DHCP nur für ADS Clients
Ist es möglich dem DHCP Server beizubringen, dass er nur ein IP Release an ADS Clients vergibt?
Das Problem ist, dass immer wieder Kunden auf die Idee kommen ihr mitgebrachtes Notebook in unserem Seminarraum an unser Netzwerk zu stöpseln.
Das Kabel bringen sie auch noch gleich mit und durch den DHCP Server haben sie dann auch gleich eine IP.
Da ich den DHCP Server aber brauche und die Netzwerkdosen im Seminarraum auch gepatcht sein müssen fehlt mir gerade eine Idee dem Problem zu begegnen.
Jemand eine Idee?
Das Problem ist, dass immer wieder Kunden auf die Idee kommen ihr mitgebrachtes Notebook in unserem Seminarraum an unser Netzwerk zu stöpseln.
Das Kabel bringen sie auch noch gleich mit und durch den DHCP Server haben sie dann auch gleich eine IP.
Da ich den DHCP Server aber brauche und die Netzwerkdosen im Seminarraum auch gepatcht sein müssen fehlt mir gerade eine Idee dem Problem zu begegnen.
Jemand eine Idee?
Please also mark the comments that contributed to the solution of the article
Content-Key: 51478
Url: https://administrator.de/contentid/51478
Printed on: April 26, 2024 at 03:04 o'clock
3 Comments
Latest comment
Ich wüsste nicht, daß das geht.
Und eine statische IP zu konfigurieren geht so schnell, daß es auch keinen Unterschied macht ob DHCP oder nicht.
Es gibt auf Portebene ein paar Sicherungsfeatures, wenn Dein Switch sowas unterstützt, aber das ist sehr aufwendig zu konfigurieren.
So könnte man auf den Switchen die erlaubten MAC Adressen hinterlegen (kann man auch umgehen) oder gleich 801.1x Authentisierung fahren, mit Radius Server usw.
Das ist aber eventuell überdimensioniert.
Abschließbare Patchdosen wären auch noch eine Idee, ich hatte sowas mal gesehen, weiß aber nicht mehr wo.
Und eine statische IP zu konfigurieren geht so schnell, daß es auch keinen Unterschied macht ob DHCP oder nicht.
Es gibt auf Portebene ein paar Sicherungsfeatures, wenn Dein Switch sowas unterstützt, aber das ist sehr aufwendig zu konfigurieren.
So könnte man auf den Switchen die erlaubten MAC Adressen hinterlegen (kann man auch umgehen) oder gleich 801.1x Authentisierung fahren, mit Radius Server usw.
Das ist aber eventuell überdimensioniert.
Abschließbare Patchdosen wären auch noch eine Idee, ich hatte sowas mal gesehen, weiß aber nicht mehr wo.
Sowas denke ich bei vielen Problemen.
Aber da keine DHCP Adresse zu bekommen keinen ernsthaften Hacker auch nur beeinträchtigt, wozu das ganze?
Du könntest ja periodisch die DHCP Leases auslesen, die MAC-Adressen bzw. Namen gegen das AD oder eine sonstige Whitelist prüfen und bei denen, bei denen es nicht passt, irgendwas machan. Alarm geben, DOS Attacke machen oder sonstwas.
Aber da keine DHCP Adresse zu bekommen keinen ernsthaften Hacker auch nur beeinträchtigt, wozu das ganze?
Du könntest ja periodisch die DHCP Leases auslesen, die MAC-Adressen bzw. Namen gegen das AD oder eine sonstige Whitelist prüfen und bei denen, bei denen es nicht passt, irgendwas machan. Alarm geben, DOS Attacke machen oder sonstwas.