Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DHCP nur für Domänenmitglieder

Frage Microsoft Windows Server

Mitglied: tm2kger

tm2kger (Level 1) - Jetzt verbinden

19.06.2013 um 16:27 Uhr, 3736 Aufrufe, 19 Kommentare

Hallo allerseits,

unser DC läuft mit Windows 2008R2. Dort ist auch unser DHCP Server drauf installiert. DErzeit ist es so, dass jeder Rechner der sich irgendwo in eine Netzwerkdose einstöpselt auch eine IP Adresse mitsamt Netzwerkeinstellunegn zugewiesen bekommt. Leider habe ich keine Kontrolle darüber, wer sich genau dort einstöpselt. Ein paar MA haben ihre privaten Rechner mitgebracht und das Netz genutzt. Böses No-Go! Jetzt muss ich irgendwie einstellen, dass nur Rechner, die auch Domänenmitglieder sind, berechtigt sind per DHCP eine IP zu bekommen. DAs ich das einstellen kann, kenne ich aus einem anderen Unternehmen. Aber ich weiss nicht wo und wie? Wer kann mir helfen? Vielen Dank im voraus!
Mitglied: brammer
19.06.2013 um 16:38 Uhr
Hallo,

entweder über den 2008R2
http://technet.microsoft.com/de-de/library/dd759190.aspx

oder, abhängig von deiner Netzwerkstrukur und deinen Switchen, direkt auf den Switchen Accesslisten die das anstecken unbekannter MAC Adressen mit einem schließen des Ports beantworten....

brammer
Bitte warten ..
Mitglied: shjiin
19.06.2013 um 16:45 Uhr
Es wäre auch denkbar mit dynamischen VLANs zu arbeiten, wenn sich die Rechner im Netz öfters ändern. Wobei ich auch sagen würde, das Switchport Security (MAC Filterung) der erste Schritt wäre.

DHCP ist meiner Meinung nach die schlechteste Variante ein Netz zu "schützen". Die Leute müssen ja nur die IP Einstellungen kennen und haben auf ihren privaten PCs Adminrechte.
Bitte warten ..
Mitglied: Pjordorf
19.06.2013 um 19:35 Uhr
Hallo,

Zitat von tm2kger:
dass jeder Rechner der sich irgendwo in eine Netzwerkdose einstöpselt auch eine IP Adresse mitsamt Netzwerkeinstellunegn zugewiesen bekommt.
Wieso sind unbenutze Ports bei euch überhaupt gepatched? Alleine das ist schon nogo wenn es eben nicht möglich sein soll ungefragt Geräte anzustöpseln.

Leider habe ich keine Kontrolle darüber, wer sich genau dort einstöpselt.
Und wie willst du dann verhindert wer sich anstöpselt wenn du noch nicht einmal Kontrolle darüber hast wer sich anstöpseln darf?

Ein paar MA haben ihre privaten Rechner mitgebracht
Und der Pförtner hat das nicht gesehen wie die mit ihren Towergehäusen durchs Werkstor marschiert sind?

Böses No-Go!
Warum sind unbenutze Ports bei euch gepatched! Ich wunder mich doch auch nicht wenn ich mein Geldbeutel im Pausenraum liegen lasse und der hinterher weg ist, oder?

Jetzt muss ich irgendwie einstellen, dass nur Rechner, die auch Domänenmitglieder sind
Wirklich auf Domänenmitglieder einschränken? Da hilft dir dann wohl nur ein http://de.wikipedia.org/wiki/IEEE_802.1X mit einem Radius. http://technet.microsoft.com/de-de/library/cc755248(v=ws.10).aspx und http://technet.microsoft.com/de-de/library/cc731853.aspx

Vielen Dank im voraus!
Bitte im nachhinein.

Gruß,
Peter
Bitte warten ..
Mitglied: departure69
20.06.2013 um 09:16 Uhr
@Pjordorf:

Bei mir sind auch alle Dosen gepatcht, ich habe bloß den Vorteil, daß ich brave und unbedarfte Nutzer, größtenteils Frauen mittleren Alters, habe, für die Windows=Word ist und der PC eine bessere Schreibmaschine mit E-Mail und Internetzugang.

