9
Blockieren von Rogue DHCP Servern
Hallo in die Runde;
ich wollte einmal fragen inwieweit ihr sicherstellt dass eure Clients von den korrekten DHCP Servern IPs beziehen und nicht z.B. von einem Router den ein ambitionierter Mitarbeiter an eine LAN-Buchse steckt..
Gute Multi-Layer Switche haben da ja Möglichkeiten Rogue DCHPs zu blockieren, aber die habe ich leider nicht an jedem Standort.
Gibt es denn da keine Möglichkeiten dies über Boardmitteln, z.B. eine GPO für die Windows Firewall zu realisieren?
Ich wäre über Informationen dankbar falls so etwas schon jemand produktiv im Einsatz haben sollte.
Danke,
Thomas
ich wollte einmal fragen inwieweit ihr sicherstellt dass eure Clients von den korrekten DHCP Servern IPs beziehen und nicht z.B. von einem Router den ein ambitionierter Mitarbeiter an eine LAN-Buchse steckt..
Gute Multi-Layer Switche haben da ja Möglichkeiten Rogue DCHPs zu blockieren, aber die habe ich leider nicht an jedem Standort.
Gibt es denn da keine Möglichkeiten dies über Boardmitteln, z.B. eine GPO für die Windows Firewall zu realisieren?
Ich wäre über Informationen dankbar falls so etwas schon jemand produktiv im Einsatz haben sollte.
Danke,
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 417063
Url: https://administrator.de/contentid/417063
Printed on: April 27, 2024 at 11:04 o'clock
9 Comments
Latest comment
Zitat von @zensbert:
Gute Multi-Layer Switche haben da ja Möglichkeiten Rogue DCHPs zu blockieren, aber die habe ich leider nicht an jedem Standort.
Gute Multi-Layer Switche haben da ja Möglichkeiten Rogue DCHPs zu blockieren, aber die habe ich leider nicht an jedem Standort.
Gute Multilayer-Switche ist übertrieben, DHCP-Snooping beherrscht jeder kleine Layer-2-Switch, der in irgendeiner Form eine GUI oder ähnliches besitzt.
Da du als versierter Admin natürlich jeden noch so kleinen Switch im Monitoring erfasst hast, sollte es kein Problem sein, DHCP-Snooping auszurollen ;)
Gibt es denn da keine Möglichkeiten dies über Boardmitteln, z.B. eine GPO für die Windows Firewall zu realisieren?
Mit dem Gedanken bist du 1-2 OSI-Layer zu weit oben.
Gute Multi-Layer Switche haben da ja Möglichkeiten Rogue DCHPs zu blockieren, aber die habe ich leider nicht an jedem Standort.
Lach 
. Also wenn Ihr so extrem billig in der Bucht kauft seit ihr selbst schuld. DHCP Snooping bietet so gut wie jeder managed Switch.
dass eure Clients von den korrekten DHCP Servern IPs beziehen und nicht z.B. von einem Router den ein ambitionierter Mitarbeiter an eine LAN-Buchse steckt..
Das ist kinderleicht und sollte man als Netzwerk Admin eigentlich wissen !Einfach DHCP Snooping auf deinem Switch aktivieren und fertig ist der Lack ! Ist auf jedem Switch im Handumdrehen eingerichtet und supporten heutzutage auch die allermeisten der billigen Websmart Switches.
Damit hast du nie wieder wilde DHCPs in deinem Netzwerk.
http://www.nwlab.net/know-how/Cisco/dhcp-snooping.html
Sonst kannst du das nur über DHCP Option 82 lösen.
Netzwerk Management Server mit Raspberry Pi
Ah, okay; ich frage deshalb weil ich in nem englischen Forum was gelesen habe dass das wohl einer über die Windows Firewall limitiert hat. Kann ja auch Bullsh** gewesen sein, aber ich dachte ich frage einmal nach ob es auch alternative Ansätze hierzu gibt bzw. jemand da sich anderweitig beholfen hat.
Wenn der einzig sinnvolle Ansatzpunkt der/die Switche sind dann muss man das eben beim Einkauf berücksichtigen.
Trotzdem Danke für die Rückmeldung.
Wenn der einzig sinnvolle Ansatzpunkt der/die Switche sind dann muss man das eben beim Einkauf berücksichtigen.
Trotzdem Danke für die Rückmeldung.
Eine Firewall verbindet oder filtert nur zwei oder mehrere Netze. Innerhalb eines dieser Netze kann ein DHCP herum wüten, wie er lustig ist.
Du redest von einer Firewall-Appliance, ich spreche von der Windows Firewall.. hätte ja ggf. sein können das man einen Rechner impfen kann dass er nur einen bestimmten DHCP als gültig anerkennt. Aber auch ein Nein ist eine Antwort.
Wie sollte das auch gehen ,denn DHCP basiert auf einem Broadcasting Verfahren mit All Net Broadcast IP Adressen.
Wie sollte man da filtern ?
DHCP Snooping ist die einfache Lösung zu diesem Thema.
Ist mit ein paar Mausklicks oder CLI Kommandos im Switch erledigt und schon hat man absolute Sicherheit das niemand der Kollegen einen Blödmarkt Router oder AP ins Firmennetz hängt und sich sein Privat WLAN bastelt
Was als Workaround noch gehen würde wäre einen einfache 802.1x Port Security mit Mac Authentication:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Auch damit bekommt man das in den Griff und das feature supporten auch die meisten der Billigswitches.
Wie sollte man da filtern ?
DHCP Snooping ist die einfache Lösung zu diesem Thema.
Ist mit ein paar Mausklicks oder CLI Kommandos im Switch erledigt und schon hat man absolute Sicherheit das niemand der Kollegen einen Blödmarkt Router oder AP ins Firmennetz hängt und sich sein Privat WLAN bastelt
Was als Workaround noch gehen würde wäre einen einfache 802.1x Port Security mit Mac Authentication:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Auch damit bekommt man das in den Griff und das feature supporten auch die meisten der Billigswitches.
Das was ich dazu gelesen hatte (finde die Seite nicht mehr in meinem Verlauf) nannte die Möglichkeit nur signierte DHCP Pakete anzuerkennen. Hatte mir dann aber auch keine Gedanken darüber gemacht in welchen OSI-Layern dass dann abläuft, schließt sich ja dementsprechend aus.
Aber danke für die Tipps!