DHCP nur für eingetragene MAC-Adressen

[maeck 10]

Hallo,

 

wir verwenden einen Windows Server 2k3 R2 und darauf läuft ein DHCP-Server. Momentan verteilt dieser an jeden anfragenden Client eine IP-Adresse aus der Scope.

 

Da immer wieder viele Leute in unser Haus kommen, möchte ich verhindern, dass sie mal eben ihr Notebook ans Netzwerk anschließen, eine IP-Adresse erhalten und damit sofort im Netzwerk sind.

 

Gibt es eine Möglichkeit, den DHCP so einzustellen, dass er nur IP-Adressen an NICs verteilt, deren MAC-Adresse in einer Liste eingetragen sind?

 

Gruß maeck

[woiza 10]

Leg für jede MAC eine Reservierung an. Dann schließe den gesamten Scope aus.

[maeck 10]

Hallo woiza,

 

danke für deine schnelle Antwort.

Wie schließe ich den gesamten Scope aus?

[maverick82 10]

Hi,

lies mal den Artikel Erstaunliches Windows DHCP Feature durch. Da dürfte genau das gewünschte beschrieben sein.

 

Gruß, Maverick

[maeck 10]

Genial!

Das ist exakt das, was ich gesucht habe; vielen Dank!

[Lian 2.659]

Solche Lösungen sind gangbar und werden zuhauf eingesetzt.

 

 

Die eigentliche Lösung sollte 802.1x (NAC: Network Access Control) oder MS NAP (Network Access Protection) sein:

IEEE 802.1X - Wikipedia, the free encyclopedia

Network Access Protection - Wikipedia, the free encyclopedia

Das bietet Dir echte Port Security

[woiza 10]

Klar ist das nur ne Krücke, aber NAP geht eben erst mit W2k8 und 802.1x muss die Netzhardware ja auch erst unterstützen. So als Schnellschuss finde ich das Sperren nicht verkehrt.

[LukasB 10]

Die richtige Lösung ist natürlich 802.1x zu benutzen.

 

[ich sollte auf nen Thread nicht ne Stunde später antworten als ich ihn geöffnet habe..)

[NorbertFe 2.279]

Solche Lösungen sind gangbar und werden zuhauf eingesetzt.

 

 

Die eigentliche Lösung sollte 802.1x (NAC: Network Access Control) oder MS NAP (Network Access Protection) sein:

IEEE 802.1X - Wikipedia, the free encyclopedia

Network Access Protection - Wikipedia, the free encyclopedia

Das bietet Dir echte Port Security

 

Genau. Nochmal für alle zum Mitmeißeln ;) DHCP ist kein Sicherheitsfeature.

 

Bye

Norbert

[WolfgangS 10]

seit wann bist du unter die Steinmetze gegangen :-)

 

Grüße

Wolfgang

[motzel 10]

Hallo,

 

find ich gar nicht schlecht, jedoch verhindert dies nicht, dass der PC eine statische IP Adresse benutzt, welche in deiner Range liegt.

 

Ich würde bei der Sicherheit eher auf gute NTFS Einstellungen setzen wollen (sprich das eben nicht Jeder Vollzugriff auf Ordner und/oder Dateien besitzt.)

 

Gruß

 

motzel

[Lian 2.659]

Und wie verhindert das fremde Rechner in einem LAN?

[motzel 10]

@Lian

 

gar nicht, dass meinte ich ja damit, als ich sagte dass MAC-Adressreservierung nicht gegen manuelle IP's hilft ;)

[Lian 2.659]

Ok, das muss der Schreck gewesen sein NTFS in Verbindung mit Port Security gelesen zu haben :p

 

 

Mir ist klar, daß das Equipment gerade bei größeren Netzen nicht günstig umzurüsten ist, falls nicht vorhanden.

 

Trotzdem sollte auf mittel-/langfristige Sicht eine der beiden genannten, professionellen Lösungen angestrebt werden.

[maeck 10]

Danke für eure ganzen Antworten.

 

Natürlich verhindert das nicht 100ig, dass ich keine fremden Rechner im Netz habe, aber es hindert die Leute schon mal daran, denn die müssen erst einmal das Netz herausfinden, um sich eine statische IP anzulegen.

 

Die NTFS-Berechtigungen sind schon korrekt gesetzt, da mach ich mir keine Sorgen.

 

Es ist so, dass wir ein WLAN haben, was Gäste benutzen können. Das liegt in einem anderen Subnetz und ich habe weniger Sorgen, dass mir die Leute mit ihren fremden Notebooks Viren ins Haus bringen.

Deswegen möchte ich vermeiden, dass sie sich einfach ein LAN-Kabel schnappen und sich einklinken.

 

Gruß maeck