8
Win2008 DHCP Pool einschränken
Segment Beschränkungen
Hallo,
Ich habe folgendes Problem und komme nicht wirklich weiter.
Ich möchte eine MAC-basierte Zugriffsbeschränkung auf einem DHCP einrichten.
Der Hintergrund ist unser Segment.
Wir haben 25 Adressen für den DHCP vorgesehen. Dieser Bereich wird aber so grob über den Daumen von ca. 50 Rechnern benutz. Da ja nie alle gleichzeitig hier sind ist also der DHCP-Bereich völlig ausreichend.
Hinzu kommen aber noch unsere restlichen Adressen die mittels Reservations eingetragen sind. Damit ein Fremder nicht einfach eine IP bekommt bin ich auf der Suche nach einem MAC-Filter für den DHCP-Port. Der DHCP ist ein Win2008.
Mein erster Ansatz war den MS NAP Service [1] zu nutzen... das macht mir aber in unerser Heterogenen Umgebung mit Windows & Unix Systemen Probleme. Ich will nicht jeden Unix-Client mit einen NAP-Patch beglücken.
Der Zweite Ansatz wäre die Firewall vom Server mittels einer File mit den Zugelassenen MAC-Adressen zu betanken um damit dann eine Regel zu erstellen etc. leider finde ich noch nicht so richtig eine Lösung.
Hat jemand eine Idee wie man diese Nuss am besten knackt?
Vielen Dank im Vorraus.
Alex
[1] http://technet.microsoft.com/en-us/network/bb545879.aspx
PS: Ich bin mir durchaus im klaren das der MAC-Filter Sicherheitstechnisch keinen wirklichen Einfluss hat, ich habe leider so meine Auflagen.
Ich habe folgendes Problem und komme nicht wirklich weiter.
Ich möchte eine MAC-basierte Zugriffsbeschränkung auf einem DHCP einrichten.
Der Hintergrund ist unser Segment.
Wir haben 25 Adressen für den DHCP vorgesehen. Dieser Bereich wird aber so grob über den Daumen von ca. 50 Rechnern benutz. Da ja nie alle gleichzeitig hier sind ist also der DHCP-Bereich völlig ausreichend.
Hinzu kommen aber noch unsere restlichen Adressen die mittels Reservations eingetragen sind. Damit ein Fremder nicht einfach eine IP bekommt bin ich auf der Suche nach einem MAC-Filter für den DHCP-Port. Der DHCP ist ein Win2008.
Mein erster Ansatz war den MS NAP Service [1] zu nutzen... das macht mir aber in unerser Heterogenen Umgebung mit Windows & Unix Systemen Probleme. Ich will nicht jeden Unix-Client mit einen NAP-Patch beglücken.
Der Zweite Ansatz wäre die Firewall vom Server mittels einer File mit den Zugelassenen MAC-Adressen zu betanken um damit dann eine Regel zu erstellen etc. leider finde ich noch nicht so richtig eine Lösung.
Hat jemand eine Idee wie man diese Nuss am besten knackt?
Vielen Dank im Vorraus.
Alex
[1] http://technet.microsoft.com/en-us/network/bb545879.aspx
PS: Ich bin mir durchaus im klaren das der MAC-Filter Sicherheitstechnisch keinen wirklichen Einfluss hat, ich habe leider so meine Auflagen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 117554
Url: https://administrator.de/contentid/117554
Printed on: April 19, 2024 at 11:04 o'clock
8 Comments
Latest comment
Wie wärs denn mit einer einfachen 802.1x Mac Adress Authentisierung am Switchport ?? Einfach zu implementieren und wasserdicht....
Hi !
Wenn da mal nicht wieder das einfache Wort "manageable" dazwischen steht, man könnte es aber auch "moneyable" nennen
mrtux
Zitat von @aqui:
Wie wärs denn mit einer einfachen 802.1x Mac Adress
Authentisierung am Switchport ?? Einfach zu implementieren und
Wie wärs denn mit einer einfachen 802.1x Mac Adress
Authentisierung am Switchport ?? Einfach zu implementieren und
Wenn da mal nicht wieder das einfache Wort "manageable" dazwischen steht, man könnte es aber auch "moneyable" nennen
mrtux
Mir entzieht sich aber auch ein wenig der Sinn des Ganzen. Schön wenn ich keine Adresse automatisch zugewiesen bekomme.