Trotzdem bietet das ständige ein- und auspatchen von benutzten/unbenutzten Dosen nur eine Scheinsicherheit. Wer mit seinem privat mitgebrachten Notebook unbedingt ins Netz WILL, kriegt er das auch hin, indem er sich an einer Dose ansteckt, wo der andere Mitarbeiter gerade im Urlaub oder krank ist und sein PC deshalb nicht benutzt wird.

Trotzdem ist es natürlich richtig, den Usern solche Dinge so schwer wie möglich zu machen. Unbenutzte Netzwerkanschlüsse sollten natürlich trotzdem ausgepatcht werden (auch, wenn ich's nicht tue).

Daß die User auf ihren privat mitgebrachten Notebooks Admin sind, sollte aber bei einer beherrschten Rechtestruktur auf allen Freigaben im Netzwerk kein Problem machen. Die privaten Geräte sind ja auch keine Domänenmitglieder, sondern befinden sich in irgendeiner Workgroup, Arbeitsgruppe oder "MSHEIMNETZ". Einzig das Internet werden sie dann nutzen können. Und das läßt sich wunderbar mit einem vorgeschalteten Proxyserver erledigen, der dann für Internetzugang zwingend erforderlich ist und in dem konfiguriert werden kann, wer ihn überhaupt nutzen darf (z. B. nur Domänenrechner). Ich würde mir dafür einen "gebrauchten" ISA 2006 (hat noch 3 Jahre Support und funktioniert danach auch noch) bei ebay oder sonstwo schießen und ihn in einer virtuellen Maschine laufen lassen.

Ansonsten nochmals: hat man im gesamten Netz auf allen Freigaben die Rechte in Ordnung, besteht für das interne Netz eigentlich keine Gefahr.


Grüße

von

departure
Bitte warten ..
Mitglied: departure69
20.06.2013 um 09:21 Uhr
@tm2kger:

Ich weiß nicht, wieviele Rechner Du mit dynamischem DHCP versorgst. Ist die Menge für Dich überschaubar und händelbar, stell' DHCP von "dynamisch" auf "reserviert" um, dann kriegen nur noch von Dir authorisierte Rechner anhand ihrer MAC-Adresse eine von Dir festgelegte IP-Adresse zugewiesen. Dann kann kommen wer will, selbst an einer gepatchten Dose kann dann ein privat mitgebrachtes Notebook nicht mehr ins Netz.

Ist halt etwas Arbeit.

Grüße

von

departure
Bitte warten ..
Mitglied: brammer
20.06.2013 um 11:30 Uhr
Hallo,

Wer mit seinem privat mitgebrachten Notebook unbedingt ins Netz WILL, kriegt er das auch hin, indem er sich an einer Dose ansteckt, wo der > andere Mitarbeiter gerade im Urlaub oder krank ist und sein PC deshalb nicht benutzt wird.

Wenn du das bei uns machst, darfst du anschließend zur IT gehen und höflich Fragen ob man eventuell gegen eine Spende für die Kaffekasse den den Port wieder freischalten würde.

Es gibt Switche die akzeptieren nur eine voreingestellte Zahl an MAC Adressen.

brammer
Bitte warten ..
Mitglied: departure69
20.06.2013 um 11:40 Uhr
Hi,

dann sei froh, daß Ihr über solch komfortable und gut ausgerüstete Switche verfügt. Das ist natürlich genial, sowas haben wir hier leider nicht. Habe aber auch nicht den Eindruck, daß der TO neue Switche anschaffen möchte. Wie ich weiter oben schon schrieb, ist die Lösung mit reserviertem DHCP schon ein gangbarer Weg, wenn's nicht zu viele Clients sind (weil ansonsten zu viele MAC- und IP-Adressen von Hand gepflegt werden müssen).

Grüße

departure
Bitte warten ..
Mitglied: Pjordorf
20.06.2013 um 14:32 Uhr
Hallo,

Zitat von departure69:
Habe aber auch nicht den Eindruck, daß der TO neue Switche anschaffen möchte.
Ist doch eh müßig. der TO hat seine Hardware ja noch nicht mal nennen können. Was sollen wir dann darüber Oraceln was die kann?

Wie ich weiter oben schon schrieb, ist die Lösung mit reserviertem DHCP schon ein gangbarer Weg
Eher nicht. Wie willst du verhindern das sich jemand selbst eine IP gibt und dann wieder im Netz ist? Wie willst du sicherstellen das
dass nur Rechner, die auch Domänenmitglieder
eben nur Domänenmitglieder davon betroffen sind? Dem DHCP ist das doch egal zu welcher Fraktion das Gerät gehört. Und wenn ich m ir meine IP selbst gebe doch ebenfalls. Wer schon unerlaubterweise ein Privatrechner ins LAN der Firma hängt, den ist eine nicht zuteilung einer IP durch einen DHCP doch eh völlig wurscht und niemals ein hinderniss.

