DHCP funktioniert zu gut

Sodian · 31.05.2007

Hallo,

jetzt bin ich mal total verwirrt: in meinem Netz habe ich einen DC auf der Basis von Windows Server 2003 EE R2 (im Folgenden Server). Dort habe ich AD, DNS, WINS und DHCP konfiguriert und alles funktioniert wunderbar. Nur habe ich soeben einen PC gebaut (im Folgenden PC), auf diesem Windows Server 2003 EE R2 installiert und da dieser Server in einer anderen Domäne als Redundanz dienen soll, vorerst die Zugehörigkeit zur Standard-Arbeitsgruppe namens Arbeitsgruppe gelassen. Nun wurde Windows fertig installiert und danach habe ich die Treiber, u.a. für die NIC eingespielt. D.h., die TCP/IP-Parameter waren noch nicht eingegeben. Daraufhin hat sich der PC einfach die Daten per DHCP an dem vorhandenen Server geholt und das, obwohl der PC nicht Mitglied der Domäne ist, die auf dem Server eingerichtet wurde!

Meine Frage an euch: wieso bekommt ein Rechner einfach so Konfigurationsdaten vom DHCP-Server? Ich bin bisher immer davon ausgegangen, dass Computer erst in die Domäne gehoben werden müssen, damit der Server diesen Domänenmitgliedern DHCP zu Teil werden lässt. Oder irre ich mich da?

Vielen Dank,

Sodian

twoday · 31.05.2007

DHCP hat mit Domänen nix zu tun - wenn du nen Rechner hast, der seine IP per DHCP bekommt, schickt dieser Rechner eine Anfrage per Broadcast ins Netz und wenn ein DHCP-Server antwortet, bekommt er von dem ne IP zugewiesen. First come, first served - Sicherheitsmechanismen leider Fehlanzeige.

Gruss
twoday

Sodian · 01.06.2007

Uh? Danke für Deine Antwort, aber das ist ja grauenhaft! Das bedeutet, dass jeder einen Rechner einstöpseln und über unser Netz surfen kann. Denn Gateway und DNS werden ja vom DHCP-Server mit übertragen. Gibt es denn keine Möglichkeit, nur bestimmten Rechnern per DHCP Verbindungsdaten zuzuweisen?

Eddie · 01.06.2007

Da musst Du Dein Netz schon anders absichern. Z.B. Switch, der mit MAC Filtern arbeitet.
Alternativ ein ordentliches Gateway, das nur Domänenbenutzern das Surfen ermöglicht.

Eddie

Sodian · 01.06.2007

Vielen Dank für Deine Antwort!

Mein Problem ist, dass unser Gateway extern bei einem Dienstleister steht. D.h. ich müsste hier eine Lösung einrichten, die greift, bevor die Anforderungen außer Haus an den Gateway-Rechner geschickt werden.

Du sagst, ein Switch mit MAC-Filter könnte dies leisten. Wenn ich das recht verstehe, dann könnte ich den zwischen Server und Dose schalten, im Switch den Traffic blocken und für die MAC-Adressen unserer Rechner Ausnahmen einstellen, oder!?

Gibt es alternativ noch eine Möglichkeit, einen MAC-Filter auf einem Windows 2003 Server EE R2 zu etablieren, damit die weitere Hardware nicht nötig ist?

IrksEye · 01.06.2007

Wie wärs mit einem Proxyserver (mit Proxyzwang)?

Der_Heinerich_:) · 01.06.2007

Wie wärs mit einer klaren, schriftlichen Richtlinie? Fremdrechner dürfen nicht eingenetzt werden. Punkt.

Was mir zum Thema Kontrolle einfällt, ist das vergleichsweise aufwendige Einrichten von Optionsklassen. D. h., Geräte, die einer bestimmten Klasse angehören (die du selbst festlegen kannst), erhalten aus einem Pool eine IP-Adresse.

Was ich aber nicht weiß, ist, ob ein klassenloser Rechner nicht auch eine Adresse erhalten würde. Was ich aber weiß, ist, dass so ein klassenloser in der DHCP-Konsole sofort auffällt.

