Dhcp

[ShadowByte 10]

Hoi @ all ! :)

 

Folgendes Zenario :

 

Ein user bringt einen firmenfremden (privaten) Rechner (Laptop) mit in die Firma, stellt diesen auf dhcp und verbindet ihn mit dem Firmennetzwerk. Er wird unweigerlich eine PI-Adresse vom dhcp bekommen ...

 

Gibt es eine Lösung, mit der man in diesem Punkt entgegensteuern kann ? (Beispielsweise eine gleiche Passwortabfrage einer Berechtigten Person wie bei der Integration eines clients in die Domäne) Mir fällt nichts ein und gefunden habe ich diesbezüglich auch nichts.

 

Danke für eure Beiträge ;)

 

Gruß, ShadowByte.

[IThome 10]

Schau mal hier (ist nur ein Beispiel)

http://www.ciscopress.com/articles/article.asp?p=29600&seqNum=3&rl=1

[ShadowByte 10]

Hoi IThome ! :)

 

Danke für deine schnelle Antwort (wieder einmal ... und irgentwie hatte ich gehofft das Du das tun würdest :D ) !

 

Eine tolle Sache die sich da hinter deinem Link verbirgt ... allerdings kostet das wieder mehr als eine Brezelstange auf dem münchener Oktoberfest und disqualifiziert sich daher leider als Argument gegenüber meinem Chef ... (scheinbar werden die alle irgentwo geklont und mit dem "No budget for everything"-Gen ausgestattet :suspect: ... aber wem erzähle ich das ... ).

 

Ich hatte auf etwas (übersehenes) "hausgemachtes" oder ein einfaches tool gehofft.

Wenn noch jemanden etwas dazu einfällt, ich wär dankbar dafür. Bis dahin werde ich mal eine Brezelstange zum Mittag essen ... bei dem Gehalt (bei dem Chef) ist einfach nicht mehr drin :o .

 

Gruß, ShadowByte.

[ChristianHemker 10]

stellt diesen auf dhcp und verbindet ihn mit dem Firmennetzwerk.

Dort liegt der Löungsansatz: Netzwerdosen unzugänglich machen.

Anosnsten ist DHCP ja genau für diesen Zweck gemacht: Jedem eine IP Adresse geben der eine haben will.

[IThome 10]

Wenn Du im DHCP ausschliesslich mit Reservierungen arbeitest, bekommen auch nur diejenigen eine IP-Adresse, dessen MAC-Adresse passt. Sicher ist das nicht, denn mit nahezu jeder NIC kann man die Default-MAC-Adresse überschreiben und was wäre das für ein Aufwand. Ausserdem hindert es den Client bzw. den Benutzer nicht daran, sich eine feste IP im passenden Bereich selbst zu geben.

[Tomy Tom 10]

Fakt ist wer eine Sicherheit haben will kommt um eine Investition nicht herum, ansonsten empfehle ich Dir die Sache mit der Reservierung die IThome angesprochen hat und würde mir diesen Ansatz vom Chef unterschreiben lassen.

 

Immerhin bis du in erster Linie dann derjenige der bei einem Sicherheitfall angesprochen wird und steckst somit zuerst den Kopf in die Schlinge.

 

Sollte Dein Chef weiterhin auf Sicherheit beharren, würde ich trotz des ganen Schreibkrames mir esauf alle fälle schriflich gegeb lassen das du diese Arbeiten nur unter den folgenden Bedingungen ausgeführt hat, weil Dein Vorgesetzter trotz Hinweise darauf bestanden hat ;)

[ShadowByte 10]

Hoi Christian :)

 

Dort liegt der Löungsansatz: Netzwerdosen unzugänglich machen.

Anosnsten ist DHCP ja genau für diesen Zweck gemacht: Jedem eine IP Adresse geben der eine haben will.

Das ist nicht umsetzbar. In jedem Büro, in dem ein client zur Verfügung stehen soll, wird es unweigerlich auch Netzwerkdosen geben. Ich denke default wird das in 90 % der mittelständischen Unternehmen räumlich so eingerichtet sein. Dies nun durch räumliche Bausmaßnahmen zu ändern ... da muß ich leider wieder auf die Brezelstange verweisen :D . Bitte nicht falsch verstehen, Du hast natürlich Recht, daß dein Vorschlag eine Lösung des Problems darstellt ... für uns nur leider nicht umsetzbar.

 

Wenn Du im DHCP ausschliesslich mit Reservierungen arbeitest, bekommen auch nur diejenigen eine IP-Adresse, dessen MAC-Adresse passt. Sicher ist das nicht, denn mit nahezu jeder NIC kann man die Default-MAC-Adresse überschreiben und was wäre das für ein Aufwand. Ausserdem hindert es den Client bzw. den Benutzer nicht daran, sich eine feste IP im passenden Bereich selbst zu geben.

Wie Du schon erwähnst ein RIESENAUFWAND und letzlich (ein wenig user-know-how vorrausgesetzt) auch umgehbar und daher ebenfalls nicht praktikabel.

 

Ich danke euch trotzdem für eure Beiträge !

 

Gruß, ShadowByte.

[ChristianHemker 10]

Wie Du schon erwähnst ein RIESENAUFWAND

 

Ich weiß, entweder technisch oder physisch. Beides kostet nunmal Geld, wie jede andere Sicherheitsmaßnahme auch, direkt oder indirekt.

Das muss man dem Geldgeber unmissverständlich klar machen. Von nix kommt nix!

[ShadowByte 10]

@ Tomy Tom :

 

Du willst nicht wirklich den derzeitigen Status des Netzwerkzustandes unseres "Unternehmens" wissen. Und da ich hier (noch) nur der Praktikant bin, werde ich sehr darauf achten, meinen Hals allem, was der Definition "Schlinge" auch nur ansatzweise standhält, so weit wie möglich fernhalten :D .

 

Gruß, ShadowByte.

[FLOST 10]

Mit nicht zugänglich machen ist wohl eher gemeint, dass nicht benötigte Dosen nicht gepatcht werden. ansonsten bleiben dir nur Dinge, die man leicht umgehen kann. Wie z.B. MAC reservierung. Du kannst auch eigene Patchkabel anschaffen, die von der Belegung her nicht Standard sind. allerdings braucht dein angreifer dann nur ein Kabel von einem Rechenr nehmen und hat es damit schon wieder umgangen.

 

alles, was sonnst sicherer macht kostet halt.

[Tomy Tom 10]

@ Tomy Tom :

 

Du willst nicht wirklich den derzeitigen Status des Netzwerkzustandes unseres "Unternehmens" wissen. Und da ich hier (noch) nur der Praktikant bin, werde ich sehr darauf achten, meinen Hals allem, was der Definition "Schlinge" auch nur ansatzweise standhält, so weit wie möglich fernhalten :D .

 

Gruß, ShadowByte.

Ich kann mir den Zustand schon fast vorstellen, deswegen ja mein Tipp bezüglich der schriftlichen Einwilliging des Vorgesetzten ;)