Bei mir sind auch alle Dosen gepatcht
Und ob jemand ungenutze Ports gepatched hat ist doch in Ordnung solange dort eben kein missbrauch mit getrieben wird. Hat ja keiner in abrede gestellt. Beim TO ist aber das schon der erste Grobe Fehler. Alles andere sind doch nur noch weitere Fehler in der Kette um dann ein Zugriff im Netz von Fremden zu haben.

Ob beim TO auch andere nicht Domänenmitglieder in sein Netz sich tummeln dürfen können wir nur erahnen, aber seine Formulierung lässt eben diesen Schluß doch zu. Ob da DHCP hilft? Also mein Eierphone ist es egal welcher Domäne der DHCP angehört, er bekommt eine, auch wenn ich beim evtl. neukunden nur zu Besuch bin (sofern WLAN etc offen ist etc.).

Und das Patchen / nicht Patchen von ungenutzten Ports (und deiner Scheinsicherheit) ist doch nur ein Teil in der Sicherheitskette um eben ein ungewolltes nutzen zu verhindern. Es hilft aber die ehrlichen Ehrlich zu halten Und was nützt mir einen Anwesenheitsliste wenn diese niemals Kontrolliert wird und daraus evtl. maßnahmen abgeleitet werden? Nichts. Auch ein 802.1X ist nur ein Teil in meinen Maßnahmen "damit du nicht rein kommst".

Aber wenn beim TO es eh nur 5 Rechner im Netz gibt, ist dort die Methode Faust trifft Auge oder Fuss trifft Hintern immer noch die effiktivste und eindrucksvollste

Alles andere erfordert eben entsprechende Technik und deren umsetzung mit entsprechenden Aufwand. Sicherheit Kostet!.

Gruß,
Peter
Bitte warten ..
Mitglied: departure69
20.06.2013 um 14:51 Uhr
Zitat von Pjordorf:
Hallo,

Hallo.

> Zitat von departure69:
> Habe aber auch nicht den Eindruck, daß der TO neue Switche anschaffen möchte.
Ist doch eh müßig. der TO hat seine Hardware ja noch nicht mal nennen können. Was sollen wir dann darüber
Oraceln was die kann?

Der Tenor seines Thread-Textes wirkt halt nicht so, daß er Geld für Hardware ausgeben will, ich kann mich natürlich auch täuschen.


> Wie ich weiter oben schon schrieb, ist die Lösung mit reserviertem DHCP schon ein gangbarer Weg
Eher nicht. Wie willst du verhindern das sich jemand selbst eine IP gibt und dann wieder im Netz ist? Wie willst du sicherstellen
das
>> dass nur Rechner, die auch Domänenmitglieder
eben nur Domänenmitglieder davon betroffen sind? Dem DHCP ist das doch egal zu welcher Fraktion das Gerät
gehört. Und wenn ich m ir meine IP selbst gebe doch ebenfalls. Wer schon unerlaubterweise ein Privatrechner ins LAN der Firma
hängt, den ist eine nicht zuteilung einer IP durch einen DHCP doch eh völlig wurscht und niemals ein hinderniss.

Du schreibst ja selbst, daß jegliche Maßnahme nur Teil der Sicherheitskette sein kann. Ohne DHCP muß der "Bösewicht" zumindest mal die IP-Range des Netzes kennen. Wer zu Hause den auch nur mit dynamischem DHCP vorkonfigurierten Speedport nutzt, kennt sich da schonmal nicht aus - wieder eine kleine, weitere Hürde in der Kette. Zweifelsohne wird's aber auch User geben, die zu erkennen wissen, daß sie sich bspw. im Netz 192.168.2.0 befinden. Daraus eine IP mit hoher Nummer (da ist meist was frei, man kann ja ein paar Stück durchprobieren), fertig. Keine Frage.


