hallo leute,

meine frage ist vielleicht ein bißchen offtopic und auch eher grundsätzlicher natur.
dhcp ist ja eine schöne sache, es könnte den administrationsaufwand bezgl. adressvergabe erheblich vereinfachen (hier sind es etwa 600 clients), nun merkt mein schlauer kollege aber an, dass mit einem dhcp-server jeder, der ein notebook von außen reinschleppt (was mitunter vorkommt) gleich eine ip-adresse bekommt (was ja auch sinn der sache ist) und mittels sniffer lustig unseren traffic belauschen kann (was ja nicht mehr so ganz sinn der sache wäre). da stellt sich uns nun die frage, ist dhcp grundsätzlich ein sicherheitsrisiko? gibt es vorkehrungen, die man für solche fälle treffen kann/sollte? wir hatten uns überlegt, dass es ja wahrscheinlich möglich wäre, nach mac-adressen zu authentifizieren, bzw. nur vorgegebene mac-adressen zu bedienen, allerdings käme die pflege einer solchen mac-liste dem aufwand der statischen ip-adressen ja fast gleich. um nicht zu sagen, es könnte sogar ein mehraufwand entstehen, da netzwerkkarten ja ggf. ausgetauscht werden, statische adressen hingegen ändern sich im lebenszyklus eines systems ja eher selten.
eine weitere möglichkeit wäre evtl die verschlüsselung der höherliegenden protokolle, aber gibt es für jedes protokoll auch eine entsprechend "sichere" implementierung? wie sieht es z.b. mit sap/r3 aus?
wir sind jetzt eher ratlos, vielleicht stand mal jemand vor einer ähnlichen entscheidung, und will uns ein paar tips geben...

ich danke euch auf jeden fall fürs lesen (wer es bis hier geschafft hat)

gruß
nullvolt

Hi!

Dass sich jeder einstöpseln kann und eventuell sniffert stimmt.
Aber IMHO ist die Adressvergabe auf MAC-Basis dennoch eine Verbesserung (und weniger Aufwand). z.B bei veränderung der Netzwerkstruktur

Das einmalige Sammeln der MAC Adressen läßt sich relativ leicht automatisieren (mit einem Perlscript z.B).

Der große Vorteil ist eben die zentrale Verwaltung der IPs (und für manche Netzwerkdrucker oder Switches ist eine neue statische IP Vergabe eher umständlich).
Und dann gibt's ja noch "arpwatch"

Grüße

Manx

Ich vergebe die IP fest in meiner dhcp konf. Das wird auch allgemein empfohlen.
Einmalig muss man alle Macs sammeln (laesst sich automatisieren) und ihnen eine IP zuweisen:
host netronix
{
hardware ethernet 00:E0:7D:D3:D2:F4;
fixed-address 172.18.100.13;
}

Ausserdem habe ich noch zwei Bereiche für alle clients, die noch nicht erfasst sind. Die bekommen dann zwar erst einmal eine IP, aber sie haben nicht alle Rechte laut firewall.

subnet 172.18.0.0 netmask 255.255.0.0
{
range 172.18.8.100 172.18.8.200;
range 172.18.9.100 172.18.9.200;
}

ddns-update-style ist bei mir none.

Mit dhcp lässt sich noch eine Menge mehr machen, wie den hostnamen setzen bei winNT(2k?) aber das habe ich nie so recht begriffen.

mamue

----------------
Super, ein Doppelpunkt mit D dahinter wird zu :D, Klasse, war aber so nicht gemeint.

moin moin

mag sein, das ich jetzt völlig auf dem holzweg bin. aber was das sniffen angeht => sofern der sniffer nur auf dem notebook *läuft*, kann derjenige auch nur den verkehr zw. lan und seinem notebook sniffen.

wenn er mehr möchte, müßte er den sniffer erstmal an einer *zentralen stelle* platzieren.


ps: bitte korrigieren, falls nötig :)


Gruß HL

ethercap.
Das ein switch sniffen verhindert ist leider falsch.

mamue

@mamue

Hast Du Infos bezüglich Hostnamen setzen bei Win Clients?

