Hallo zusammen,
ich habe im LAN mehrere separate Netze konfiguriert, darunter auch eines mit Hosts, die nur beschränkte Rechte haben sollen (LAN und WAN). Diese Hosts bekommen alle per DHCP fixe IP-Adressen auf Basis ihrer MAC-Adresse (IPv4/BOOTP/Stationen) sowie DNS- und Gateway-Informationen. Nun möchte ich verhindern, dass sich auf diesen Hosts einfach jemand manuell eine andere IP-Adresse besorgt (durch Ausprobieren) oder sonstige Einstellungen (DNS-Server) ändert und dadurch Sicherheitseinstellungen bzw. Restriktionen für den Internetzugang aushebelt.
In Routern anderer Hersteller gab es eine Einstellung, die darauf hinaus lief, Hosts, die ihre Adresse nicht per DHCP bezogen haben, keinen Internetzugang zu gewähren. So etwas habe ich hier allerdings nicht gefunden. Wie könnte man dies erreichen?
Hinweis: Die Benutzer an den Hosts haben Administratoren-Rechte und brauchen das auch, hier anzusetzen ist also keine Option.
Besten Dank vorab
Umgehung des DHCP Servers verhindern
Moderator: Lancom-Systems Moderatoren
-
Chaosphere64
- Beiträge: 103
- Registriert: 16 Jul 2014, 10:55
Re: Umgehung des DHCP Servers verhindern
Moin,
um was für ein Gerät handelt es sich?
Die Protokollfilter der LAN-Bridge haben prinzipiell so eine (gut versteckte) Option, aber die LAN-Bridge ist auf reinen Routern nicht enthalten.
Gruß Alfred
um was für ein Gerät handelt es sich?
Die Protokollfilter der LAN-Bridge haben prinzipiell so eine (gut versteckte) Option, aber die LAN-Bridge ist auf reinen Routern nicht enthalten.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
Chaosphere64
- Beiträge: 103
- Registriert: 16 Jul 2014, 10:55
Re: Umgehung des DHCP Servers verhindern
Entschuldigung, habe ich vergessen zu erwähnen. Es handelt sich um einen LANCOM 1781VA.
Re: Umgehung des DHCP Servers verhindern
Moin,
dann hast Du die LAN-Bridge leider nicht...
Gruß Alfred
dann hast Du die LAN-Bridge leider nicht...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: Umgehung des DHCP Servers verhindern
Hi Chaosphere64,
erstell doch einfach in der Firewall passende Regeln für die betreffenden Hosts, die als Quelle statt der IP-Adressen die MAC-Adressen der Hosts verwenden...
Gruß
Backlsash
erstell doch einfach in der Firewall passende Regeln für die betreffenden Hosts, die als Quelle statt der IP-Adressen die MAC-Adressen der Hosts verwenden...
Gruß
Backlsash
-
Chaosphere64
- Beiträge: 103
- Registriert: 16 Jul 2014, 10:55
Re: Umgehung des DHCP Servers verhindern
Hi backslash,
Du meinst in Form einer Deny All Strategie, die nur die erlaubten Hosts ins Internet routet und alle anderen blockt? Daran habe ich gedacht, aber das würde dazu führen, dass jedes neue Gerät erst in der Firewall konfiguriert werden muss, damit es ins Internet kann. Ziel ist aber, das nur Geräte ins Internet kommen, die ihre Adresse per DHCP bezogen haben.
Beste Grüße
Du meinst in Form einer Deny All Strategie, die nur die erlaubten Hosts ins Internet routet und alle anderen blockt? Daran habe ich gedacht, aber das würde dazu führen, dass jedes neue Gerät erst in der Firewall konfiguriert werden muss, damit es ins Internet kann. Ziel ist aber, das nur Geräte ins Internet kommen, die ihre Adresse per DHCP bezogen haben.
Beste Grüße
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Umgehung des DHCP Servers verhindern
Ho Chaosphere64,
"Nun möchte ich verhindern, dass sich auf diesen Hosts einfach jemand manuell eine andere IP-Adresse besorgt (durch Ausprobieren) oder sonstige Einstellungen (DNS-Server) ändert und dadurch Sicherheitseinstellungen bzw. Restriktionen für den Internetzugang aushebelt."
Was sind das für "Sicherheitseinstellungen", wenn es doch keine Deny-All Strategie gibt?
"Daran habe ich gedacht, aber das würde dazu führen, dass jedes neue Gerät erst in der Firewall konfiguriert werden muss, damit es ins Internet kann."
Was spricht dagegen, wenn Du doch sowieso Reservierungen per MAC Adressen erstellst, die dann eigentlich überflüssig sind? Du benötigst dann eben nur noch Einträge in der Firewall.
"Ziel ist aber, das nur Geräte ins Internet kommen, die ihre Adresse per DHCP bezogen haben."
Das bringt doch genau Null Sicherheit. Bringt irgendwer ein Getät mit, erhält er eine IP per DHCP... Und dann?
