genab.de 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 kann ich einen DHCP Server mit IPsec absichern? vorher mit statischen IP adressebn den Clients Zertifikate geben kan das funktionieren? oder fragt der Client bereits den DHCP Server, bevor er sein CA Dienst geladen hat? Zitieren
carlito 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 kann ich einen DHCP Server mit IPsec absichern? Was bezweckst du damit? Zitieren
genab.de 10 Geschrieben 22. Juni 2006 Autor Melden Geschrieben 22. Juni 2006 ich hab hier ne Aufgabenstellung, wo ich eben einen DHCP Server mit IPsec absichern soll... Das würde ich aber nie machen, warum auch? Ich dachte, das das gar nicht geht.... Deshalb frag ich Zitieren
carlito 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 ich hab hier ne Aufgabenstellung, wo ich eben einen DHCP Server mit IPsec absichern soll... Das würde ich aber nie machen, warum auch? Ich dachte, das das gar nicht geht.... Deshalb frag ich Ich verstehe den Sinn der Aktion nicht. Deshalb frage ich. Zitieren
genab.de 10 Geschrieben 22. Juni 2006 Autor Melden Geschrieben 22. Juni 2006 IPsec sichert den Server - egal was er betreibt..... wieso nicht auch DHCP mit IPsec sichern, der Server kann ja noch mehr betreiben..... Meine frage ist, ob es überhaupt möglich ist, Wenn ja, dann bekommen nur meine User in der Active Directory IP Adressen zugewiesen. Einbrecher (z.B. WLAN) bekommen gar nix.... Zitieren
carlito 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 IPsec sichert den Server - egal was er betreibt..... Aha. wieso nicht auch DHCP mit IPsec sichern, der Server kann ja noch mehr betreiben..... Nochmal die Frage: was soll das bringen!? Meine frage ist, ob es überhaupt möglich ist, Ich bezweifle, das es überhaupt möglich ist. Geschweige denn sinnvoll. Einbrecher (z.B. WLAN) bekommen gar nix.... Wenn du ungesicherte Access Points betreibst, hast du ein ganz anderes Problem. Es sei denn, du betreibst einen kostenlosen Hot Spot. ;) Für mich hört sich das Ganze danach an, DHCP als Ersatz für mangelnde Netzwerksicherheit missbrauchen zu wollen, damit bestimmte Clients keine DHCP Adressen bekommen. Dieses Thema hatten wir schon oft. Zitieren
genab.de 10 Geschrieben 22. Juni 2006 Autor Melden Geschrieben 22. Juni 2006 ne - Ich Lerne gerade für die 70.298 und das ist eine Richtige Antwort. Mein 1. Gedanke war - wie soll das gehen. Deshabl frage ich nur um die machbarkeit. Ich denke mir, das der Client erst mal ein DHCP Request rausschickt, bevor er überhaupt den CA Dienst startet. Deshalb wird ihn der DHCP Server nicht verstehen Zitieren
carlito 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 ne - Ich Lerne gerade für die 70.298 und das ist eine Richtige Antwort. Wo steht diese Frage? Kannst du bitte die komplette Frage und Antwort hier posten? Ich denke mir, das der Client erst mal ein DHCP Request rausschickt, bevor er überhaupt den CA Dienst startet. Deshalb wird ihn der DHCP Server nicht verstehen Das denke ich mir auch. Zitieren
genab.de 10 Geschrieben 22. Juni 2006 Autor Melden Geschrieben 22. Juni 2006 nun verstehe ich es endlich... IPsec bedeutet ja nicht, das ich Zertifikate benützen muss.... ich kann ja auch nur alle Ports sperren, die ich nicht für DHCP brauche. also eine IPsec Regel machen, wo TCP und UDP fast alles gesperrt wird. Dann ist der Server sicher. Das müsste dich gehen Zitieren
lefg 276 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 Ich sitze hier, staune mit offenen Mund, verstehe nur Bahnhof, sehe den Zug hinterher. kann ich einen DHCP Server mit IPsec absichern?Wogegen denn absichern? Zitieren
woiza 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 Ich nehme mal an, das hier maximal der Portfilter von IPSec gemeint sein kann. L2TP kann ja per Definition nicht funktionieren, weil der Discover des Clients ja als Broadcast kommt. Wie soll denn da eine Verschlüsselung ausgehandelt werden. Du kannst also maximal alles, außer UDP 67 und 68 schließen. Aber damit verhinderst du nur Angriffe auf andere Dienste des Servers, nicht, dass sich jemand eine DHCP-Adresse erschleicht. Hier wäre wohl eher statisches DHCP mit festen MAC-Adressen im DHCP-Server geeignet. Gut, wobei man auch die MAC spoofen kann... Gruß woiza Zitieren
nouseforaname 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 Hi, Zitat von lefg: Ich sitze hier, staune mit offenen Mund, verstehe nur Bahnhof, sehe den Zug hinterher. besser hätte ich es nicht ausdrücken können:) ; die einzige variante die wirklich sicher verhindert dass ein unbekannter client bzw. ein nicht autorisierter client keine IP-Adresse bekommt bzw. nicht am Netzwerk teilnehmen kann ist 802.1x! ipsec dazu zu missbrauchen ist denke ich nicht so gedacht und würde hoechstwars***einlich auch nur probleme bereiten. mfg kai Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.