Eddie · 01.06.2007

Du sagst, ein Switch mit MAC-Filter könnte dies leisten. Wenn ich das recht verstehe, dann könnte ich den zwischen Server und Dose schalten, im Switch den Traffic blocken und für die MAC-Adressen unserer Rechner Ausnahmen einstellen, oder!?

Nein. Einen Rechner klemmst Du in der Regel ja per Kabel an den Switch. Hat der Switch MAC Filter, so legst Du fest, dass nur der Rechner mit der MAC Adresse an diesem Port angeschlossen werden darf. Wird ein Fremdrechner mit einer anderen MAC Adresse an diesen Port angeschlossen, schaltet der Switch den Port ab.

Wo ist eigentlich das Problem vor dem Gateway des Dienstanbieters ein eigenes zu setzen?

Eddie

twoday · 01.06.2007

Hmm, MAC-Filter kann man recht einfach aushebeln. Klar, der normale Gast in nem Firmennetz wird sich die Mühe nicht machen, daher würde das als Basis-Schutz sicherlich ausreichen, aber eine niet- und nagelfeste Lösung stellt es nicht dar.

Ein weiteres Gateway würde in diesem Fall auch nichts nutzen, hat ja keinen Einfluss auf DHCP.....

Der Ansatz mit den Klassen ist gar nicht schlecht, aber recht umständlich zu implementieren.

Und last but not least genügt es in diesem Fall, ein Live-Linux von ner CD zu booten - sofern dort ein DHCP-Server drauf ist, werden alle Rechner im Netz von diesem DHCP-Server die IPs beziehen, da first come, first served leider auch impliziert, dass ein Rechner immer von dem DHCP-Server die IP-Adresse bekommt, der am schnellsten reagiert. Und Linux ist da um den Faktor xx schneller als Windows....

Eine servergesteuerte Möglichkeit wäre die Nutzung von DHCP-Reservierungen: Alle bekannten Rechner erhalten über ne Reservierung gültige Werte, alle unbekannten Rechner werden mit Sinnlos-Werten versorgt, die keine Konnektivität im Netz zulassen. Da DHCP-Reservierungen über MAC-Adressen gefiltert werden, ist der Verwaltungsaufwand recht hoch (wäre er btw bei MAC-Filter auf dem Switch auch), die Implementierung aber recht einfach.

Gruss
twoday

Sodian · 06.06.2007

Erstmal vielen Dank für eure Tipps!

IrksEye schrieb:
Wie wärs mit einem Proxyserver (mit Proxyzwang)?

Bekommen die Rechner trotz Proxy nicht doch auch die Konfig-Daten per DHCP zugewiesen? Insofern könnte ich doch mit einem Proxy lediglich verhindern, dass die Gäste surfen. Nicht aber, dass sie vom DHCP-Server bedient werden!?

Der_Heinerich_:) schrieb:
Wie wärs mit einer klaren, schriftlichen Richtlinie? Fremdrechner dürfen nicht eingenetzt werden. Punkt.

Das würde nicht helfen, denn wir haben öffentliche Räume.

Der_Heinerich_:) schrieb:
Was ich aber weiß, ist, dass so ein klassenloser in der DHCP-Konsole sofort auffällt.

Und dann? Einen Praktikanten vor den Server setzen, der alle nicht befugten Rechner manuell entfernt? Eine wirksame Lösung soll verhindern, dass fremde Rechner überhaupt vom DHCP-Server bedient werden. Eine nachträgliche Kontrolle der Einträge halte ich für nicht sinnvoll.

Eddie schrieb:
Nein. Einen Rechner klemmst Du in der Regel ja per Kabel an den Switch. Hat der Switch MAC Filter, so legst Du fest, dass nur der Rechner mit der MAC Adresse an diesem Port angeschlossen werden darf. Wird ein Fremdrechner mit einer anderen MAC Adresse an diesen Port angeschlossen, schaltet der Switch den Port ab.

Das wird so nicht funktionieren, die Rechner sind in den Räumen an der Hausverkabelung angeschlossen und die Dosen der Hausverkabelung haben keinen MAC-Filter. Ich könnte lediglich Anfragen an den Server filtern und da wäre eben eine Box hilfreich, die den Traffic zwischen Server und seiner Dose nach MAC-Adressen zulässt oder verweigert.