> Bei mir sind auch alle Dosen gepatcht
Und ob jemand ungenutze Ports gepatched hat ist doch in Ordnung solange dort eben kein missbrauch mit getrieben wird. Hat ja
keiner in abrede gestellt. Beim TO ist aber das schon der erste Grobe Fehler. Alles andere sind doch nur noch weitere Fehler
in der Kette um dann ein Zugriff im Netz von Fremden zu haben.

O.K.


Ob beim TO auch andere nicht Domänenmitglieder in sein Netz sich tummeln dürfen können wir nur erahnen, aber
seine Formulierung lässt eben diesen Schluß doch zu. Ob da DHCP hilft? Also mein Eierphone ist es egal welcher
Domäne der DHCP angehört, er bekommt eine, auch wenn ich beim evtl. neukunden nur zu Besuch bin (sofern WLAN etc offen
ist etc.).

sh. oben, reserviertes DHCP hilft zumindest dann, wenn der Unberechtigte sich nicht auskennt.

Und das Patchen / nicht Patchen von ungenutzten Ports (und deiner Scheinsicherheit) ist doch nur ein Teil in der
Sicherheitskette um eben ein ungewolltes nutzen zu verhindern. Es hilft aber die ehrlichen Ehrlich zu halten Und was
nützt mir einen Anwesenheitsliste wenn diese niemals Kontrolliert wird und daraus evtl. maßnahmen abgeleitet werden?
Nichts. Auch ein 802.1X ist nur ein Teil in meinen Maßnahmen "damit du nicht rein kommst".

Klar.


Aber wenn beim TO es eh nur 5 Rechner im Netz gibt, ist dort die Methode Faust trifft Auge oder Fuss trifft Hintern immer
noch die effiktivste und eindrucksvollste

Selbst bei nur 5 Usern muß es der Admin erstmal mitkriegen, daß ein Unbefugter auch nur versucht hat, mit privater Hardware ins Netz zu kommen. Danach kann er den Finger heben und "Dududu" rufen.


Alles andere erfordert eben entsprechende Technik und deren umsetzung mit entsprechenden Aufwand. Sicherheit Kostet!.

Logisch. doch irgendwo muß der TO ja mal anfangen. Unbenutzte Dosen auspatchen und auf reserviertes DHCP umstellen kann ein solcher Anfang sein, finde ich.

Gruß,
Peter


Grüße

von

departure
Bitte warten ..
Mitglied: Pjordorf
20.06.2013 um 15:27 Uhr
Hallo,

Zitat von departure69:
Ohne DHCP muß der "Bösewicht" zumindest mal die IP-Range des Netzes kennen
Ein blick auf seinen eigene rechner und er hat alles vor stehen was er braucht.

Wer zu Hause den auch nur mit dynamischem DHCP vorkonfigurierten Speedport nutzt, kennt sich da schonmal nicht aus
Der wird auch nicht sein Rechner von zuhause verboternerweise trotzdem ins Firmennetz pappen.

Daraus eine IP mit hoher Nummer
Welche ist vollkommen wurscht. Hauptsache frei. Und wer es versucht unbernekrt in der Firma zu tun weiß auch wie er IPs findet die belegt sind...

sh. oben, reserviertes DHCP hilft zumindest dann, wenn der Unberechtigte sich nicht auskennt.
Nur dann wenn alle IPs des DHCP reserviert sind. s darf dann keine freie IPs durch den DHCP mehr geben. Dann ist der Einsatz eines DHCP doch mal als fraglich anzusehen. Ist eine IP frei wird diese dem anfragenden Gerät zugeordnet, egal welcher Domäne er angehört. Ein DHCP schert sich nicht um Domänenmitglieder...

Selbst bei nur 5 Usern muß es der Admin erstmal mitkriegen
In diesen kleinen Buden gibt es kein Admin. Das können die sich gar nicht leisten. und der Hobby Admin der das ganze irgendwie mit irgendwas von irgendwoher und "schau, es geht" hat weder Gerät noch Software geschweige denn Zeit seinen Kollegen dort nachzugehen. Da herscht oft noch das Faustrecht. In diesen kleinen Buden fällt sosfort auf wenn HM dort seinen Privatrechner anpappt. Diese kleinen Buden sind also nicht das Problem und ein 802.1X oder entsprechenden Switch wirst du dort niemals antreffen. Einen privaten Rechner im Firmennetz ungemerkt zu nutzen geht nur mit entsprechenden Netzwerkkentnissen, genügend krimineller Energie und wo ich in der Masse untertachen bzw. unbemerkt bleiben kann. Und auch zu deinem
andere Mitarbeiter gerade im Urlaub oder krank ist und sein PC deshalb nicht benutzt wird
muss doch ein Mitarbeiter schon reichlich an krimineller Energie haben um überhaupt auf diesen Gedanken zu kommen bzw. es dann auch tatsächlich zu tun. das passiert nicht aus Versehen. Und dort wo so ein Mitarbeiter in der Masse verschwinden kann ist ein entsprechender switch oder 802.1X doch nun wirklich nicht das Problem

