Zugriffslisten basierend auf MAC-Adressen (war: MAC-Adresse IP-Adresse bei DHCP ...)

[Milenio2003]

Hallo!

In einem Windows 2000 Netzwerk mit DHCP Server sollen nur Rechner eine IP Adresse vom DHCP Server bekommen, die zuvor mit Ihre MAC-Adresse beim DHCP Server eingetragn wurden.

Soll verhindern das unbefugte mit einem Notebook z.B. Zugriff auf ein Firmennetzwerk bekommen und Datenklau betreiben...

Wie realisiert man sowas?

Gruß

Marco

[Hawkeye]

Bei der Konfiguration eines DHCP-Servers kannst Du 2 Wege waehlen, um IPs zu vergeben.

Der eine Weg erstelt Dir einen Pool von IP Adressen, die er vergeben kann, eine sog. "Range". Dort gibt man bspw. an, dass alle IP-Adressen von 192.168.0.200 bis 192.168.0.250 frei vergeben werden koennen. Jetzt kann jeder richtig konfigurierte Rechner in diesem Netzwerk eine IP vom DHCP Server bekommen.

Der andere Weg ist der, den Du meinst. Man vergibt "fixed-addresses". Man traegt also den Rechner mit MAC-Adresse ein und weist ihm eine bestimmte IP aus dem Subnetz zu. So wird dieser Rechner jedesmal, wenn er sich per DHCP-REQUEST beim Server meldet, die gleiche IP erhalten.

Man kann durchaus beide Wege gleichzeitig anwenden. Nur sollte man dann davon absehen, die fixed-addresses im selben Bereich zu vergeben, in dem man auch die Range gesetzt hat.

HTH

@Mods

Bitte nach Networking Technologies verschieben.

[Milenio2003]

Wie sieht es bei der Variante "fixed-Adresses" mit der Sicherhrit aus? Was passiert wenn ich ein Notebook anschließe, dessen Mac-Adresse wohlgemerkt dem DHCP-Server nicht beknatt ist? Bekommt das Notebook eine IP-Adresse?

Der Hintergrundgedanke ist ganz einfach, wenn ich in einem Netzwerk feste IPs vergebe, kann man immer noch unbefugt eindringen, denn den IP strang heruaszubekommen sollte nicht schwer sein wenn man sich einfach mal an einem Rechner des Netzwerkes umsieht. Somit käme das Fremde Notebook auf jeden Fall ins Netzwerk!

Mit DHCP wäre es sogar noch einfacher für den Eindringling! Wenn ich nun mit den fixed-Adresses arbeite, garantiert mir das auch das wirklich nur der Rechner eine IP Adresse bekommt der am DHCP Server mit einer MAC-Adresse bekannt ist?

Wenn ja, wo richte ich soetwas unter Windows 2000 Server ein???

[Hawkeye]

Aehm, der DHCP ist ja eher etwas organisatorisches, bzw. praktisches und weniger auf Sicherheit bezogen. Ein Rechner, der eine IP des Netzes hat, kommt definitiv rein, egal, ob er seine IP jetzt vom DHCP erhaelt, oder nicht. Da ist es dann auch unerheblich, ob man nur mit fixed-addresses arbeitet oder mit einem Pool. Wenn derjenige sein Notebook so einstellt, dass er sich selber eine IP-Adresse vergibt (also eine feste eintraegt) und diese in dem Netz gerade nicht genutzt wird, dann ist er im Netzwerk drin. Egal, ob da ein DHCP ist, oder nicht.

[Nalimov]

Sicherheit und DHCP sind hier zwei völlig verschiedene Dinge. Hat der DHCP-Server eine fixed Adresse vergeben und ist dieser Rechner im Netz dann kann ein anderer diese IP nicht benutzen (d.h. er kann evtl. schon aber das ergibt ziemliches Chaos im Netz. Und zumindest windows mault erstmal dass diese Adresse schon im Netz vorhanden ist). Umgekehrt interessiert es den DHCP-Server relativ wenig ob jemand von Hand eine Adresse in sein Notebook eingegeben hat. Frägt das Gerät mit der richtigen NIC den DHCP-Server nach einer Adresse bekommt es auch die dafür eingetragene. Egal ob die jetzt im Netz schon vorhanden ist oder nicht. (und wir haben wieder Chaos. Ob dann irgendwo beim DHCP eine Fehlermeldung erscheint weiss ich allerdings nicht. Ausprobiert hab ich dieses Szenario noch nie...). Nur wenn ausschließlich der DHCP-Server die Adressen vergibt kann man ausschließen, dass doppelte vergeben werden. Ansonsten kommt es zu Fehlern.

[Milenio2003]

Das ganze soll so realisiert werden das nur von vorherien definierte IP-Adressen mit Mac-Adress-zuweisung im Netzwerk vergeben werden sollen! Mit anderen Worten, taucht eine MAC-Adresse auf, egal ob sie nun die IP vom DHCP hat oder sich selbst gegeben hat, und nicht im Sytem bekannt ist, soll kein Zugriff auf das Netzwerk erfolgen... Womit kann man das umsetzten?

[hades]

@Milenio2003:

Ich habe mal den Threadtitel an Dein Problem angepasst.

Denn dieses Problem hat nichts mit DHCP zu tun.

Ein DHCP-Server ist nur fuer die Zuweisung von IP-Adressen und der Netzwerkkonfiguration verantwortlich, nicht fuer Zugriffslisten.

[Milenio2003]

Ich glaube die Lösung bekommen zu haben! Ein Bekannter hat mir mitgeteilt das es managbare Switches mit MAC-Filtern gibt... Es werden alle MAC-Adressen eingetragen die Zugriff bekommen sollen und gut ist! Ist ein Rechner dabei dessen MAC-Adresse nicht dem Switch nicht bekannt ist, gibts auch keine Verbindung!

Wunderbar, das habe ich gesucht!

[beko]

Blöde Frage aber sind die Dinger nicht irre teuer im Vergleich zu ihrem Nutzen? Ich meine es ist z.b. ein einziger simpler Befehl und mein Laptop nimmt die Mac-Adresse meines Wunsches an. Natürlich muss ich auch erst den Macadressenraum kennen aber wenn du z.b. all deine Karten mit einer Lieferung von Realteak erhalten hast kann ich mir den Mac-Raum in etwa herausfutzeln. Ein kleines Script müsste mir dann die Arbeit abnehmen und ziemlich rasch alle Adressen durchprobieren.

Das ist nur eine Theorie, ich kenne mich da nicht 100%ig aus aber die Macadressen in der Berufsschule z.b. sind bekannt - nur nutzlos weil da eh alles offen ist ^-^

[hades]

Sicher, es gibt keinen 100%igen Schutz.

Denn Du kannst Deine MAC-Adresse per Software aendern.

Aber der Switch sagt da nur Access denied (wenn er ueberhaupt eine Fehlermeldung ausspuckt) und nicht, dass Deine MAC-Adresse nicht zugelassen ist.

Auch weisst Du nicht immer, welche Netzwerkkarten im LAN verbaut sind.

Es wird auch bemerkt, wenn zwei gleiche MAC-Adressen im selben Segment existieren.