Eddie schrieb:
Wo ist eigentlich das Problem vor dem Gateway des Dienstanbieters ein eigenes zu setzen?

Auch hier besteht das Problem, dass die Leute dann lediglich nicht surfen können. Vom DHCP-Server sind sie dennoch bedient worden und genau das will ich verhindern.

twoday schrieb:
Eine servergesteuerte Möglichkeit wäre die Nutzung von DHCP-Reservierungen: Alle bekannten Rechner erhalten über ne Reservierung gültige Werte, alle unbekannten Rechner werden mit Sinnlos-Werten versorgt, die keine Konnektivität im Netz zulassen.

Mal was anderes: angenommen, mein DHCP-Bereich umfasst 10 IP-Adressen und per DHCP-Reservierungen reserviere ich diese 10 Adressen für 10 Rechner im Netz. Würde das nicht auch verhindern, dass ein Fremdrechner vom DHCP-Server bedient wird? Und wenn ja, bleibt das auch so, wenn nicht alle 10 Rechner an sind? Und wenn ja, gilt das nur für die Lease-Dauer oder sind Reservierungen da ohnehin permanent?

twoday schrieb:
Da DHCP-Reservierungen über MAC-Adressen gefiltert werden, ist der Verwaltungsaufwand recht hoch (wäre er btw bei MAC-Filter auf dem Switch auch), die Implementierung aber recht einfach.

Hm... wenn man Reservierungen manuell in der DHCP-Konsole eingibt, dann kann man eine MAC angeben. Allerdings erinnere ich mich dunkel, dass die Reservierung einfach per Klick erfolgen kann, sobald sich ein Rechner einmal mit dem Server verbunden hat.

twoday · 06.06.2007

Sodian schrieb:
[...]Mal was anderes: angenommen, mein DHCP-Bereich umfasst 10 IP-Adressen und per DHCP-Reservierungen reserviere ich diese 10 Adressen für 10 Rechner im Netz. Würde das nicht auch verhindern, dass ein Fremdrechner vom DHCP-Server bedient wird? Und wenn ja, bleibt das auch so, wenn nicht alle 10 Rechner an sind? Und wenn ja, gilt das nur für die Lease-Dauer oder sind Reservierungen da ohnehin permanent?[...]

Die Reservierungen werden mit den MAC-Adressen erstellt, ergo ist es unerheblich, ob alle 10 Rechner, für die Reservierungen eingetragen sind, online sind, oder nicht - die reservierten Adressen werden nicht anderweitig vergeben. Allerdings hast du Recht: Andere Rechner würden so gar keine IP mehr bekommen.

Ein Lösungansatz wäre, alle bekannten Rechner mit statischen IP-Adressen auszustatten und auf dem DHCP-Server schlichtweg das Gateway-Feld leer zu lassen, damit bekämen fremde Rechner zwar ne IP, aber kein Gateway und somit keinen Internetzugriff.

Ein weiterer Weg wäre das Arbeiten mit VLANs, was aber entsprechende Hardware vorraussetzt und ebenfalls einen recht hohen Verwaltungsaufwand nach sich zieht.

Gruss
twoday

Sodian · 10.06.2007

Also dann wähle ich am besten die Vorgehensweise:

Anzahl der IP-Adressen = unserer Geräte und Reservierung der IP-Adressen anhand der MAC-Adressen.

Dass dann keine anderen Geräte irgendwas zugewiesen bekommen, das ist ja Sinn der Sache!

Allerdings hat auch diese Vorgehensweise einen Haken, denn der Adresspool lässt sich im Nachhinein nicht mehr ändern. Bei Neuanschaffungen habe ich deshalb wohl ein Problem, außer ich stehe auf zusätzliche Pools mit (im schlimmsten Fall) einer IP... :-\

DHCP funktioniert zu gut

Sodian

twoday

Sodian

Eddie

Sodian

IrksEye

Der_Heinerich_:)

Eddie

twoday

Sodian

twoday

Sodian

DHCP funktioniert zu gut

ANGEBOTE & SPONSOREN

Neueste Beiträge

Neueste Themen

Statistik des Forums