Logisch. doch irgendwo muß der TO ja mal anfangen. Unbenutzte Dosen auspatchen
Ja.

und auf reserviertes DHCP umstellen
Nur bedingt

Gruß,
Peter
Bitte warten ..
Mitglied: departure69
20.06.2013, aktualisiert um 16:13 Uhr
Zitat von Pjordorf:
Hallo,

> Zitat von departure69:
> Ohne DHCP muß der "Bösewicht" zumindest mal die IP-Range des Netzes kennen
Ein blick auf seinen eigene rechner und er hat alles vor stehen was er braucht.


Wenn er es denn versteht. Die Masse der Leute sieht dann, obwohl direkt und deutlich vor der Nase, trotzdem nur Suaheli.

> Wer zu Hause den auch nur mit dynamischem DHCP vorkonfigurierten Speedport nutzt, kennt sich da schonmal nicht aus
Der wird auch nicht sein Rechner von zuhause verboternerweise trotzdem ins Firmennetz pappen.

Na ja, oder eben doch, ich hab' das schon erlebt, die haben mir das sogar erzählt! "Hatt' neulich mal mein Laptop dabei und wollte mal hier ins Internet, aber da ging gar nichts." Proxy sei Dank. Danach gab's mit ernstem Blick einen Hinweis auf die diesbezügliche Dienstvereinbarung zur (verbotenen) Nutzung privater Hardware.


> Daraus eine IP mit hoher Nummer
Welche ist vollkommen wurscht. Hauptsache frei. Und wer es versucht unbernekrt in der Firma zu tun weiß auch wie er IPs
findet die belegt sind...

Righty Right.


> sh. oben, reserviertes DHCP hilft zumindest dann, wenn der Unberechtigte sich nicht auskennt.
Nur dann wenn alle IPs des DHCP reserviert sind. s darf dann keine freie IPs durch den DHCP mehr geben. Dann ist der Einsatz
eines DHCP doch mal als fraglich anzusehen. Ist eine IP frei wird diese dem anfragenden Gerät zugeordnet, egal welcher
Domäne er angehört. Ein DHCP schert sich nicht um Domänenmitglieder...

Es gibt durchaus DHCP-Server, die keine einzige dynamische IP verteilen, z. B. dort, wo eine Softwareverteilung den DHCP spielt und die Vergaben nur reserviert auf die MAC-Adressen erfolgen. Das ist gar nicht mal so selten.


> Selbst bei nur 5 Usern muß es der Admin erstmal mitkriegen
In diesen kleinen Buden gibt es kein Admin. Das können die sich gar nicht leisten. und der Hobby Admin der das ganze
irgendwie mit irgendwas von irgendwoher und "schau, es geht" hat weder Gerät noch Software geschweige denn Zeit
seinen Kollegen dort nachzugehen. Da herscht oft noch das Faustrecht. In diesen kleinen Buden fällt sosfort auf wenn HM
dort seinen Privatrechner anpappt. Diese kleinen Buden sind also nicht das Problem und ein 802.1X oder entsprechenden Switch wirst
du dort niemals antreffen. Einen privaten Rechner im Firmennetz ungemerkt zu nutzen geht nur mit entsprechenden
Netzwerkkentnissen, genügend krimineller Energie und wo ich in der Masse untertachen bzw. unbemerkt bleiben kann. Und auch zu
deinem
>> andere Mitarbeiter gerade im Urlaub oder krank ist und sein PC deshalb nicht benutzt wird
muss doch ein Mitarbeiter schon reichlich an krimineller Energie haben um überhaupt auf diesen Gedanken zu kommen bzw. es
dann auch tatsächlich zu tun. das passiert nicht aus Versehen. Und dort wo so ein Mitarbeiter in der Masse verschwinden
kann ist ein entsprechender switch oder 802.1X doch nun wirklich nicht das Problem


Kriminelle Energie muß gar nicht sein, oft genug spielen einem die Ertappten dann den Naiven vor, á la "ich wollt's das doch nur mal Probieren ...".

