10
Temporäre IP-Adresse über DHCP
Vorhanden: eine Win2k3-Domäne, statische IP-Adressen, Class-A-Netz
Ziel: Domaincontroller (1 NIC) soll als DHCP-Server fungieren
Suche Lösung!!! 
Ich möchte unsere statische Adressvergabe auf DHCP umstellen. Damit nicht jeder Hinz und Kunz
sein privates Notebook ans Netz anschließen kann und somit Zugriff hat, soll aus Sicherheitsgründen
der DHCP-Server dann aber keine IP-Adresse aus unserem Class-A Adressbereich vergeben sondern
eine Class-C-Adresse!
Jetzt zu meiner Frage: Ist das möglich, wenn ja wie? Oder hat jemand einen anderen Ansatz?
Gruß
René
Ich möchte unsere statische Adressvergabe auf DHCP umstellen. Damit nicht jeder Hinz und Kunz
sein privates Notebook ans Netz anschließen kann und somit Zugriff hat, soll aus Sicherheitsgründen
der DHCP-Server dann aber keine IP-Adresse aus unserem Class-A Adressbereich vergeben sondern
eine Class-C-Adresse!
Jetzt zu meiner Frage: Ist das möglich, wenn ja wie? Oder hat jemand einen anderen Ansatz?
Gruß
René
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 162213
Url: https://administrator.de/contentid/162213
Printed on: April 23, 2024 at 20:04 o'clock
10 Comments
Latest comment
Hi,
Address reservierung is das zauberwort
man kann bekannten Geräten Addressen aus einem Addresspool mittels MAC zuweisen, unbekannte Geräte erhalten IPs aus einem zweiten Pool.
Gruss
Address reservierung is das zauberwort
man kann bekannten Geräten Addressen aus einem Addresspool mittels MAC zuweisen, unbekannte Geräte erhalten IPs aus einem zweiten Pool.
Gruss
Hi!
Prinzipiell ist die Adressreservierung eine Möglichkeit den Private PC's eine andere Adresse im Nirvana zuzuweisen.
Dies hindert jedoch denjenigen nicht dran eine interne adresse statisch einzutragen ...
Ein interessanter Ansatz - voraussetzung wäre hierfür jedoch eine komatible Hardware im Netzwerkbereich - wäre Network Access Control (NAC)
http://freenac.net/de
Hier wird hier auf MAC-Ebene der Zugriff ins Netzwerk gewährt - natürlich kann auch ein findiger User seine MAC-Kennung modifizieren - jedoch erfordert das wesentlich tiefere Kenntnisse.
Falls ihr Cisco-Hardware einsetzt würde ich euch zusätzlich Port-Security empfehlen.
Gruß
Yali0n
Prinzipiell ist die Adressreservierung eine Möglichkeit den Private PC's eine andere Adresse im Nirvana zuzuweisen.
Dies hindert jedoch denjenigen nicht dran eine interne adresse statisch einzutragen ...
Ein interessanter Ansatz - voraussetzung wäre hierfür jedoch eine komatible Hardware im Netzwerkbereich - wäre Network Access Control (NAC)
http://freenac.net/de
Hier wird hier auf MAC-Ebene der Zugriff ins Netzwerk gewährt - natürlich kann auch ein findiger User seine MAC-Kennung modifizieren - jedoch erfordert das wesentlich tiefere Kenntnisse.
Falls ihr Cisco-Hardware einsetzt würde ich euch zusätzlich Port-Security empfehlen.
Gruß
Yali0n
Auch dir eine Floskel deiner Wahl...
Suche Lösung!!! 
- Habe Problem
- Frau Hinz und Herr Kunz kann sich doch an Ihrem privaten Notebook (sofern Ihr Herr Hinz oder Frau Kunz Adminrechte auf das Notebook gegeben hat) eine Subnetmask Ihrer/seiner Wahl eintragen.
- Das Zauberwort heisst (nicht nur hallo oder Moin) Radius Server
Man kann auch rein mit Adressreservierungen arbeiten und den Pool einfach leer lassen. Aber effektiv bringt alles nichts, weil´s keine wirkliche Schutzmaßnahme ist.
