Jump to content
Sign in to follow this  
NetJay

DHCP Sicherheitsfrage...

Recommended Posts

Tach,

bin z Zt etwas verwirrt. Wenn ich in einer Domäne einen DHCP einbringe und starte, könnte dann z.B. ein Besucher mit seinem eigenen Laptop, auf dem er dann ja lokaler Admin ist, sich ans Netz hängen und würde vom DHCP eine Adresse erhalten? Natürlich für den Fall APIPA an. Oder gibt es da eine Sicherheitsvorkehrung? Mir ist ja klar, das er sich nirgends authentifizieren könnte, aber ein Blick in die interne Netztopologie reicht ja erstmal aus...

 

mfg

NetJay

Share this post


Link to post

Das lässt sich nur verhindern, indem man auf einem managebaren Switch Accesslisten pflegt oder im DHCP alle Adressen für bekannte MACs reserviert.

 

grizzly999

Share this post


Link to post

Thanxx, dann könnt ich aber auch gleich bei fester IP Vergabe bleiben und dynamische Updates nicht zulassen.

 

 

802.1x? soll mir was sagen?

Share this post


Link to post
Original geschrieben von NetJay

802.1x? soll mir was sagen?

 

Ja, z.B. dass Du die Suchmaschine Deines Vertrauens diesbezüglich befragst.

 

Gruss

Markus

Share this post


Link to post
Original geschrieben von grizzly999

Oder so ... nur was ist aufwendiger?

 

Deine Variante natürlich :D

 

Wenns einmal aufgesetzt ist läuft 802.1x mehr oder weniger von alleine da alle Infos zentral im AD liegen und auf den Switches / WLAN-APs nur eben "802.1x" konfiguriert werden muss.

 

Im DHCP die MACs einzutragen und das dann auch noch parallel auf Switches und WLAN-APs zu pflegen wird zur alleinigen Lebensaufgabe - könnte man vielleicht an ein Straflager in Hintersibirien outsourcen :D

 

Nachteil von 802.1x: Zertifikate erforderlich und Switches / APs die das unterstützen.

 

Gruss

Markus

Share this post


Link to post
Original geschrieben von Blacky_24

Ja, z.B. dass Du die Suchmaschine Deines Vertrauens diesbezüglich befragst.

 

Gruss

Markus

 

Ja natürlich, warum bin ich da nicht gleich drauf gekommen? Hättest Allerdings auch schon in Deinem ersten Posting schreiben können, maybe sehe ich das ja anders, ich bin hier Registriert um Artikel aus der Praxis und für die Praxis zu lesen, oder zu verfassen. Nicht dafür das mir bei einer Frage einfach nur Begriffe hingeworfen werden, nach denen ich dann suchen soll...

 

Sonst könnte man ja direkt hinter die Index seite den Google Link setzen... Soviel zum Thema Lösungen in Suchmaschienen zu finden.

 

mfg

NetJay

Share this post


Link to post
Original geschrieben von NetJay

Ja natürlich, warum bin ich da nicht gleich drauf gekommen?

 

Eben!

 

Original geschrieben von NetJay

Hättest Allerdings auch schon in Deinem ersten Posting schreiben können, maybe sehe ich das ja anders, ich bin hier Registriert um Artikel aus der Praxis und für die Praxis zu lesen, oder zu verfassen. Nicht dafür das mir bei einer Frage einfach nur Begriffe hingeworfen werden, nach denen ich dann suchen soll...

 

So ein Forum sollte Hilfe zur Selbsthilfe sein, kein Outsourcing für selbständiges Überlegen, Beiträge beruhen auf Freiwilligkeit, Anspruch auf frei Haus-Lieferung von Infos gibt es nicht

 

Konkrete Vorschläge zu komplexen "Lösungen" kann es nur auf der Basis umfangreicher, konkreter Informationen geben, allgemein gehaltene Fragen kann man nur mit ebenso gehaltenen Antworten beantworten. Übrigens wäre die korrekte Antwort auf Deine ursprüngliche Frage "Ja" gewesen.

