genab.de 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 kann ich einen DHCP Server mit IPsec absichern? vorher mit statischen IP adressebn den Clients Zertifikate geben kan das funktionieren? oder fragt der Client bereits den DHCP Server, bevor er sein CA Dienst geladen hat?
carlito 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 kann ich einen DHCP Server mit IPsec absichern? Was bezweckst du damit?
genab.de 10 Geschrieben 22. Juni 2006 Autor Melden Geschrieben 22. Juni 2006 ich hab hier ne Aufgabenstellung, wo ich eben einen DHCP Server mit IPsec absichern soll... Das würde ich aber nie machen, warum auch? Ich dachte, das das gar nicht geht.... Deshalb frag ich
carlito 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 ich hab hier ne Aufgabenstellung, wo ich eben einen DHCP Server mit IPsec absichern soll... Das würde ich aber nie machen, warum auch? Ich dachte, das das gar nicht geht.... Deshalb frag ich Ich verstehe den Sinn der Aktion nicht. Deshalb frage ich.
genab.de 10 Geschrieben 22. Juni 2006 Autor Melden Geschrieben 22. Juni 2006 IPsec sichert den Server - egal was er betreibt..... wieso nicht auch DHCP mit IPsec sichern, der Server kann ja noch mehr betreiben..... Meine frage ist, ob es überhaupt möglich ist, Wenn ja, dann bekommen nur meine User in der Active Directory IP Adressen zugewiesen. Einbrecher (z.B. WLAN) bekommen gar nix....
carlito 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 IPsec sichert den Server - egal was er betreibt..... Aha. wieso nicht auch DHCP mit IPsec sichern, der Server kann ja noch mehr betreiben..... Nochmal die Frage: was soll das bringen!? Meine frage ist, ob es überhaupt möglich ist, Ich bezweifle, das es überhaupt möglich ist. Geschweige denn sinnvoll. Einbrecher (z.B. WLAN) bekommen gar nix.... Wenn du ungesicherte Access Points betreibst, hast du ein ganz anderes Problem. Es sei denn, du betreibst einen kostenlosen Hot Spot. ;) Für mich hört sich das Ganze danach an, DHCP als Ersatz für mangelnde Netzwerksicherheit missbrauchen zu wollen, damit bestimmte Clients keine DHCP Adressen bekommen. Dieses Thema hatten wir schon oft.
genab.de 10 Geschrieben 22. Juni 2006 Autor Melden Geschrieben 22. Juni 2006 ne - Ich Lerne gerade für die 70.298 und das ist eine Richtige Antwort. Mein 1. Gedanke war - wie soll das gehen. Deshabl frage ich nur um die machbarkeit. Ich denke mir, das der Client erst mal ein DHCP Request rausschickt, bevor er überhaupt den CA Dienst startet. Deshalb wird ihn der DHCP Server nicht verstehen
carlito 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 ne - Ich Lerne gerade für die 70.298 und das ist eine Richtige Antwort. Wo steht diese Frage? Kannst du bitte die komplette Frage und Antwort hier posten? Ich denke mir, das der Client erst mal ein DHCP Request rausschickt, bevor er überhaupt den CA Dienst startet. Deshalb wird ihn der DHCP Server nicht verstehen Das denke ich mir auch.
genab.de 10 Geschrieben 22. Juni 2006 Autor Melden Geschrieben 22. Juni 2006 nun verstehe ich es endlich... IPsec bedeutet ja nicht, das ich Zertifikate benützen muss.... ich kann ja auch nur alle Ports sperren, die ich nicht für DHCP brauche. also eine IPsec Regel machen, wo TCP und UDP fast alles gesperrt wird. Dann ist der Server sicher. Das müsste dich gehen
lefg 276 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 Ich sitze hier, staune mit offenen Mund, verstehe nur Bahnhof, sehe den Zug hinterher. kann ich einen DHCP Server mit IPsec absichern?Wogegen denn absichern?
woiza 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 Ich nehme mal an, das hier maximal der Portfilter von IPSec gemeint sein kann. L2TP kann ja per Definition nicht funktionieren, weil der Discover des Clients ja als Broadcast kommt. Wie soll denn da eine Verschlüsselung ausgehandelt werden. Du kannst also maximal alles, außer UDP 67 und 68 schließen. Aber damit verhinderst du nur Angriffe auf andere Dienste des Servers, nicht, dass sich jemand eine DHCP-Adresse erschleicht. Hier wäre wohl eher statisches DHCP mit festen MAC-Adressen im DHCP-Server geeignet. Gut, wobei man auch die MAC spoofen kann... Gruß woiza
nouseforaname 10 Geschrieben 22. Juni 2006 Melden Geschrieben 22. Juni 2006 Hi, Zitat von lefg: Ich sitze hier, staune mit offenen Mund, verstehe nur Bahnhof, sehe den Zug hinterher. besser hätte ich es nicht ausdrücken können:) ; die einzige variante die wirklich sicher verhindert dass ein unbekannter client bzw. ein nicht autorisierter client keine IP-Adresse bekommt bzw. nicht am Netzwerk teilnehmen kann ist 802.1x! ipsec dazu zu missbrauchen ist denke ich nicht so gedacht und würde hoechstwars***einlich auch nur probleme bereiten. mfg kai
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden