Jump to content
Sign in to follow this  
asmoneus

/ XP Nur bestimme Rechner ins LAN lassen DHCP / Zertifikat

Recommended Posts

Hallo,

 

in der Firma in gibt es ein Arbeitsnetzwerk und ein Testnetzwerk.

Im Arbeitznetzwerk gibt es nur XP Home-Clients und einen Windows 2003 Domänencontroller mit DNS und DHCP.

Im Testnetzwerk werden Kundenrechner getestet.

Die Netze sind komplett physisch getrennt.

 

Leider passiert es immer wieder mal, das Kundenrechner ins Arbeitsnetzwerk gesteckt werden. Die Gründe dafür sind unerfindlich.

 

Jetzt möchte ich wissen ob ich bestimmen kann, welche Rechner der DHCP aufnimmt.

Die Eigenschaften einer LAN-Verbindung in Windows haben unteranderem die Registerkarte Authentifizierung.

 

Kann ich über dieses Mittel nur auf den erwünschten ein Zertifikat verteilen und nur dann ein DHCP-Lease zuordnen?

Share this post


Link to post

Hallo

 

Grundsätzlich wird ein DHCP Request immer beantwortet.

 

Leider schreibst Du nicht ob im Testnetzwerk auch ein DHCP eingerichtet ist oder ob mit statischen Adressen gearbeitet wird. Falls letzteres der Fall ist können auch keine IP Adressen vergeben werden. Es sei denn ein IP Helper existiert in der LAN Konfiguration.

 

Du bist nicht gefeit dagegen, dass IP-Adressen - Talibanismus betrieben wird d.h. jemand kennt das subnet und pingt und schnappt sich ne freie Adresse ... (sorry den Ausdruck wir nannten das so).

 

Eventuell besteht die Möglichkeit auf den Switch mit Intruderlists zu arbeiten, was jedoch sehr aufwendig ist. Dies würde bewirken, dass auf dem Port 08-15 nur die MAC 08-15 durchgelassen wird.

 

Gruss,

Matthias

Share this post


Link to post
Du bist nicht gefeit dagegen, dass IP-Adressen - Talibanismus betrieben wird d.h. jemand kennt das subnet und pingt und schnappt sich ne freie Adresse ... (sorry den Ausdruck wir nannten das so).

Ja, das kann er, aber bei entsprechendem Schutz entweder gar nichts groß sehen, oder nicht erfolgreich kommunzieren.

 

Zwei Möglichkeiten (außer MAC-Listen auf den SwitchPorts pflegen :rolleyes: oder alles DHCP Adressen nur über Reservierungen vergeben :eek: ):

1.) Einsatz von IPSec, allerdings wird man nicht alle Computer ohne riesen Aufwand und schon gar nicht unter Verlust von MS-Support damit schützen können.

 

2.) 802.1x Authentifizierung. Auf den ersten Blick das Mittel der Wahl zum Schutz vor unerwünschtem Netzwerkzugriff, kann aber auch mit KnowHow und mutwillig umgangen werden, und braucht zudem eine gute Planung, evtl. neue Komponenten und den Aufbau einer PKI-Struktur

 

Beide Themen sind nicht ohne und gut zu durchdenken und durchzurechnen, und ohne richtiges Know How nicht "stande pede" zu machen

 

 

grizzly999

Share this post


Link to post

Im Testnetzwerk ist auch ein DHCP.

 

Es geht nur darum, das jeder Mitarbeiter zwei LAN-Kabel an seinem Platz liegen hat.

 

Ein graues für das Arbeitsnetzwerk.

Ein blaues für das Testnetzwerk.

 

Im Arbeitsnetzwerk bucht er.

Im Testnetzwerk lädt er auf einem Kundenrechner Updates und Treiber herunter.

 

Es kommt aber vor, das er den Kundenrechner nicht mit dem blauen Kabel verbindet, sonder mit dem grauen.

 

Das sehe ich als potenzielle Sicherheitslücke, zwecks Viren und Überfüllung des DHCP-Bereiches im Arbeitsnetzwerk.

 

Und genau das will ich umgehen.

 

 

Ist es möglich auf den Arbeitsnetzwerk-Clients ein Zertifikat für die Authentifizierung zu laden? Und nur die Rechner mit dem Zertifikat in das Arbeitsnetzwerk zuzulassen?

