2
DHCP MAC Filter unter W2008R2
Moin,
ich habe eine Frage zum DHCP MAC Filter unter W2008R2.
Das ganze ist nur ein Teil einer Absicherungsstrategie, ich weiß, dass damit lange nicht alle Türen geschlossen sind.
Mir ist nicht ganz klar wie der Filter greift und ich habe kein Testsystem, um's auszuprobieren.
Angenommen ich arbeite mit einer Positivliste, arbeitet die nur im Adresspool der für die Verteilung bereitsteht oder global?
Wenn ich hier bspw. im Adresspool nur den IP Bereich 50-199 per DHCP verteile, was passiert mit den IPs unter 50 und über 199, werden die vom Filter auch geprüft?
Gruß
ich habe eine Frage zum DHCP MAC Filter unter W2008R2.
Das ganze ist nur ein Teil einer Absicherungsstrategie, ich weiß, dass damit lange nicht alle Türen geschlossen sind.
Mir ist nicht ganz klar wie der Filter greift und ich habe kein Testsystem, um's auszuprobieren.
Angenommen ich arbeite mit einer Positivliste, arbeitet die nur im Adresspool der für die Verteilung bereitsteht oder global?
Wenn ich hier bspw. im Adresspool nur den IP Bereich 50-199 per DHCP verteile, was passiert mit den IPs unter 50 und über 199, werden die vom Filter auch geprüft?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 323090
Url: https://administrator.de/contentid/323090
Printed on: April 27, 2024 at 17:04 o'clock
2 Comments
Latest comment
Moin,
ein DHCP MAC Filter filtert einfach nur DHCP Anfragen.
D.h. ein Client der nicht auf der Liste steht, bekommt keine IP zugewiesen.
Das hindert aber Jemanden nicht daran sich eine IP selber einzutragen.
Über z.B. Broadcasts könnte er Informationen über das Netzwerk erhalten und eine gültige IP erraten.
Man kann diesen Filter auch mit einer Firewall verbinden.
Dann würde Jemand der die IP erraten hat nicht ´weiterkommen als bis zur Firewall.
Viel effektiver sind Sperrfilter an den Switch-Ports.
Dann bekommt derjenige gar keinen Link zum Netzwerk.
Stefan
ein DHCP MAC Filter filtert einfach nur DHCP Anfragen.
D.h. ein Client der nicht auf der Liste steht, bekommt keine IP zugewiesen.
Das hindert aber Jemanden nicht daran sich eine IP selber einzutragen.
Über z.B. Broadcasts könnte er Informationen über das Netzwerk erhalten und eine gültige IP erraten.
Man kann diesen Filter auch mit einer Firewall verbinden.
Dann würde Jemand der die IP erraten hat nicht ´weiterkommen als bis zur Firewall.
Viel effektiver sind Sperrfilter an den Switch-Ports.
Dann bekommt derjenige gar keinen Link zum Netzwerk.
Stefan
Auch hindert es keinen daran sich selber einen DHCP Server ins Netz zu stecken. Deshalb bringt solcher Spielkram mit Filtern auch rein gar nichts.
Die einzig sinnvolle Alternative ist hier wie immer DHCP Snooping auf der Switchinfrastruktur zu aktivieren. Das sichert die DHCP Infrastruktur wasserdicht ab.
Die einzig sinnvolle Alternative ist hier wie immer DHCP Snooping auf der Switchinfrastruktur zu aktivieren. Das sichert die DHCP Infrastruktur wasserdicht ab.