen?

 

Ein Attribut eines Clients ist seine MAC.

[nouseforaname 10]

vielleicht mit client zertifikaten über einen radius server, das wäre das attribut das du den clients mitgeben kannst aber ob es moeglich ist diese dann in ein anderes Netz zu schieben wenn es nicht vorhanden ist kann ich dir leider nicht sagen

 

mfg

kai

[Gulp 265]

Danke für die Antworten @all!

 

... snip

 

Da wir nicht vorhersehen können, welche MAC der Laptop hat ( ;) ) können wir darüber auch nichts lösen.

 

.... snip

 

Jedenfalls findet man das Szenario doch ständig vor. Ich wundere mich irgendiwe, das es dafür keine "einfache" Lösung gibt °^

 

Vielen Dank für die Antworten!!!

 

Gruß

Bronto

 

Wieso solltest Du die MAC's der Laptops/privaten Geräte kennen müssen? Du kennst doch die MAC's der Firmengeräte, das sollte reichen. Alles was nicht zur Gruppe FIRMA gehört kommt in VLAN Gäste und bekommt ein anderes Subnetz, was ist daran kompliziert?

 

Grüsse

 

Gulp

[lupo45 10]

Alles was nicht zur Gruppe FIRMA gehört kommt in VLAN Gäste und bekommt ein anderes Subnetz, was ist daran kompliziert?

 

vermutlich die Masse der bereits vorhandenen Geräte, also MAC-Adressen erstmal zu katalogisieren, da man das natürlich am besten auf Managed-Switch-Ebene und nicht über die DHCP-Dienste-Konfig auf'm Server macht...

:D

[Gulp 265]

vermutlich die Masse der bereits vorhandenen Geräte, also MAC-Adressen erstmal zu katalogisieren, da man das natürlich am besten auf Managed-Switch-Ebene und nicht über die DHCP-Dienste-Konfig auf'm Server macht...

:D

 

Hehe, ein Schelm wer Böses denkt ....

 

Wenn ich in einem vorigen Post von portbasierter Security spreche und er VLAN auf dem Switch hat, gehe ich automatisch von einem managebarem Switch aus ..... :D

 

Über DHCP lässt sich sowas zwar ansatzweise Lösen, ... aber .... :shock: :suspect:

 

Grüsse

 

Gulp

[carlito 10]

Sicherheitstechnisch kann man eingeschleppte "Fremdhardware" nur mit IPSec und MAC Filter an den Swtches bekämpfen.

 

Wobei MAC-Adressen sich leicht fälschen lassen. Besser wäre 802.1x Authentifizierung mit Zertifikaten.