Share this post


Link to post
Ja, hatte ich oben geschrieben, unter 802.1x

 

grizzly999

 

Ja, genau das hatte ich mir auch vorgestellen. Ich habe bloß noch keine Ahnung wie das funktioniert. Mit WLAN ist es ja klar. Aber wie funktioniert es über das Kabel-Netzwerk? Hast du da vielleicht nen Tip?

Share this post


Link to post

Hi,

 

du brauchst die entsprechende Netzwerkhardware die 802.1x unterstützt,

und musst eine komplette PKI Aufbauen, aber du schreibst was von XP Home als Client Betriebssystem, das erschwert den Einsatz einer PKI enorm / macht es unmöglich!

 

MfG

Kai

Share this post


Link to post
Ja, genau das hatte ich mir auch vorgestellen. Ich habe bloß noch keine Ahnung wie das funktioniert. Mit WLAN ist es ja klar. Aber wie funktioniert es über das Kabel-Netzwerk? Hast du da vielleicht nen Tip?

 

Nuja, mit oder ohne Kabel ist erst mal Wurscht. So funktioniert das, in aller kürze:

-Installation des IAS auf einem Windows Server (bis 50 Netzwerkkomponenten genügt die Standard Edition)

-Installation einer CA (AD integriert) und Enrollment von Maschinen-Zertifikate (für Auto Enrollment braucht es wieder die Enterprise Edt.)

-Alle APs und Switche werden als RADIUS Clients konfiguriert)

-Aktivierung von dot1x auf allen relevanten APs und Switch(ports)

-> dann können sich die Clients mit Ihrem Zertifikat gegen RADIUS authentifizieren und der Switch macht den jeweiligen Port auf -> der Client bekommt eine IP vom DHCP

 

ASR

Share this post


Link to post

Radius, Enterprice & Co. sind doch ziemlich "aufwendig" / "teuer". Wenn es darum geht, "nur" das Arbeitsnetz zu schützen, muss man da mit Kanonen auf Spatzen schießen? Wieviel Clients hat denn das Arbeitsnetz? Wenn die Anzahl nicht allzu groß ist, oder man den Aufwand nicht scheut, könnte man doch jedem Client im Arbeitsnetz eine DHCP-Reservierung per MAC verpassen. Weiterhin wird kein DHCP-Adressbereich zum Leasen definiert. Dann dürfte doch ein "fremder" Client vom DHCP keine IP zugewiesen bekommen, oder? (Macht die DHCP-Verwendung zwar ziemlich sinnlos, außer dass man die IP's von zentraler Stelle aus administriert, ohne jeden Client vor Ort oder Remote anfassen zu müssen.)

Weiterhin habe ich in der Hilfe zum DHCP-Server mal ein bissel gelesen (ähnliches Problem bei mir) und etwas vom definieren eigener Geräteklassen per netsh gelesen. Wenn sich die Arbeitsclients irgendwie hardwaremäßig gegen die Kunden-Test-Clients abheben würden, könnte man da nicht irgendsoeine Klasse definieren und der per DHCP die notwendigen Parameter verpassen?

Habe das mit der netsh-Klassendefinition aber noch nicht so richtig durchgearbeitet und begriffen. Nur mal so als Denkanstoß ;)

 

himbidas

Share this post


Link to post

Verstehe ich nicht: Ein RADIUS kostet erst mal gar nichts, ein Enterprise Server ist absolut nicht notwendig, ist zwar nett aber keine Prämisse. dot1x können die meisten halbwegs professionellen Netzwerkkomponenten - es ist also nur ein wenig Arbeit gefragt und wenn man man weis wie ist das auch in kuzer Zeit implementiert (abhängig natürlich von der Größe des Netzes). Weiterer Benefit: Auch das WLAN lässt über die selbe Infrastruktur perfekt schützen.

DHCP Reservierungen bringen keine Sicherheit oder Zugangskontrolle zum Netz. Dessen muss man sich klar sein.

 

ASR

Share this post


Link to post

Hallo, da ich mich auch gerade mit 802.1x und IAS beschäftige suche ich nach guten Büchern zu diesem Thema. Bitte um schnelle Antwort.

 

Danke und mfg mik73

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...