> Logisch. doch irgendwo muß der TO ja mal anfangen. Unbenutzte Dosen auspatchen
Ja.

> und auf reserviertes DHCP umstellen
Nur bedingt

Jede noch so kleine Hürde macht die Treppe höher und steiler, irgendwann geht die Puste aus ...

Gruß,
Peter

Grüße

von

departure
Bitte warten ..
Mitglied: Pjordorf
20.06.2013 um 18:04 Uhr
Zitat von departure69:
Hallo,

> Zitat von Pjordorf:
ins Internet, aber da ging gar nichts." Proxy sei Dank.
Es geht schon darum den Zugang ins LAN zu verwehren. Internet ist doch erst viel später

Es gibt durchaus DHCP-Server, die keine einzige dynamische IP verteilen
Ja. es aber entsprechend aufwändig und widerspricht die Funktion eines DHCP Servers Dann lieber gar keinen Und ja, ich kann auch alle Adressen im Scope reservieren dann geht auch keine IP per Hand

z. B. dort, wo eine Softwareverteilung den DHCP spielt
Was denn jetzt? Softwareverteilung oder DHCP Server? Oder eine Softwareverteilung welche auch einen DHCP Server beinhaltet?

und die Vergaben nur reserviert auf die MAC-Adressen erfolgen.
wenn deine eingesetzte Softwareverteilung den Status eines DHCP Servers abfragen kann ist das doch kein Problem

Das ist gar nicht mal so selten.
Sicher?

Es geht darum wie ein automatische Adressvergabe per DHCP (egal wer diesen Part hat Router, Server 32, DC, Linux xyz...) für nicht Domänenmitglieder umgesetzt werden kann. Und ich habe nur gesagt ein DHCP scherts überhaupt nicht zu welcher Domäne ein Gerät letztendlich gehört / gehören wird.

Kriminelle Energie muß gar nicht sein
Alleine schon das Vorhaben und dann das tun (Umsetzen) wo jemand genau weis das es Untersagt ist genau diese zu tun setzt was voraus? Blödheit oder Vorsatz. Aber auch bei Blödheit ist hier kriminelle Energie nötig weil er/sie es ja sonst nocht nicht mal in erwägung ziehen würde. Oder?

oft genug spielen einem die Ertappten dann den Naiven vor
Ja, hinterher nachdem ich die ertappt habe. Da sind es die Unschuldslämmer schlecht hin. Schon klar.

Jede noch so kleine Hürde
Macht das laufen auch für alle anderen nur schwerer

Gruß,
Peter
Bitte warten ..
Mitglied: departure69
20.06.2013, aktualisiert um 18:38 Uhr
Zitat von Pjordorf:
> Zitat von departure69:
> ----
Hallo,

> > Zitat von Pjordorf:
> ins Internet, aber da ging gar nichts." Proxy sei Dank.
Es geht schon darum den Zugang ins LAN zu verwehren. Internet ist doch erst viel später

War ja auch nur ein Beispiel dafür, wie es der User begründet hat.

> Es gibt durchaus DHCP-Server, die keine einzige dynamische IP verteilen
Ja. es aber entsprechend aufwändig und widerspricht die Funktion eines DHCP Servers Dann lieber gar keinen Und ja, ich
kann auch alle Adressen im Scope reservieren dann geht auch keine IP per Hand

> z. B. dort, wo eine Softwareverteilung den DHCP spielt
Was denn jetzt? Softwareverteilung oder DHCP Server? Oder eine Softwareverteilung welche auch einen DHCP Server beinhaltet?

Letzteres. Bei uns hier bspw. genau so im Einsatz.


> und die Vergaben nur reserviert auf die MAC-Adressen erfolgen.
wenn deine eingesetzte Softwareverteilung den Status eines DHCP Servers abfragen kann ist das doch kein Problem

Nochmal: Softwareverteilung und DHCP-Funktion sind eins.


> Das ist gar nicht mal so selten.
Sicher?

Ganz sicher.


Es geht darum wie ein automatische Adressvergabe per DHCP (egal wer diesen Part hat Router, Server 32, DC, Linux xyz...) für
nicht Domänenmitglieder umgesetzt werden kann. Und ich habe nur gesagt ein DHCP scherts überhaupt nicht zu welcher
Domäne ein Gerät letztendlich gehört / gehören wird.

