Jump to content
Sign in to follow this  
genab.de

DHCP mit IPsec sichern?

Recommended Posts

kann ich einen DHCP Server mit IPsec absichern?

 

 

vorher mit statischen IP adressebn den Clients Zertifikate geben

 

 

 

kan das funktionieren?

 

 

oder fragt der Client bereits den DHCP Server, bevor er sein CA Dienst geladen hat?

Share this post


Link to post

ich hab hier ne Aufgabenstellung, wo ich eben einen DHCP Server mit IPsec absichern soll...

 

 

Das würde ich aber nie machen, warum auch?

 

Ich dachte, das das gar nicht geht....

 

 

Deshalb frag ich

Share this post


Link to post
ich hab hier ne Aufgabenstellung, wo ich eben einen DHCP Server mit IPsec absichern soll...

 

 

Das würde ich aber nie machen, warum auch?

 

Ich dachte, das das gar nicht geht....

 

 

Deshalb frag ich

 

Ich verstehe den Sinn der Aktion nicht. Deshalb frage ich.

Share this post


Link to post

IPsec sichert den Server - egal was er betreibt.....

 

 

wieso nicht auch DHCP mit IPsec sichern, der Server kann ja noch mehr betreiben.....

 

Meine frage ist, ob es überhaupt möglich ist,

 

 

Wenn ja, dann bekommen nur meine User in der Active Directory IP Adressen zugewiesen.

 

Einbrecher (z.B. WLAN) bekommen gar nix....

Share this post


Link to post
IPsec sichert den Server - egal was er betreibt.....

 

Aha.

 

wieso nicht auch DHCP mit IPsec sichern, der Server kann ja noch mehr betreiben.....

 

Nochmal die Frage: was soll das bringen!?

 

Meine frage ist, ob es überhaupt möglich ist,

 

Ich bezweifle, das es überhaupt möglich ist. Geschweige denn sinnvoll.

 

Einbrecher (z.B. WLAN) bekommen gar nix....

 

Wenn du ungesicherte Access Points betreibst, hast du ein ganz anderes Problem. Es sei denn, du betreibst einen kostenlosen Hot Spot. ;)

 

Für mich hört sich das Ganze danach an, DHCP als Ersatz für mangelnde Netzwerksicherheit missbrauchen zu wollen, damit bestimmte Clients keine DHCP Adressen bekommen. Dieses Thema hatten wir schon oft.

Share this post


Link to post

ne - Ich Lerne gerade für die 70.298

 

und das ist eine Richtige Antwort.

 

 

Mein 1. Gedanke war - wie soll das gehen.

 

 

Deshabl frage ich nur um die machbarkeit. Ich denke mir, das der Client erst mal ein DHCP Request rausschickt, bevor er überhaupt den CA Dienst startet. Deshalb wird ihn der DHCP Server nicht verstehen

Share this post


Link to post
ne - Ich Lerne gerade für die 70.298

 

und das ist eine Richtige Antwort.

 

Wo steht diese Frage? Kannst du bitte die komplette Frage und Antwort hier posten?

 

Ich denke mir, das der Client erst mal ein DHCP Request rausschickt, bevor er überhaupt den CA Dienst startet. Deshalb wird ihn der DHCP Server nicht verstehen

 

Das denke ich mir auch.

Share this post


Link to post

nun verstehe ich es endlich...

 

 

IPsec bedeutet ja nicht, das ich Zertifikate benützen muss....

 

ich kann ja auch nur alle Ports sperren, die ich nicht für DHCP brauche.

 

also eine IPsec Regel machen, wo TCP und UDP fast alles gesperrt wird.

 

Dann ist der Server sicher.

 

 

Das müsste dich gehen

Share this post


Link to post

Ich sitze hier, staune mit offenen Mund, verstehe nur Bahnhof,

sehe den Zug hinterher. :confused:

 

kann ich einen DHCP Server mit IPsec absichern?
Wogegen denn absichern? :confused:

Share this post


Link to post

Ich nehme mal an, das hier maximal der Portfilter von IPSec gemeint sein kann. L2TP kann ja per Definition nicht funktionieren, weil der Discover des Clients ja als Broadcast kommt. Wie soll denn da eine Verschlüsselung ausgehandelt werden. Du kannst also maximal alles, außer UDP 67 und 68 schließen.

 

Aber damit verhinderst du nur Angriffe auf andere Dienste des Servers, nicht, dass sich jemand eine DHCP-Adresse erschleicht. Hier wäre wohl eher statisches DHCP mit festen MAC-Adressen im DHCP-Server geeignet.

 

Gut, wobei man auch die MAC spoofen kann...

 

Gruß

 

woiza

Share this post


Link to post

Hi,

 

Zitat von lefg: Ich sitze hier, staune mit offenen Mund, verstehe nur Bahnhof,

sehe den Zug hinterher. :confused:

 

besser hätte ich es nicht ausdrücken können:) ;

 

die einzige variante die wirklich sicher verhindert dass ein unbekannter client bzw. ein nicht autorisierter client keine IP-Adresse bekommt bzw. nicht am Netzwerk teilnehmen kann ist 802.1x!

ipsec dazu zu missbrauchen ist denke ich nicht so gedacht und würde hoechstwars***einlich auch nur probleme bereiten.

 

mfg

kai

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...