Hallo,
ich setze gerade eine DHCP-Server unter Windows 2003 auf und
möchte nur den Rechnern ein IP Adresse zuweisen, von denen ich auch die MAC Adresse in den Reserverierungen eingetragen haben und den rest soll keine bekommen.
Was muss ich dazu noch einstellen?
Vielen Dank schon mal
Manuel
Wenn Du sowieso schon genau weisst, welche Rechner ans Netzwerk sollen, ist es eigentlich besser die IP ADressen direkt und fest zu vergeben und DHCP nicht zu verwenden. Verbindungen funktionieren auch schneller.
Ich weiss von keiner Moeglichkeit Rechner auszuschliessen bei DHCP.
Gruss
Roland
Verbindungen funktionieren auch schneller.
Das müßtest Du mir bitte einmal erklären.
Ich weiss von keiner Moeglichkeit Rechner auszuschliessen bei
DHCP.
Feste Leases für die bekannten Rechner per MAC und einfach keinen weiteren IP Range für alle anderen Rechner angeben. Ich weiß aber nicht, wie die Konfig auf nem Windows System aussieht, habe bisher nur DHCP Server unter Linux betrieben. Aber es stimmt schon, diese Anwendung macht wenig Sinn.
Guten Tag,
OK, hab mich falsch ausgedrueckt: der VerbindungsAUFBAU ist schneller mit festen IP statt DHCP, die Verbindung selbst ist natuerlich genau gleich schnell wenn sie mal steht.
Ich habe das ganze mehr von dem Blickwinkel gesehen, dass verschiedene PCs ans Netzwerk nur zeitweise kommen - sonst macht DHCP ja nicht viel Sinn.
Natuerlich kann man die IP Range einschraenken, aber das funktioniert ja eben auch nur, wenn die gewollten PCs staendig verbunden bleiben, sonst koennen ja doch andere eine IP beziehen…
Gruss
R
OK, hab mich falsch ausgedrueckt: der VerbindungsAUFBAU ist
schneller mit festen IP statt DHCP, die Verbindung selbst ist
natuerlich genau gleich schnell wenn sie mal steht.
Nö. Über DHCP vergebene Adressen, haben eine Gültigkeitsdauer (leasetime). Solange diese gültig ist (und das weiß der Client) fordert er beim DHCP Server keine neue Adresse an und behält seine zuletzt vergebene. Wenn ich viele schnell wechselnde Clients habe, setze ich die Leasetime natürlich recht kurz an, damit die Adresse aus dem Range möglichst schnell nach dem Abmelden des Clients wieder zur Verfügung steht. Aber wenn ich in meinem Netz auch Rechner habe, die immer die gleiche IP bekommen sollen, dann muß ich diese Adresse auch nicht wieder für andere Clients freimachen und kann die Leasetime auf 24stunden oder sowas setzen. Dann habe ich eine sehr, sehr hohe Wahrscheinlichkeit, daß beim Anmelden meine Adresse noch gütig ist, und der Client irgendwann während die Verbindung schon etabliert ist, nach ner neuen Adresse fragt, das ist dann zeitunkritisch. Selbst wenn im Betrieb, das Landevice ein paar mal ab und angemelder wird, ist es höchst unwahrscheinlich, daß das genau mit der täglichen Aktualisierung zusammenfällt.
Ich habe das ganze mehr von dem Blickwinkel gesehen, dass
verschiedene PCs ans Netzwerk nur zeitweise kommen - sonst
macht DHCP ja nicht viel Sinn.
Natuerlich kann man die IP Range einschraenken, aber das
funktioniert ja eben auch nur, wenn die gewollten PCs staendig
verbunden bleiben, sonst koennen ja doch andere eine IP
beziehen…
Genau deswegen, ist mir die Motivation des Threaderstellers unklar.
Hallo,
ich setze gerade eine DHCP-Server unter Windows 2003 auf und
möchte nur den Rechnern ein IP Adresse zuweisen, von denen ich
auch die MAC Adresse in den Reserverierungen eingetragen haben
und den rest soll keine bekommen.
ich habe eigentlich die selben Anforderungen. Leider ist das bei dem Windows DHCP so nicht ohne weiteres möglich.