Ich könnte jetzt den kompletten Grundschutz runter beten, aber es gibt so zwei bis drei essentielle Dinge:
- physikalischer Schutz der Netzwerktechnik
- ungenutzte Anschlüsse inaktiv setzen
- sollten Anschlüsse zeitweise ungenutzt sein (Notebookports) entsprechende technische Maßnahmen auf der am tiefsten möglichen Ebene treffen (MAC-Security, EAPoL/802.1X, wenn nicht anders möglich: IPSec)
Aber mal so ne Frage: Wer hält sich in Zeiten von CIDR noch an die ehemaligen IP-Klassen?
Ich könnte jetzt den kompletten Grundschutz runter beten, aber es gibt so zwei bis drei essentielle Dinge:
- physikalischer Schutz der Netzwerktechnik
- ungenutzte Anschlüsse inaktiv setzen
- sollten Anschlüsse zeitweise ungenutzt sein (Notebookports) entsprechende technische Maßnahmen auf der am tiefsten möglichen Ebene treffen (MAC-Security, EAPoL/802.1X, wenn nicht anders möglich: IPSec)
Aber mal so ne Frage: Wer hält sich in Zeiten von CIDR noch an die ehemaligen IP-Klassen?
Zusammenfassend:
- Ich bezweifle, dass ihr Class A und Class C Adressbereiche habt, höchstens etwas, dass so ähnlich aussieht.
- Ja, auch mit DHCP kann man sich von Hand eine richtige IP vergeben
- Natürlich ist das mit einem echten DHCP-Server (wie dem von Uwe Ruttkamp) problemlos möglich.
- Nein, MAC-Adresse modifizieren erfordert auch keine besonderen Kenntnisse (Geräte-Manger zu kennen reicht)
- Nein, 802.1x ist genausowenig eine Lösung, weil ein Hub reicht um es zu umgehen
Öhm, bei mir hab ich es mit 802.1X und nem Hub schon versucht, das macht der Switch nicht mit, der blockt weitere Rechner.
Natürlich, der Ablauf ist folgender:
Da 802.1x keinen Einfluss auf den Traffic hat klappt das so lange bis der Switch mal auf die Idee kommt die Anmeldung zu erneuern, was bei manchen eben erst passiert wenn der Port-Status wechselt. Mit einem Router kann man das soweit treiben, dass man die RADIUS-Pakete eben an den normalen Forwarded und den Rest verwirft, so dass man dauerhaft online ist.
Nur zertifikatbasiertes IPSec ist da wirklich eine Lösung.
- Hub dazwischenstecken
- Legitimen Rechner anmelden lassen
- Legitimen Rechner abziehen und dessen MAC-ID und IP-Adresse klauen
- Weitersurfen
Da 802.1x keinen Einfluss auf den Traffic hat klappt das so lange bis der Switch mal auf die Idee kommt die Anmeldung zu erneuern, was bei manchen eben erst passiert wenn der Port-Status wechselt. Mit einem Router kann man das soweit treiben, dass man die RADIUS-Pakete eben an den normalen Forwarded und den Rest verwirft, so dass man dauerhaft online ist.
Nur zertifikatbasiertes IPSec ist da wirklich eine Lösung.
Genau das macht der Switch nicht mit. Meine prüfen nämlich auch noch die MAC-Adresse mit. Alles Einstellungssache.
Zitat von @dog:
Zusammenfassend:
Zusammenfassend:
- Ich bezweifle, dass ihr Class A und Class C Adressbereiche habt, höchstens etwas, dass so ähnlich aussieht.
Ja, natürlich haben wir nur ein Class-C Netz was aussieht wie Class-A.
Wir haben auch, wie in einem der oberen Beiträge vorgeschlagen, nur wirklich genutzte Netzwerkdosen gepatcht.
Die Nummer mit den temporären Adressen soll nur eine zusätzliche Sicherheit sein.
Gruß
René
Damit nicht jeder Hinz und Kunz sein privates Notebook ans Netz anschließen kann und somit Zugriff hat
Zugriff auf was? Beschreib Dein Problem - hier fehlt doch die Problemstellung gänzlich. Und - warum sollte Hinz oder Kunz denn überhaupt DHCP nutzen wollen, um auf Euer Netzwerk "zuzugreifen"?
