Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Erfahrungen mit DHCP Snooping und Dynamic ARP Inspection

Frage Hardware Switche und Hubs

Mitglied: Mad-Eye

Mad-Eye (Level 1) - Jetzt verbinden

03.02.2015, aktualisiert 04.02.2015, 870 Aufrufe, 3 Kommentare

Hallo Zusammen,

nach einem Security Audit stehen wir nun vor der Aufgabe Dynmic ARP Inspection, und damit einhergehend DHCP Snooping, in unserem Netzwerk zu implementieren.
Nach einigen Tagen einlesen und im Lab testen bin ich mir langsam nicht mehr sicher ob diese Features wirklich sinnvoll für eine größere Infrastruktur sind (an die 1000 Rechner).
Probleme ergeben sich zum Beispiel bei IP-Telefonen hinter denen der eigentliche Rechner hängt oder Switche in der Produktion.
Soweit ich das sehe müssten wir diese Sicherheit bei der Hälfte aller Ports wieder abschalten und hätten einen enormen Pflegeaufwand.

Wie sind eure Erfahrungen mit diesen Einstellungen? Gibt es jemanden der das alles Tatsächlich implementiert hat?

Gruß,
Mad-Eye
Mitglied: brammer
LÖSUNG 03.02.2015, aktualisiert 04.02.2015
Hallo,

generell eignet Snooping problemlos für größere Infrastrukturen., allerdings hängt es von der Infrastruktur und dem Aufbau des Netzes ab.
Gerade in Produktivumgebungen frage ich mich immer wieder wieso hier mit DHCP gearbeitet wird. Größere Maschinen sind selten Ortsveränderlich und können daher problemlos mit festen IP Adressen versehen werden.
IP Telefone sollten ebenfalls bekannt sein, die MAC Adresse kann hinterlegt werden.

Wenn das Netz sauber segmentiert ist und die VLAN Struktur passt ist DHCP Snooping und Dynamc Arp eigentlich kein Stressfaktor.

brammer
Bitte warten ..
Mitglied: exellent
LÖSUNG 03.02.2015, aktualisiert 04.02.2015
Hi Mad-Eye,

hast du schon geschaut ob deine Switche DHCP Snooping unterstützen?

Auch in größeren Umgebungen kann man DHCP Snooping und DAI ganz gut einsetzen. Sofern alles gut dokumentiert ist (an welchem Switchport hängt was) ist das eigentlich auch netzweit recht schnell eingerichtet.

Dass du die Sicherheit bei der Hälfte aller Ports abschalten musst kann ich nicht ganz nachvollziehen. Du kannst Switchports als trusted definieren wenn dahinter Geräte mit fester IP, DHCP Server die IP Adressen verteilen oder was auch immer stecken.

Du glaubst nicht wie schnell man ohne diese Funktionen ganz einfach eine Man-in-the-Middle Attacke im Netzwerk -unbemerkt- laufen lassen kann. Ob der Aufwand lohnt, muss wohl jeder für sich selbst entscheiden.

Gruß
exellent
Bitte warten ..
Mitglied: Mad-Eye
04.02.2015 um 09:52 Uhr
Hi,

danke schon mal für eure Kommentare.

Unsere Switche unterstützen es, bis auf ein paar Ausnahmen die aber schon auf der Abschussliste stehen, alle. Wie schnell das geht konnte ich bei einem Security Audit selbst mit anschauen, deshalb setzten wir uns gerade an das Thema.

Was mir allerdings noch Bauchschmerzen bereit: Es befinden sich etwa 250 nicht managebare Switche bei unseren Monteueren im Umlauf für unsere Montagehallen. Diese ziehen teils mehrfach täglich auf andere Ports um. Die ganze Geschichte mit den Switchen gefällt mir auch nicht, werde ich aber nicht los werden..

Wir werden jetzt erstmal Switch für Switch anfangen und schauen wo es knallt.

Gruß,
Mad-Eye
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
DHCP Snooping und DHCP Relay Verständnisfrage
Frage von Marco-83Netzwerkprotokolle3 Kommentare

Guten Abend zusammen, ich hätte da einmal eine klitzekleine Verständnisfrage zu DHCP Snooping / DHCP Relay. Ich habe in ...

Netzwerkgrundlagen
IGMP Snooping Problem
gelöst Frage von Cartman316Netzwerkgrundlagen10 Kommentare

Hallo. Ich bin gerade dabei ein TV-Server-System für ein kleineres Hotel zu installieren. Als Server fungiert ein (soll spätere ...

Netzwerkgrundlagen
IGMP Snooping Querier - IP Addresse
Frage von Der-PhilNetzwerkgrundlagen6 Kommentare

Hallo! Ich versuche gerade zum ersten Mal IGMP zu benutzen, aber eine Sache verstehe ich einfach nicht: - Der ...

Router & Routing
Adressierung über einen ARP-Proxy
gelöst Frage von HanDokuRouter & Routing6 Kommentare

Ich versuche aus Deutschland ein Gerät mit der IP 192.168.1.10 in unserem Ferienhaus in Frankreich anzusprechen. Der Fernzugriff für ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 10 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 16 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 1 TagWindows 104 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...