Jump to content

/ XP Nur bestimme Rechner ins LAN lassen DHCP / Zertifikat


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

in der Firma in gibt es ein Arbeitsnetzwerk und ein Testnetzwerk.

Im Arbeitznetzwerk gibt es nur XP Home-Clients und einen Windows 2003 Domänencontroller mit DNS und DHCP.

Im Testnetzwerk werden Kundenrechner getestet.

Die Netze sind komplett physisch getrennt.

 

Leider passiert es immer wieder mal, das Kundenrechner ins Arbeitsnetzwerk gesteckt werden. Die Gründe dafür sind unerfindlich.

 

Jetzt möchte ich wissen ob ich bestimmen kann, welche Rechner der DHCP aufnimmt.

Die Eigenschaften einer LAN-Verbindung in Windows haben unteranderem die Registerkarte Authentifizierung.

 

Kann ich über dieses Mittel nur auf den erwünschten ein Zertifikat verteilen und nur dann ein DHCP-Lease zuordnen?

Link zu diesem Kommentar

Hallo

 

Grundsätzlich wird ein DHCP Request immer beantwortet.

 

Leider schreibst Du nicht ob im Testnetzwerk auch ein DHCP eingerichtet ist oder ob mit statischen Adressen gearbeitet wird. Falls letzteres der Fall ist können auch keine IP Adressen vergeben werden. Es sei denn ein IP Helper existiert in der LAN Konfiguration.

 

Du bist nicht gefeit dagegen, dass IP-Adressen - Talibanismus betrieben wird d.h. jemand kennt das subnet und pingt und schnappt sich ne freie Adresse ... (sorry den Ausdruck wir nannten das so).

 

Eventuell besteht die Möglichkeit auf den Switch mit Intruderlists zu arbeiten, was jedoch sehr aufwendig ist. Dies würde bewirken, dass auf dem Port 08-15 nur die MAC 08-15 durchgelassen wird.

 

Gruss,

Matthias

Link zu diesem Kommentar
Du bist nicht gefeit dagegen, dass IP-Adressen - Talibanismus betrieben wird d.h. jemand kennt das subnet und pingt und schnappt sich ne freie Adresse ... (sorry den Ausdruck wir nannten das so).

Ja, das kann er, aber bei entsprechendem Schutz entweder gar nichts groß sehen, oder nicht erfolgreich kommunzieren.

 

Zwei Möglichkeiten (außer MAC-Listen auf den SwitchPorts pflegen :rolleyes: oder alles DHCP Adressen nur über Reservierungen vergeben :eek: ):

1.) Einsatz von IPSec, allerdings wird man nicht alle Computer ohne riesen Aufwand und schon gar nicht unter Verlust von MS-Support damit schützen können.

 

2.) 802.1x Authentifizierung. Auf den ersten Blick das Mittel der Wahl zum Schutz vor unerwünschtem Netzwerkzugriff, kann aber auch mit KnowHow und mutwillig umgangen werden, und braucht zudem eine gute Planung, evtl. neue Komponenten und den Aufbau einer PKI-Struktur

 

Beide Themen sind nicht ohne und gut zu durchdenken und durchzurechnen, und ohne richtiges Know How nicht "stande pede" zu machen

 

 

grizzly999

Link zu diesem Kommentar

Im Testnetzwerk ist auch ein DHCP.

 

Es geht nur darum, das jeder Mitarbeiter zwei LAN-Kabel an seinem Platz liegen hat.

 

Ein graues für das Arbeitsnetzwerk.

Ein blaues für das Testnetzwerk.

 

Im Arbeitsnetzwerk bucht er.

Im Testnetzwerk lädt er auf einem Kundenrechner Updates und Treiber herunter.

 

Es kommt aber vor, das er den Kundenrechner nicht mit dem blauen Kabel verbindet, sonder mit dem grauen.

 

Das sehe ich als potenzielle Sicherheitslücke, zwecks Viren und Überfüllung des DHCP-Bereiches im Arbeitsnetzwerk.

 

Und genau das will ich umgehen.

 

 

Ist es möglich auf den Arbeitsnetzwerk-Clients ein Zertifikat für die Authentifizierung zu laden? Und nur die Rechner mit dem Zertifikat in das Arbeitsnetzwerk zuzulassen?

Link zu diesem Kommentar
Ja, genau das hatte ich mir auch vorgestellen. Ich habe bloß noch keine Ahnung wie das funktioniert. Mit WLAN ist es ja klar. Aber wie funktioniert es über das Kabel-Netzwerk? Hast du da vielleicht nen Tip?

 

Nuja, mit oder ohne Kabel ist erst mal Wurscht. So funktioniert das, in aller kürze:

-Installation des IAS auf einem Windows Server (bis 50 Netzwerkkomponenten genügt die Standard Edition)

-Installation einer CA (AD integriert) und Enrollment von Maschinen-Zertifikate (für Auto Enrollment braucht es wieder die Enterprise Edt.)

-Alle APs und Switche werden als RADIUS Clients konfiguriert)

-Aktivierung von dot1x auf allen relevanten APs und Switch(ports)

-> dann können sich die Clients mit Ihrem Zertifikat gegen RADIUS authentifizieren und der Switch macht den jeweiligen Port auf -> der Client bekommt eine IP vom DHCP

 

ASR

Link zu diesem Kommentar

Radius, Enterprice & Co. sind doch ziemlich "aufwendig" / "teuer". Wenn es darum geht, "nur" das Arbeitsnetz zu schützen, muss man da mit Kanonen auf Spatzen schießen? Wieviel Clients hat denn das Arbeitsnetz? Wenn die Anzahl nicht allzu groß ist, oder man den Aufwand nicht scheut, könnte man doch jedem Client im Arbeitsnetz eine DHCP-Reservierung per MAC verpassen. Weiterhin wird kein DHCP-Adressbereich zum Leasen definiert. Dann dürfte doch ein "fremder" Client vom DHCP keine IP zugewiesen bekommen, oder? (Macht die DHCP-Verwendung zwar ziemlich sinnlos, außer dass man die IP's von zentraler Stelle aus administriert, ohne jeden Client vor Ort oder Remote anfassen zu müssen.)

Weiterhin habe ich in der Hilfe zum DHCP-Server mal ein bissel gelesen (ähnliches Problem bei mir) und etwas vom definieren eigener Geräteklassen per netsh gelesen. Wenn sich die Arbeitsclients irgendwie hardwaremäßig gegen die Kunden-Test-Clients abheben würden, könnte man da nicht irgendsoeine Klasse definieren und der per DHCP die notwendigen Parameter verpassen?

Habe das mit der netsh-Klassendefinition aber noch nicht so richtig durchgearbeitet und begriffen. Nur mal so als Denkanstoß ;)

 

himbidas

Link zu diesem Kommentar

Verstehe ich nicht: Ein RADIUS kostet erst mal gar nichts, ein Enterprise Server ist absolut nicht notwendig, ist zwar nett aber keine Prämisse. dot1x können die meisten halbwegs professionellen Netzwerkkomponenten - es ist also nur ein wenig Arbeit gefragt und wenn man man weis wie ist das auch in kuzer Zeit implementiert (abhängig natürlich von der Größe des Netzes). Weiterer Benefit: Auch das WLAN lässt über die selbe Infrastruktur perfekt schützen.

DHCP Reservierungen bringen keine Sicherheit oder Zugangskontrolle zum Netz. Dessen muss man sich klar sein.

 

ASR

Link zu diesem Kommentar
  • 3 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...