Wenn jemand seinen Rehner ins Netz bekommen will, geht er kurz in die Netzwerkkonfiguration und stellt sich eine statische Adresse ein. Das macht dann eher mehr Probleme, weil ja nicht auszuschließen ist, dass es zu Konflikten kommt. User sind da doch schon immer sehr einfallsreich gewesen...
Wenn jemand seinen Rehner ins Netz bekommen will, geht er kurz in die Netzwerkkonfiguration und stellt sich eine statische Adresse ein. Das macht dann eher mehr Probleme, weil ja nicht auszuschließen ist, dass es zu Konflikten kommt. User sind da doch schon immer sehr einfallsreich gewesen...
Diese Möglichkeit mittels 802.1x ist mir bekannt, kann ich aber nicht anwenden. Hier ist es etwas schwierig...
Ich muss eine Möglichkeit finden die ohne geht.
Das wieso und warum ist wirklich ein wenig kopliziert. Wie gesagt es ist vom Prinzip her kein richtiger Sicherheitsaspekt dabei von wegen Netzzugriff.
Das Problem ist wie bekomm ich das am besten erschlagen. Aktuell tut das ein Linux-DHCP nur der ist halt mit der Domänenanbindung etc. nicht so gut gestellt.
Ich muss eine Möglichkeit finden die ohne geht.
Das wieso und warum ist wirklich ein wenig kopliziert. Wie gesagt es ist vom Prinzip her kein richtiger Sicherheitsaspekt dabei von wegen Netzzugriff.
Das Problem ist wie bekomm ich das am besten erschlagen. Aktuell tut das ein Linux-DHCP nur der ist halt mit der Domänenanbindung etc. nicht so gut gestellt.
Microsofts DHCP ist reiner Murks.
Wir nehmen Uwe Ruttkamps dhcpsrv als rein statischen DHCP-Server: http://ruttkamp.gmxhome.de/dhcpsrv/dhcpsrv.htm
Grüße
Max
Wir nehmen Uwe Ruttkamps dhcpsrv als rein statischen DHCP-Server: http://ruttkamp.gmxhome.de/dhcpsrv/dhcpsrv.htm
Grüße
Max
ah... die Konfig hat genau die Möglichkeit mit dem Mac-Filter.
Sehr Fein. Wie macht ihr das dann mit dem DNS? Der Win DHCP kann ja den DNS aktuell halten. So wie ich das bei dem "kleinen" DHCP sehe geht das nicht....
Grüßle
& Danke schonmal im Vorraus
Alex
Sehr Fein. Wie macht ihr das dann mit dem DNS? Der Win DHCP kann ja den DNS aktuell halten. So wie ich das bei dem "kleinen" DHCP sehe geht das nicht....
Grüßle
& Danke schonmal im Vorraus
Alex
Domänenclients sollten das AFAIK von alleine machen.
Bei anderen - stimmt, da brauchst du einen komplexeren DHCP-Server wie BIND.
Grüße
Max
Bei anderen - stimmt, da brauchst du einen komplexeren DHCP-Server wie BIND.
Grüße
Max
den hat er ja mit Linux 
.1x ist die bessere Alternative denn was hindert einen sich eine statische IP zu vergeben und dein netzwerk zu entern ?? Das ist alles Frickelei die DHCP Server so zu verbiegen. Mit .1x und Mac Authentifizierung erstickst du sowas schon im keime und hast zudem immer im Überblick wer wo bei dir im netzwerl ist !!
Aber wenns schwierig bei euch ist....dann musst du wohl doch frickeln...
.1x ist die bessere Alternative denn was hindert einen sich eine statische IP zu vergeben und dein netzwerk zu entern ?? Das ist alles Frickelei die DHCP Server so zu verbiegen. Mit .1x und Mac Authentifizierung erstickst du sowas schon im keime und hast zudem immer im Überblick wer wo bei dir im netzwerl ist !!
Aber wenns schwierig bei euch ist....dann musst du wohl doch frickeln...