Was muss ich dazu noch einstellen?
Man kann alle Adressen für bestimmte Mac Adressen reservieren. Freie Adressen müssten also manuell mit „Dummy“ Mac Adressen reserviert werden. Für unbekannte Clients wäre somit nichts mehr frei.
ABER: Der Nutzen ist doch relativ gering, denn die mit den Dummys reservierten IPs können natürlich statisch genutzt werden, sofern sie nicht tatsächlich in Benutzung sind. Um den Zugang zum Netz sicher zu schützen, müssen andere Technologien wie ArpGuard verwendet werden. https://www.arp-guard.com/
Gruß
S.J.
ABER: Der Nutzen ist doch relativ gering, denn die mit den
Dummys reservierten IPs können natürlich statisch genutzt
werden, sofern sie nicht tatsächlich in Benutzung sind. Um den
Zugang zum Netz sicher zu schützen, müssen andere Technologien
wie ArpGuard verwendet werden. https://www.arp-guard.com/
Völlig richtig. Aber Zugriffssicherheit ist auch nicht die Aufgabe von DHCP. Es dient dazu, Clientrechner nicht konfigurieren zu müssen, weil diese entweder in großer Zahl vorhanden sind, oder sich in verschiedenen Netzen bewegen und so kompfortabel automatisch in jedem Netz automatisch korrekt konfiguriert werden. DHCP erzeugt keine Barriere, um fremde Rechner auszuschließen, dies muß auf andere Weise passieren. DHCP selber erhöht sogar die eigenen Anforderungen an die Sicherheit des eigenen Netzes, weil man sich Gedanken darum machen muß, daß Clients sich als bekannte Clients ausgeben oder sogar jemand versucht sich als DHCP Server auszugeben.
Folgende Regeln in die Firewall eintragen:
UDP Port 67 MacAdresse1 zulassen.
UDP Port 67 MacAdresse2 zulassen.
UDP Port 67 MacAdresse3 zulassen.
UDP Port 67 MacAdresseX zulassen.
UDP Port 67 verweigern.
Die oberen Rechner dürfen auf den DHCP-Server zugreifen alle anderen werden geblockt.
Und wiel man auf fast allen gängigen LAN Adaptern die MAC Adresse frei ändern kann (wie ich schon schrieb) hilft das nicht im geringsten (wie ich schon schrieb).
Ich habe wenigstens die Frage des Fragestellers beantwortet.
Es handelt sich hier um eine Serverfrage und nicht um eine Sicherheitsfrage.
Also immer schön locker flockig durch die Hose atmen bevor man anfängt zu meckern.
Ich habe wenigstens die Frage des Fragestellers beantwortet.
Das haben auch schon andere in diesem Thread. Und andere haben dem TE auch gleich beschrieben, warum ihm sein Vorgehen eher nicht nützen wird. Ich finde das ist ein wichtiger Punkt.
Es handelt sich hier um eine Serverfrage und nicht um eine
Sicherheitsfrage.
Doch genau darum geht es dem TE, er glaubt (oder glaubte) fälschlicherweise, darüber einen Sicherheitsmechanismus etablieren zu können. Das ist aber falsch. Und das sollte man dem TE dann auch sagen.
Es handelt sich hier um eine Serverfrage und nicht um eine
Sicherheitsfrage.Doch genau darum geht es dem TE, er glaubt (oder glaubte)
fälschlicherweise, darüber einen Sicherheitsmechanismus
etablieren zu können.
Wie kommst Du zu dieser Annahme? In der Frage steht nichts von einer Sicherheitsmaßnahme und der Fragesteller hat keine einzige Antwort gegeben.
Die Frage muss nicht zwangsläufig etwas mit Sicherheit zu tun haben.
Wie kommst Du zu dieser Annahme? In der Frage steht nichts von
einer Sicherheitsmaßnahme und der Fragesteller hat keine
einzige Antwort gegeben.
Ulkig…füren wir uns den ursprünglichen Satz vor Augen:
möchte nur den Rechnern ein IP Adresse zuweisen, von denen ich auch :die MAC Adresse in den Reserverierungen eingetragen haben und den rest :soll keine bekommen.