Vg Bernie
Gesendet von iPhone mit Tapatalk
"Nun möchte ich verhindern, dass sich auf diesen Hosts einfach jemand manuell eine andere IP-Adresse besorgt (durch Ausprobieren) oder sonstige Einstellungen (DNS-Server) ändert und dadurch Sicherheitseinstellungen bzw. Restriktionen für den Internetzugang aushebelt."
Was sind das für "Sicherheitseinstellungen", wenn es doch keine Deny-All Strategie gibt?
"Daran habe ich gedacht, aber das würde dazu führen, dass jedes neue Gerät erst in der Firewall konfiguriert werden muss, damit es ins Internet kann."
Was spricht dagegen, wenn Du doch sowieso Reservierungen per MAC Adressen erstellst, die dann eigentlich überflüssig sind? Du benötigst dann eben nur noch Einträge in der Firewall.
"Ziel ist aber, das nur Geräte ins Internet kommen, die ihre Adresse per DHCP bezogen haben."
Das bringt doch genau Null Sicherheit. Bringt irgendwer ein Getät mit, erhält er eine IP per DHCP... Und dann?
Vg Bernie
Gesendet von iPhone mit Tapatalk
Man lernt nie aus.
-
Chaosphere64
- Beiträge: 103
- Registriert: 16 Jul 2014, 10:55
Re: Umgehung des DHCP Servers verhindern
Hi Bernie137,
es geht unter anderem um die DNS-Server. In dem genannten Netzwerk nutze ich OpenDNS und muss natürlich verhindern, dass Benutzer diese Einstellung ändern können oder genauer, dass sie andere DNS-Server nutzen können. Aber da ist mir durch die Diskussion hier die Idee gekommen, dass ich das ja auch einfach dadurch sicherstellen kann, dass ich DNS-Traffic komplett unterbinde, der nicht die IP-Adressen der DNS-Server von OpenDNS als Ziel hat.
Bleibt die Frage was passiert, wenn jemand den Router selbst manuell als DNS-Server einträgt, im KB-Artikel steht nichts dazu. Klar, man kann den DNS-Server auf dem Router global deaktivieren, aber für andere Netzwerke möchte ich den halt gerne nutzen.
Beste Grüße
es geht unter anderem um die DNS-Server. In dem genannten Netzwerk nutze ich OpenDNS und muss natürlich verhindern, dass Benutzer diese Einstellung ändern können oder genauer, dass sie andere DNS-Server nutzen können. Aber da ist mir durch die Diskussion hier die Idee gekommen, dass ich das ja auch einfach dadurch sicherstellen kann, dass ich DNS-Traffic komplett unterbinde, der nicht die IP-Adressen der DNS-Server von OpenDNS als Ziel hat.
Bleibt die Frage was passiert, wenn jemand den Router selbst manuell als DNS-Server einträgt, im KB-Artikel steht nichts dazu. Klar, man kann den DNS-Server auf dem Router global deaktivieren, aber für andere Netzwerke möchte ich den halt gerne nutzen.
Beste Grüße
Re: Umgehung des DHCP Servers verhindern
Hi Chaosphere64
Forwarder global schalten unter /Setup/DNS/Dorwarder Yes/No
Forwarder pro ARF-Konext schalten unter /Setup/DNS/Tag-Configuration - hier einen Eintrag für das gewünschte Interface-Tag einfügen und passend konfigurieren.
Gruß
Backslash
das ist ganau das, was du machen solltest - denn auch ein Host, der seine IP-Adresse per DHCP zugewiesen bekommen hat, kann sich seinen DNS-Server selbst aussuchen...Aber da ist mir durch die Diskussion hier die Idee gekommen, dass ich das ja auch einfach dadurch sicherstellen kann, dass ich DNS-Traffic komplett unterbinde, der nicht die IP-Adressen der DNS-Server von OpenDNS als Ziel hat.
du kannst sowohl den DNS-Server als auch den DNS-Forwarder sowohl global als pro ARF-Kontext abschalten. Der Forwarder läßt sich leider nur im CLI schalten - in LANconfig wurde das wohl vergessen.Bleibt die Frage was passiert, wenn jemand den Router selbst manuell als DNS-Server einträgt, im KB-Artikel steht nichts dazu. Klar, man kann den DNS-Server auf dem Router global deaktivieren, aber für andere Netzwerke möchte ich den halt gerne nutzen.
Forwarder global schalten unter /Setup/DNS/Dorwarder Yes/No
Forwarder pro ARF-Konext schalten unter /Setup/DNS/Tag-Configuration - hier einen Eintrag für das gewünschte Interface-Tag einfügen und passend konfigurieren.
Gruß
Backslash
-
Chaosphere64
- Beiträge: 103
- Registriert: 16 Jul 2014, 10:55
Re: Umgehung des DHCP Servers verhindern
Danke für den Tip, das werde ich so machen!