Grüße

Manx

@mamue

ich denke mal die *hingeworfenen brocken* galten mir ;). dann werde ich mal google füttern gehen :D


thx HL

moin,

wie meine vorredner schon anmerkten, wird in großen netzen "statisches" DHCP verwendet. in den netzen die ich kenne läuft es folgender maßen:
jede eingekaufte nic wird mit ihrer mac im dhcp eingetragen, egal ob lager oder eingebaut. falls ein pc also eine neue nic bekommt, bekommt er logischer weise auch eine ip, sollte er die alte ip weiterverwenden müssen, werden die daten im dhcp geändert. solche eintragen beschränken sich natürlich auf einen kleinen personenkreis.

dummer weise gibt es ein paar "umgehungen" dafür:
bsp:
1.) ein benutzer hat eine mac und schreibt auf seinem notebook die mac eines rechners als LAA auf seine NIC, schon bekommt er die IP-Adresse des entsprechenden rechners
Abhilfe: => switch oder dns dürfen nicht auf LAAs reagieren
2.) ein benutzer kennt den IP-Range und spielt reise nach jerusalem (kann / darf man das in diesen politisch schweren zeiten sagen / schreiben?) und vergibt sich selbst eine IP-Adresse ... egal ob schon im netz oder nicht.
Abhilfe: => sichern des Arp-Caches auf den Clients und Server

es gibt immer maßnahmen und gegenmaßnahmen. wer sein netz vor allem und jeden absichern will, muß viel geld investieren (siehe switch) oder zeit und konfigurationsarbeit.

ein dhcp ist also sicher, wie man vertrauen in die netzwerkumgebung haben kann ;)

cu/2 iae
mbo

hostname setzen? ihr meint im dns?

=> dhcp-dns für dynamische dns einträge der clients ist unter linux ist recht einfach einzurichten, unter win benötigst du min einen w2k server.

Ich habe mal nach ethercap gegoogelt, aber nichts interessantes gefunden. Aber ist es nicht grundsätzlich so, dass Switches die Pakete zum richtigen Port geführt werden? Von dem her sollten Switches doch die Sicherheit im Netzwerk erhöhen. Ausser man manipuliert die Routingtabelle vom Switch, aber es gibt doch immer eine Sicherheitsloch.

@Discipulus

ich hab auch mal ein wenig gegoogelt. es ist möglich an einem switch zu sniffen. stichworte => ARP-Poisoning und ARP-Spoofing, letzteres soll mit ettercap möglich sein.

http://www.ita.hsr.ch/nws/labs/lab_ARP_Ethercap.html


auf folgender seite ist mal dargestellt, wie ein möglicher angriff(sniffen) aussehen kann.

http://www.lug-in.de/home/erhard/Vortrag/html/slide_62.html

einfach oben die pfeile oben für die nächste *folie* benutzen

edit: hab grade festgestellt, das der 2. link momentan nicht erreichbar ist, vor 'ner stunde ging der noch

Gruß HL

@[WCM]Manx
Ich habe den Link nicht hier und danach zu googlen ist nicht sehr erfolgversprechend.
Sobald ich den wiedergefunden habe, poste ich den.
----------
Hab ihn:
http://www.unixtools.org/~nneul/sw/nt/dhcp-netbios-hostname.html
Das geht scheinbar nur mit, oder nur bis NT4. Man muss die registry ändern und dann per
option option-200 6C:00:61:00:62:00:2D:00:70:00:63:00:2D:00:39:00:00 :00;
...
mit dem dhcpd den Namen setzen. Wenn Du viele NT4 PC mit Norton ghost, dd oder drive Image spiegelst mag das eine Lösung sein.

@spunz
Nein, ich meinte _nicht_ hostnamen setzen im DNS. Das ist eine Fingerübung. Ich meinte hostnamen setzen auf dem PC, der sich die IP vom dhcpd abholt. Den NetBIOS Namen gewissermassen. Und bitte erschlage mich jetzt keiner virtuell, dass ich DNS und WINS in einen Topf werfe. Verwendet hier jemand verschiedene Namen für NetBIOS/DNS beim gleichen Rechner?

@mbo
DHCP IPs sind eher als Vorschlag zu werten, so wie die Richtgeschwindigkeit auf Landstrassen ;-)
Wenn sich jemand eine "wilde" IP nimmt, die nicht im DNS steht, ist das für ihn riskant, gelegentlich schaue ich mit arp nach, ob alle MAC zu namen aufgelöst werden.
arp |grep ^1
reicht bei mir.
Dennoch hast Du im Grunde recht und wer einer IP als Sicherheitsmerkmal vertraut kann schnell ein Problem haben.