ich grüble schon eine Weile an folgendem Problem:
Ich habe in einem privaten Class B Netz einen lokalen DNS und DHCP Server (SuSE Linux 9.0). DHCP vergibt die IP-Adresse und über die Kopplung zum lokalen DNS ist auch die Namensauflösung sichergestellt (Zone abc.beispiel.de,) also z.B. pc123.abc.beispiel.de
Das klappt auch schon wunderbar.
Jetzt möchte ich folgendes: pc123.abc.beispiel.de bekommt im Laufe der Zeit zwar wechselnde IP’s, bleibt aber immer unter seinem DNS-Namen erreichbar. Die MAC des NIC von pc123 ist bekannt! Steckt jemand einen Rechner ins Netz, dessen MAC der DHCP Server nicht kennt, soll dieser auch keine IP bekommen.
Wie mache ich das? Schönen Dank für eure Tipps!
Hawky
ich grüble schon eine Weile an folgendem Problem:
Ich habe in einem privaten Class B Netz einen lokalen DNS und
DHCP Server (SuSE Linux 9.0).
Steckt jemand einen Rechner ins Netz, dessen MAC der
DHCP Server nicht kennt, soll dieser auch keine IP bekommen.
Das ist (finde ich) mit
man dhcpd.conf
vielleicht mit dem zusätzlichen Stichwort „deny unknown hosts“, hinreichend gut erklärt. Falls Verständnisprobleme auftauchen, melde Dich wieder.
Falls Du das als Sicherheitsfeature gedacht hast, bedenke folgendes: Ein Angreifer, der seinen eigenen Rechner an Dein Netz anschließen kann, braucht nur einen Sniffer laufen zu lassen, um die verwendeten Adressen herauszufinden. Dann benutzt er eine beliebige feste IP aus dem gleichen Subnet.
Der Router kann ihm zwar anhand von IP- oder besser MAC-Adresse die Weiterleitung von Daten verwehren, aber
a) ist das Aufgabe von Netfilter und
b) innerhalb des Netzes kann er trotzdem machen, was er will. Um Dich davor zu schützen, muß ein konfigurierbarer Switch her. Der lässt dann von unbekannten NICs nichtmal die DHCP-Anfragen bis zum Router durch. Alternativ kann der Router die Aufgabe des Switch übernehmen, wenn er genügend NICs hat
Arrrrrghhh. Wann ist der Mist endlich ausgerottet?
Der Router kann ihm zwar anhand von IP- oder besser
MAC-Adresse die Weiterleitung von Daten verwehren, aber
a) ist das Aufgabe von Netfilter und
b) innerhalb des Netzes kann er trotzdem machen, was er will.
c) man kann seinen Rechner so konfigurieren, daß er eine „bekannte“ MAC hat.
vielen Dank für Deine Tipps!! (unten schreibe ich dann noch ein paar pers. Zeilen…)
Die man-page hatte ich schon betrachtet aber immer die Befürchtung,
das die Namensauflösung im DNS dann nicht mehr klappt. Meine Erkenntnisse sind jetzt diese (bezogen auf privates Class A). Was hälst Du davon?
subnet 192.168.0.0 netmask 255.255.255.0 {
pool {
domain-name-servers youhavenointernet.com;
range 192.168.0.200 192.168.0.201;
allow unknown clients;
}
pool {
range 192.168.0.100 192.168.0.199;
deny unknown clients;
}
host pc01 {
hardware ethernet
}
}
So müsste es laufen, oder?? Dazu noch eine Frage. Zieht die „globale“ (= außerhalb des Subnet-Teils) „option domain-name-servers“ Angabe auch für den Pool der allowed-clients oder muss ich die Name Server nochmal im Pool angeben??
Dass ich mit meinem Wunsch keine totale Sicherheit für Fremduser bekomme war mir klar, aber ich versuche den Spagat zwischen Liberalität und Sicherheit. Wenn Du wüsstest, dass zuvor die IP-Adressen aus einem embedded DHCP-Server (Stückchen Hardware, von der Zentrale geschickt) kamen, dem man nur sagen konnte, ab welcher IP wieviele maximal zu liefern sind… Kein Lease Management, kein nix kein gar nix… Da bin ich jetzt ein Stückchen weiter. Mir reicht es, die Blind-Einstöpsel-Hürde zu erhöhen und dass sich die Leute bei mir melden. Sollten dies und gute Worte nicht helfen, werd’ ich wohl die CISCO’s schärfen müssen, wie du vorschlägst, aber erstmal hängt die Latte ein Stück höher
Arrrrrghhh. Wann ist der Mist endlich ausgerottet?
Tja, finde ich auch nicht so prall, ist aber leider von der Zentrale so angeordnet und auf Basis dessen läuft sogar ein institutsweites VPN. C’est la vie!
Die man-page hatte ich schon betrachtet aber immer die
Befürchtung, das die Namensauflösung im DNS dann nicht mehr
klappt.
Da erwarte ich eigentlich keine Probleme.
Meine Erkenntnisse sind jetzt diese (bezogen auf privates Class A).
Was hälst Du davon?
[…]
Sieht gut aus.
So müsste es laufen, oder?? Dazu noch eine Frage. Zieht die
„globale“ (= außerhalb des Subnet-Teils) „option
domain-name-servers“ Angabe auch für den Pool der
allowed-clients oder muss ich die Name Server nochmal im Pool
angeben??
Musst Du nicht, schadet aber auch nicht. Die Parameter für jeden einzelnen Client werden aus der engsten Definition bezogen, die den Client und den gewünschten Paramter enthält.
Dass ich mit meinem Wunsch keine totale Sicherheit für
Fremduser bekomme war mir klar
[…]
Mir reicht es, die Blind-Einstöpsel-Hürde zu erhöhen und
dass sich die Leute bei mir melden.
Ich weiß nicht, wie es bei Deinen Nutzern mit TCP/IP-Grundwissen aussieht. Wenn solches vorhanden ist, wird diese Hürde wie gesagt nicht hoch genug sein. Aber probier’s einfach mal aus.
