dhcp auf bekannte clients beschränken?

[guybrush 19]

hi,

 

ich hab mal wieder eine frage:

ist es möglich, den 2k3-dhcpservice dahingehend zu konfigurieren, dass nur bekannte clients eine adresse zugewiesen bekommen?

auch wenn ich nun z.b.: 5 clients habe, eine range von 5 adressen mit mac-mapping, bekommen doch andere clients, wenn nicht alle 5 "bekannten" computer online sind, adressen aus dem noch verfügbaren pool, oder?

 

mfg

hannes

[XP-Fan 220]

Du kannst einen MAC Filter einbauen bzw MAC bezogen zuweisen.

[Dr.Melzer 191]

 

auch wenn ich nun z.b.: 5 clients habe, eine range von 5 adressen mit mac-mapping, bekommen doch andere clients, wenn nicht alle 5 "bekannten" computer online sind, adressen aus dem noch verfügbaren pool, oder?

 

Nicht wenn du mit Reservierungen arbeitest. AFAIk kannst du IP Adressen für bestimmte MAC Adressen reservieren. Dann bekommen nur die MAC Adressen die reservierten IPs. Macht z.B. Sinn wenn du Netzwerkdrucker oder Server mit DHCP versorgst, denn es wäre schlecht wenn die immer andere IPs hätten.

[Gadget 37]

Hi roat,

 

für zusätzliche Sicherheit neben der Reservierung am DHCP könnte imho, auch ein IPsec-Policy definiert werden:

 

Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien

http://www.microsoft.com/germany/technet/datenbank/articles/900340.mspx

 

LG Gadget

[guybrush 19]

also wenn eine ip auf eine mac-adresse gelockt ist, wird sie NICHT vergeben, wenn ein anderer client eine ip-adresse verlangt?

sehe ich das richtig?

[XP-Fan 220]

Hallo,

bezugnehmend auf deine Eingangsfrage : " dass nur bekannte clients "

 

Ja das wäre ein Weg, denn wenn du alle zur Verfügungstehenden DCHP Adressen zuweist, bleibt nichts mehr für Fremde übrig oder ?

 

Von wieviel Clients sprechen wir hier, denn das ist Hand zu Fuß Arbeit ( jedenfalls soweit ich weiß )

 

Ansonsten kannst du ja mal über den Vorschlag von Gadget nachdenken.

[IThome 10]

also wenn eine ip auf eine mac-adresse gelockt ist, wird sie NICHT vergeben, wenn ein anderer client eine ip-adresse verlangt?

sehe ich das richtig?

Das stimmt so, allerdings kann man MAC-Adressen fälschen, so dass theoretisch schon ein anderer PC die reservierte Adresse bekommen kann (ein Sicherheitsfeature ist es also nicht) .

[guybrush 19]

naja, in meinem konkreten fall sprechen wir von 6 clients, also durchaus alles von hand machbar. mir ging es da allerdings nicht (nur) um meinen jetzigen kunden, sondern eher ums prinzip, zu wissen, ob dem so ist oder nicht.

 

stimmt, mac-adressen kann man fälschen, aber nur, wenn man weiss, welche adresse vorgegaukelt werden muss. auch das kann herausgefunden werden, ist mir schon klar, aber da ist dann schon erheblicher aufwand nötig, und nicht jeder tut sich das an/ist dessen mächtig.

 

also bin ich mit der lösung schon zufrieden (zumindest auf dhcp-ebene).

dann sag ich mal danke, dass ihr meine meinung untermauert habt. ich liebe es, recht zu haben ;-)

[IThome 10]

Stimmt schon, man muss es wollen. Und wenn man es will, ist es kein Problem ... :)

[blub 115]

Hallo,

wobei wohl niemand nur deswegen eine MAC-Adresse fälscht, um an eine DHCP-Lease zu kommen ;)

 

Wir haben in unseren RechenzentrenScopes den gesamten Bereich von der dynamischen Registrierung ausgeschlossen (Exclusion Range) und jede Adresse mit MAC fest reserviert. Klappt einwandfrei!

 

cu

blub

[IThome 10]

Hehe, ne, das wohl eher nicht, wenn sowas passiert, dann passiert danach meist noch ein bisschen mehr ... :D

[Daim 12]

Also um DHCP für Sicherheit her zu nehmen, halte ich für falsch.

Wenn, dann doch bitte so wie Kohn geschrieben hat - mit IPSec, aber nicht das DHCP so umbiegen damit bloß IP-Adressen an 6 Clients fest vergeben werden - die Frage ist doch, was steckt dahinter bzw. was will man erreichen ?

Möchte man damit Sicherheit im Netz erreichen ?

 

Da frage ich doch weiter, bei einem Büro mit 6 Mann/Frau, steht der Server sicherlich abgeschlossen in einem Raum wo niemand ausser einem Betreuer den Zutritt hat ?

Ich vermute nicht, dieser wird "mitten" im Raum stehen.

Wenn man von Sicherheit spricht, sollte man wo anders anfangen als im/beim DHCP.

 

... just my 2 cent ;)

[guybrush 19]

naja, ich will das ja nicht als sicherheitstechnischer hammer "anpreisen", es ist vielmehr ein teil eines ganzen...

oder sagen wir halt mal so: schaden tut es sicherlich nicht, über den nutzen lässt sich streiten.

[lefg 276]

Hallo,

 

ich sehe das so: DHCP dient zum Einsparen von Konfigurationsarbeit an den Clients. So ist es mir damals zum Erstenmal begegnet.

 

Es gab eine Ausschreibung und Angebote. Letztendlich gewann das Angebot mit DHCP. Der Projektleiter begründete das mit geringeren Zeitaufwand und Kosten. Er hätte wohl auch ein Skript/Listing für Reservierungen erstellen können, wozu aber? Für ein Feld-, Wald- und Wiesennetzwerk in der Provinz?

 

Gruß

 

Edgar