|
IP Adressen Verwaltung, DHCP Server Sicherheitslücke!?
Hi wieder mal!
Ich hab folgendes Szenario/Problem und hoffe das ihr mit mir ein wenig zusammen arbeiten könnts um dieses Problem best möglichst zu lösen! Ich hab 1 Subnetz, 1 DHCP Server, 1 Proxy der vor einem Router steht. Die Verwaltungsrechner bekommen Ihre IP adresse über DHCP Server, die Schulungs Rechner haben alle statische IP adressen vergeben, sind allerdings im gleichen IP Netz. Jetzt geht es darum, ich möchte gerne unterbinden das ein Teilnehmer mit einen Notebook kommt, es ansteckt und er einfach "unseren" Internetzugang nutzen kann, weil er ja ein DHCP Release bekommt! An Lösungen bzgl einem ISA Server hab ich schon gedacht, allerdings ist mir diese Lösung zu teuer, alles was ich zur Zeit in großen Mengen ausgeben kann ist viel Zeit :) Ich könnte die Verwaltungsrechner auf Statische IP adressen umstellen und den DHCP Server komplett wegnehmen (gibts vielleicht eine bessere Lösung?) ich könnte auch die Schulungsrechner in ein eigenes subnezt oder sogar in ein eigenes Vlan hängen, allerdings bräuchte ich dann wieder einen proxy/router vor dem Router *gg* Ich wollte nur fragen ob vielleicht jemand noch eine Idee hätte wie ich das Problem lösen könnte.. lg ghandi |
Zitat:
Ich würde den DHCP Server so konfigurieren, daß bekannte Rechner die IP aufgrund der MAC-Adresse bekommen. Unbekannte Rechner einen bestimmten Bereich aus dem Subnet, der vom Inet ausgeschlossen ist. MAC-Spoofing sollte auch noch entsprechend überwacht werden. |
Es dürfte klar sein, dass das einzige Gerät, das diesen Zugang verhindern kann der Router ist. Um weiter helfen zu können, solltest du uns mitteilen, was für ein Router das ist bzw welche Firewallfunktionen er hat. Weiters würde mich interessieren, was der jenige dann mit den Notebook machen darf, und ob die Schulungs PCs ins Internet dürfen.
Ganz versteh ich auch nicht wieso einige PCs dynamische, bzw ander fixe IPs haben, aber das soll das kleinere Problem sein. Am sichersten ist es wenn du ein physikalisches Subnet, also eine eigene Verkabelung für die Laptopanschlüsse machst, und diese über eine Linux-Kiste ins Netz laßt. Diese Linuxkiste hat einen Router und DHCP Server, der IPs vergibt, die der Router nach Außen nicht weiterleitet. Weiters mußt du aber auch in dieser LinuxKiste verhindern, dass jemand einen Verbindungsaufbau mit den Proxy macht!! Mit einer gemeinsamen Verkabelung bleibt dir nur über via DHCP den bekannten MAC Adressen eine IP Adresse zuzuordnen, die der Router weiterleitet und die unbekannten (also sollten dann die der Laptops sein) nicht weiterleitet. Da ist, dann aber nicht merh der sinn der Sache namens DHCP wenn du erst für fast jeden Host alles aufschreiben mußt (also MAC -> IP). |
Zitat:
|
grüss euch!
ich seh schon, über die statische vergabe, sei es nun mac oda ip werd ich wohl net herum kommen. um das ganze ein wenig genauer zu beschreiben ,(sorry das ich das nicht schon vorhin machte) die schulungsrechner müssen natürlich auch ins internet allerdings NUR, die schulungsrechner, und nicht irgendwelche Privat rechner (notebooks) verkabelt ist leider schon alles (seit 2-3 jahren), die dosen sind auch alle vorhanden, ich kann also nicht verhindern das jemand her geht und sein notebook an einer schulungsrechner dose ansteckt. wir benutzen dort einen uralten Teltrend Router, den der Provider verwaltet, was die firewall aktivität betrifft, hab ich leider keine ahnung --> provider Der Grund warum die Verwaltungsrechner noch über DHCP fahren ist der, das es net grad wenig sind! Die Schulungsrechner haben deshalb jetzt schon eine statische, auf grund von verschiedenen software/-überwachungsprogrammen, dass erleichtert einiges wenn man schön sieht welcher rechner grad mit kazaa fest mp3s saugt (da wäre dann auch wieder das problem mit den notebooks) natürlich könnten wir die ports sperren, für kazaa, zb. allerdings das die privaten ins internet kommen wäre damit auch noch nicht geklärt. so wies aussieht werd ich wohl die mac adressen am dhcp einstellen müssen, ist zwar fürn anfang ein haufen arbeit aber wenns mal läuft ich seh zumindest keine andere "gscheite" alternative.. ? lg und danke schonmal.. ghandi |
Ja es ist mal ne Möglichkeit aber damit ich dich richtig versteh. Ins Internet kann man über Router oder Proxy, oder geht der Proxy über den Router und eine Verbindung nur über Router geht nicht?
Wenn du nur über den Proxy ins Internet kommst mußt du nur dort einstellen welche IP Adressen er sperren soll. Kann man via Router oder Proxy ins Netz mußt du beide über die gesperrten IP Adressen informieren. |
hi,
also es sieht so aus, das wir dort vor dem internet einen router haben und gleich dahinter einen proxy, der proxy dient für schulungszwecke, da die ja eh imma auf den gleichen sites surfen, sollt er diese zwischen speichern :) ich werd das machen mit den mac adressen, is mir persönlich das liebste.. obwohl ich sonst wirklich gleich statisch umstellen könnt, allerdings müsst ich dann im proxy erst wieder alles einstellen *brrr* müsst ich sowieso... danke nochmal für die hilfe! ;) lg ghandi |
ich weis nicht obs funzt aber vielleicht gehts mit dem dns server. Wärs nicht möglich dass nur bestimme benutzer anfragen an den dns server stellen können?
Wenn sich einer mit dem laptop dranhängt bekommt er zwar eine ip kann aber keine dns abfragen machen und daher nicht surfen. Mit den sicherheitseinstellungen vom windows dns müsste dass doch eigentlich gehen. Wenn er einen anderen dns einträgt kann man das zwar umgehen aber dass ist für einen dau einen unüberwindbare hürde. |
Könntest nicht das Netz so umbauen, daß
Router<-->Proxy<-->Dhcp-Server<-->Lan hast. Dann könntest doch die Zugangskontrolle auch auf dem Dhcp-Server realisieren. |
hmm..
die frage ist ob sich das alles realisieren lässt, da es leider kein w2k netz is sondern ein NT netzwerk, inkl. DHCP.. *brr* lg |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 04:03 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag