Hallo,
bezüglich der Adressvergabe unter BOOTP-Einstellungen im Router hätte ich gerne eine Frage bei der Konfiguration eines Wartungsnetzes.
Gibt es Konflikte, wenn die Adressen der Switche dort eingetragen sind und auch wenn die Switche mit einer festen IP konfiguriert sind? Oder ist es ratsam die Switche auf DHCP umzustellen.
Weiterhin vergibt der WLC die Adressen in den AP-Konfigurationen an die Access Points. Diese würde ich eigentlich auch gerne im Router eintragen.
Ich möchte gerne das Wartungsnetz auf den IP-Adressbereich der Netzwerkgeräte beschränken und den Rest in der Firewall sperren. Durch die Reservierung will ich verhindern, dass ein Bösewicht womöglich einen AP abzieht und sein Gerät an die Dose hängt und eine IP zugewiesen bekommt.
Viele Grüße
AH
Adressen-Reservierung und feste IP
Moderator: Lancom-Systems Moderatoren
-
Aushilfsinformatiker
- Beiträge: 46
- Registriert: 13 Apr 2020, 10:56
Re: Adressen-Reservierung und feste IP
Der WLC vergibt die Adressen selber, weil die APs mit ihrem CAP-WAP Tunnel idr. ein eigenes VLAN bekommen. Du kannst aber auch den DHCP Server im WLC abschalten. Nur der DNS Eintrag WLC-ADDRESS sollte dann im Haupt DNS-Server auf den WLC gesetzt werden.
Das vorgeben einer IP durch DHCP bzw. Reservierungen sind keinerlei Sicherheitsfunktion, da ich ja die IP auch einfach selbst eingeben kann. Ja sogar lauschen, welche IP 'mein' AP hat und mir die selbe IP - ja sogar die selbe MAC geben. Einzige wirkliche Sicherheit ist hier 802.1x. Ein MAC Filter auf Switch-Port ebene würde aber vmtl. für 80% der Angriffe in einer Schule ausreichen. Halb-Abschalten des DHCP Servers bringt aber garnichts.
Den Switchen würde ich feste IPs geben, damit diese im Falle eines Netzwerkfehlers (z.B. Router abgeraucht, Trunk-Port defekt, o.ä.) noch erreichbar sind. Wenn sie keinen OOBM Port haben, würde ich auch einenen Port (falls von der Anzahl möglich) des Management VLANs rausführen, um bei Netzwerk-Absturz den Switch vor Ort konfigurieren zu können.
Trotzdem kannst du die IP/MAC Kombination in der BOOTP Tabelle eintragen (falls es ein Kommentar Feld gibt, dort reinschreiben - fix im Switch eingetragen). So hast du an einer Stelle trotzdem die Übersicht.
Das vorgeben einer IP durch DHCP bzw. Reservierungen sind keinerlei Sicherheitsfunktion, da ich ja die IP auch einfach selbst eingeben kann. Ja sogar lauschen, welche IP 'mein' AP hat und mir die selbe IP - ja sogar die selbe MAC geben. Einzige wirkliche Sicherheit ist hier 802.1x. Ein MAC Filter auf Switch-Port ebene würde aber vmtl. für 80% der Angriffe in einer Schule ausreichen. Halb-Abschalten des DHCP Servers bringt aber garnichts.
Den Switchen würde ich feste IPs geben, damit diese im Falle eines Netzwerkfehlers (z.B. Router abgeraucht, Trunk-Port defekt, o.ä.) noch erreichbar sind. Wenn sie keinen OOBM Port haben, würde ich auch einenen Port (falls von der Anzahl möglich) des Management VLANs rausführen, um bei Netzwerk-Absturz den Switch vor Ort konfigurieren zu können.
Trotzdem kannst du die IP/MAC Kombination in der BOOTP Tabelle eintragen (falls es ein Kommentar Feld gibt, dort reinschreiben - fix im Switch eingetragen). So hast du an einer Stelle trotzdem die Übersicht.
-
Aushilfsinformatiker
- Beiträge: 46
- Registriert: 13 Apr 2020, 10:56
Re: Adressen-Reservierung und feste IP
Vielen Dank für das Feedback,
dann werde ich die BootP-Tabelle vervollständigen und zumindest im Wartungsnetz. Die VLAN's für Schüler und Lehrer sind gut abgesichert. Das Problem liegt nur in den Räumen (Internat) wo nicht ständig jemand vor Ort ist. Eventuell werde ich die Netzwerkdosen, an denen die Accesspoints dran hängen vor physischem Zugriff schützen, also etwas basteln...
Über 802.1x. für das Wartungsnetz habe ich bereits nachgedacht. Jedoch wirft der Lancom immer über eine ETH-Schnittstelle 802.1x. für alles, was dahinter hängt, raus. Ich wollte in die vier verteilten Häuser alles über eine Leitung (2xLACP) getaggt verteilen, das geht dann nicht mehr. Ich habe noch keine Möglichkeit gefunden, den Radius auf ein VLAN zu beschränken, auch wenn ich alles über ETH1-Lan1 route.
Viele Grüße
AH
dann werde ich die BootP-Tabelle vervollständigen und zumindest im Wartungsnetz. Die VLAN's für Schüler und Lehrer sind gut abgesichert. Das Problem liegt nur in den Räumen (Internat) wo nicht ständig jemand vor Ort ist. Eventuell werde ich die Netzwerkdosen, an denen die Accesspoints dran hängen vor physischem Zugriff schützen, also etwas basteln...
Über 802.1x. für das Wartungsnetz habe ich bereits nachgedacht. Jedoch wirft der Lancom immer über eine ETH-Schnittstelle 802.1x. für alles, was dahinter hängt, raus. Ich wollte in die vier verteilten Häuser alles über eine Leitung (2xLACP) getaggt verteilen, das geht dann nicht mehr. Ich habe noch keine Möglichkeit gefunden, den Radius auf ein VLAN zu beschränken, auch wenn ich alles über ETH1-Lan1 route.
Viele Grüße
AH