 

Original geschrieben von NetJay

Sonst könnte man ja direkt hinter die Index seite den Google Link setzen... Soviel zum Thema Lösungen in Suchmaschienen zu finden.

 

Eine Suchmaschine hilft nur dann weiter wenn man die korrekten Fragen stellt bzw. die richtigen Suchbegriffe verwendet.

 

Eine einfache Suche nach "802.1x" in Google liefert 150.000 Treffer. Was meinst Du was man hier noch zu dem Thema schreiben kann was nicht schon zigfach anderweitig geschrieben wurde? Und warum soll ich hier stundenlang Zeit aufwänden um etwas hochkomplexes grundlegend zu beschreiben wenn sich schon etliche andere Leute diese Arbeit gemacht haben?

 

Aber weil Du so nett gefragt hast: Port-based network access control makes use of the physical access characteristics of IEEE 802 Local Area Networks (LAN) infrastructures in order to provide a means of authenticating and authorizing devices attached to a LAN port that has point-to-point connection characteristics, and of preventing access to that port in cases in which the authentication and authorization process fails.

 

Ich verlinke Dir einfach mal den einschlägigen Standard der IEEE http://standards.ieee.org/getieee802/download/802.1X-2001.pdf das sind schlappe 140 Seiten komprimierter Informationen, wenn Du die durch hast kannst Du ja gerne hier einen Fachartikel verfassen, falls die Infos nicht reichen kann ich Dir vielleicht noch ungefähr 1000 Seiten Nebeninfos / Beschreibungen / Kommentare / Analysen zu 802.1x liefern plus eine kleine Literaturliste.

 

Gruss

Markus

Share this post


Link to post

Grundlegend vorab, ich möchte hier keinen anpöbeln oder die Stimmung vermiesen.

Dann danke für die grundlegenden Informationen.

 

So, ich habe nicht erwartet das hier jemand vorbeikommt und mir das erklärt und nebenbei noch einstellt. Lediglich wenn jemand, in dem Fall Du 802.1x erwähnst, könntest Du ja auch kurz und knapp beschreiben was dahinter steckt. Eine Schritt für Schritt Erklärung habe ich mit Sicherheit nicht erwartet. Klar man kann so viel "ergooglen", aber wirklich wissenswertes eher weniger, oder erst auf der 132 Seite mal ein kleiner Hinweis.

Nochmal danke

 

mfg

NetJay

 

 

€dit:

Original geschrieben von Blacky_24

So ein Forum sollte Hilfe zur Selbsthilfe sein, kein Outsourcing für selbständiges Überlegen, Beiträge beruhen auf Freiwilligkeit, Anspruch auf frei Haus-Lieferung von Infos gibt es nicht

 

Dieses möchte ich nochmal aufgreifen und den Anstoß geben vielleicht nicht einfach nur Tippen, sondern auch wissen was man da schreibt. Schlagwort Freiwilligkeit.

Immernoch danke!

Share this post


Link to post

Ach ja mir gehts schon ganz gut.

 

Ich meine auch, dass 802.1x das beste wäre. Das ganze ist ( http://www.gwdg.de/forschung/veranstaltungen/workshops/security_ws_2003/wlan_sec.pdf ) ganz gut erklärt. Ich habe auch schon mal über sowas nachgedacht, doch leider fehlen mir die entsprechenden Switches. Ich habe aber alle Netzwerkkarten im netz mit einem "Fleck" versehen und wer ohne Fleck kommt geht ins Nirwahna. Sicher halte ich damit nur Anfänger ab, aber besser als nichts. Auf den AP`s plege ich die Macadressen.

 

So ich muss jetzt noch mal beim Chef kratzen, vielleicht spuckt er ja ein paar switches aus.

 

Gruss

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...