Wurde nie bestritten.


> Kriminelle Energie muß gar nicht sein
Alleine schon das Vorhaben und dann das tun (Umsetzen) wo jemand genau weis das es Untersagt ist genau diese zu tun setzt was
voraus? Blödheit oder Vorsatz. Aber auch bei Blödheit ist hier kriminelle Energie nötig weil er/sie es ja sonst
nocht nicht mal in erwägung ziehen würde. Oder?

Nunja, Spieltrieb, Probiertrieb, "Ich-krieg-Dich"-Trieb, solche halten ihr Tun auf jeden Fall nicht für echt kriminell, gleichwohl es das ist.


> oft genug spielen einem die Ertappten dann den Naiven vor
Ja, hinterher nachdem ich die ertappt habe. Da sind es die Unschuldslämmer schlecht hin. Schon klar.

Auch schon öfter erlebt?


> Jede noch so kleine Hürde
Macht das laufen auch für alle anderen nur schwerer

Stimmt, leider.


Gruß,
Peter

Servus
Bitte warten ..
Mitglied: Pjordorf
20.06.2013 um 19:07 Uhr
Hallo,

Zitat von departure69:
Nochmal: Softwareverteilung und DHCP-Funktion sind eins.
Also die Funktion Softwareverteilung UND DHCP ist ein und die gleiche Funktion? Woh!

Oder beinhaltet deine uns unbekannte Softwareverteilungslösung auch einen DHCP Server? DHCP Server ist und bleibt ein DHCP Server. Egal wie oder wo oder wonach das Ding riecht oder schmeckt.

Welche Softwareverteilung nutzt ihr denn?

Auch schon öfter erlebt?
Warum kommen die dann bei euch erst soweit?

Gruß,
Peter
Bitte warten ..
Mitglied: departure69
20.06.2013 um 23:35 Uhr
DX-Union. Glaub' mir, die DHCP-Funktionalität steckt untrennbar mit in dem Softwareverteilprogramm. Es ist keine extra Server-Software.

Die "soweit" kamen: das war noch bei meinem alten AG.

Grüße
Bitte warten ..
Mitglied: muftypeter
21.06.2013 um 14:58 Uhr
Hallo,
was hier doch hochkommt ist die Tatsache, daß das nicht 100% verhindert werden kann. Solange jemand Admin auf seinem Rechner ist kann er immer sich die Netzwerkdaten des Nebenmanns/Frau besorgen und sich so in das Netzwerk mogeln, alles hier vorgebrachte kann technisch nicht volkommen ausgeschlossen werden.

Mein Vorschlag um auf die Jagt zu gehen:
- Alle Rechner bekommen per DHCP feste IP
- Rechner die unbekannt sind bekommen eine IP aus einem anderen Band, das Benutzer/PW bei dem Proxy benötigt

Selbst auf dem DHCP fallen die unbekannten Mac dann schnell auf
Ob die Jagt aber wirklich zur Verbesserung des Betriebsklimas beträgt lasse ich mal offen.

Grüße vom Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
21.06.2013, aktualisiert um 15:51 Uhr
Zitat von departure69:
Einzig das Internet werden sie dann nutzen
können.

Es reicht schon, wenn sie snifffen können.

Ansonsten nochmals: hat man im gesamten Netz auf allen Freigaben die Rechte in Ordnung, besteht für das interne Netz
eigentlich keine Gefahr.

Trotzdem gibt es genügend Malware, die von einem infizierten Privatrechner überspringen kann.

lks
Bitte warten ..
Mitglied: Pjordorf
21.06.2013 um 17:54 Uhr
Hallo,

Zitat von muftypeter:
Selbst auf dem DHCP fallen die unbekannten Mac dann schnell auf
Wenn es nur um die Apple Kisten geht Auch wir die eine MAC kennen kennen auch ein Mac

http://www.apple.com/de/mac/
http://de.wikipedia.org/wiki/MAC-Adresse

Gruß,
Peter
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Windows Server
AD DC Failover zeitintensiv und DHCP repliziert nicht (3)

Frage von JiggyLee zum Thema Windows Server ...

Netzwerkmanagement
gelöst HP 1920 24G Switch QOS-Problem bei Portzuweisung mit DHCP Relay (2)

Frage von farbschmelz zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...