Er hat ein paar Rechner, die sollen eine IP per DHCP kriegen. Er hat weitere Rechner im Netzt, die sollen expliziet keine kriegen. Wenn das seine Rechner wären und er da den Daumen drauf hätte, bräuchte er auf dem Client DHCP nur zu deaktivieren.
Die Frage muss nicht zwangsläufig etwas mit Sicherheit zu tun
haben.
Wenn Du Lust hast, kannst Du mir ja mal ein andere Szenario beschreiben, in dem man das genauso braucht. Aber da ich ich gerade das Gefühl habe, einen Troll zu füttern, werd ich eh nicht mehr darauf antworten.
Wenn keine 100%ige Sicherheit, dann lieber keine ?
Hallo,
Doch genau darum geht es dem TE, er glaubt (oder glaubte)
fälschlicherweise, darüber einen Sicherheitsmechanismus
etablieren zu können. Das ist aber falsch. Und das sollte man
dem TE dann auch sagen.
frei nach dem Motto „da es keine 100%ige Sicherheit gibt, sollte man auch darauf verzichten eine 85%ige Sicherheit zu gewährleisten“, oder wie?
Selbstverständlich erhöht eine solche Maßnahme die Sicherheit. Sie gewährleistet keine 100%ige, aber doch eine deutlich höhere.
Wenn man die Einführung jeder Maßnahme nach dem Gesichtspunkt beurteilt, ob diese überwindbar ist, sollte man gleich alles sein lassen und sein Netz offen wie ein Scheunentor betreiben. Bringt ja sowieso nichts, weil theoretisch überwindbar.
Das nenne ich weise…
Gruß
S.J.
Hallo,
Moment mal, man kann doch einen Bereich im DHCP Adressraum ausklammern und fest vergeben. Für mich würde es Sinn machen, wenn z.B. feste Geräte wie Sever, Netzwerkdrucker und Desktops eine feste IP bekommen und Ortsveränderliche Geräte wie Läppies und Smartphones über DHCP dazu kommen.
Gruß Ralf
Erst mal - drüber nachdenken ob das Sinn macht. Man liest solchen Pseudo-Sicherheitsquark manchmal in oberflächlichen Ratgebern. Meine Theorie: das nicht-erhalten einer DHCP Adresse hält keinen auf, da man sich jederzeit selber eine passende geben kann. Die erforderlichen infos zum IP Netzwerk kann man sich innerhalb von Sekunden aus jedem Netzwerksniffer auslesen. EInfacher noch gehts, wenn man unauffällig zu einem COmputer schlendert oder - noch besser - zu einem netzwerkdrucker, und dort die IP Konfiguration ausliest. Kennt man einen einzigen PC, kennt man alle. So ist das bei IP.
Du willst das immer noch machen? Gut, dann hier die Auflösung. Ich habe sie mal vor Jahren für einen Kunden ausgetüftelt, und sie funktioniert. Allerdings nützt sie Randbereiche der DHCP Konfiguration aus, zu denen es keine Dokus gibt, Du kannst Dich also nicht drauf verlassen, dass dieser Trick immer, überall und nebenwirkungsfrei funktioniert.
1.) DHCP erzwingt mindestens einen Range. Die Idee: lege einen Range an, und sorge dafür, dass der immer voll ist. Das geht am Einfachsten indem Du einen machst, der nur eine Adresse groß ist. In die setzt Du dann eine Reservierung mit irgendwelchen Zufallsdaten, um ihn zu füllen. Damit ist der Range voll. Der DHCP Server loggt eine Warnung, aber die kann man ignorieren.
Für die PCs legst Du nun weitere Reservierungen an. Du wirst sehen, dass der DHCP auch Reservierungen bedient, die außerhalb des Ranges liegen. DHCP Optionen gibst Du als Server-Oprtionen an.
Systemverhalten: wenn ein PC eine Adresse per DHCP anfordert, bekommt er keine, weil der Range voll ist. PCs mit Restervierungen bekommen ihre reservierte IP und - und darum gehts vermutlich - die DHCP Optionen.
AL.