DHCP limiteren tot domain computers?

nooit van gehoord dat da top die manier kan, maar ff iets anders;

je hebt het over DHCP, maar je hebt het ook over opzettelijk instellen... Dat is niet DHCP geregeld natuurlijk.

era.zer schreef op woensdag 03 oktober 2007 @ 16:17:
Op een Windows 2003 domein wordt er DHCP gebruikt met o.a. wat reservations en een exclude range.
Nu is het echter zo dat een willekeurige pc die aangesloten wordt op het LAN netwerk een IP toegewezen krijgt.

Wat op zich niet zo erg is, maar wel gevaarlijk kan zijn: als iemand x.x.x.1 opzettelijk instelt, conflicteert dat apparaat met een van de servers!

Tja daar is niet veel aan te doen.

Hoe wordt er omgegaan met dit 'probleem'? Is er een mogelijkheid om geen lease te geven aan computers die niet in een domein zitten? Ik ken de basis van het DHCP protocol en standaard alvast niet; maar misschien kan de DHCP server van Windows 2003 zoiets?

Als de server moet kijken of de desbetreffende computer in het domein zit, dan moet de computer een ip nummer hebben. Beetje kip-ei probleem.

Maar goed, DHCP ondersteunt dit soort dingen niet. Als een computer in het fusieke netwerk hangt en via DHCP een ip-nummer vraagt dan krijgt hij dat gewoon, en daar is niks aan te beveiligen.

http://en.wikipedia.org/w...st_Configuration_Protocol

VLAN's.

Zorg ervoor dat je servers (die een vast IP hebben hoop ik) in een VLAN zitten dat niet op de switches in het veld aanwezig is. Het VLAN van de switches in het veld wordt dan alleen gebruikt voor de IP ranges die ook DHCP ondersteunen.
Dan krijgt iemand nog altijd een IP adres als DHCP aanstaat, maar dat kan dan nooit conflicteren met je server ip's. Als hij handmatig x.x.x.1 instelt (een adres in je server VLAN) dan heeft hij simpelweg geen netwerk connectivity.

Wil je verder gaan en via DHCP 'geen' IP (of een IP met erg beperkte connectivity) geven aan 'rare' machines dan zou ik eens gaan rondzoeken op NAC (Cisco oplossing, heet tegenwoordig CSA Cisco Secure Access) of gelijksoortige techniek van andere vendors.

[ Voor 21% gewijzigd door bazkar op 03-10-2007 17:10 ]

Er zijn oplossing binnen de Microsoft suite, ik dacht dat ISA server in combinatie met Server hier een oplossing voor had. Als een onbekende laptop het netwerk op komt, wordt deze in een apart VLAN geplaatst totdat deze voorzien is van de laatste Security updates, virusscan definitie files en juiste netwerk instellingen en mag pas daarna het bedrijfslan op.

Eigenlijk is dat toch een serieuze security issue? Je kan een bedrijf saboteren door ergens een IP apparaatje te hangen dat moeilijk te vinden is met een fixed IP? Laat ze maar zoeken!

Dat is wel vlot te vinden, gewoon op de router/switch kijken op welke poort de computer zit met het conflicterende ip-adres (mac adres word vermeld). Router-poortje -> patchkast -> netwerk aansluiting -> computer == gevonden.

c70070540 schreef op woensdag 03 oktober 2007 @ 17:09:
Er zijn oplossing binnen de Microsoft suite, ik dacht dat ISA server in combinatie met Server hier een oplossing voor had. Als een onbekende laptop het netwerk op komt, wordt deze in een apart VLAN geplaatst totdat deze voorzien is van de laatste Security updates, virusscan definitie files en juiste netwerk instellingen en mag pas daarna het bedrijfslan op.

Dat heet Network Access Protection en is onderdeel van Windows Server 2008

wboevink schreef op woensdag 03 oktober 2007 @ 17:10:
[...]


Dat is wel vlot te vinden, gewoon op de router/switch kijken op welke poort de computer zit met het conflicterende ip-adres (mac adres word vermeld). Router-poortje -> patchkast -> netwerk aansluiting -> computer == gevonden.

Ik zou niet graag 1000 man uit hun neus hebben eten omdat het me 'maar' 5 minuten kost om de machine in kwestie te vinden. Voorkomen is beter dan genezen. Uiteraard afhankelijk van je netwerkgrootte, maar als je netwerk vrij groot wordt, wil je zowiezo VLANs om het aantal broadcasts te beperken.