sabines
Goto Top

DHCP MAC Filter unter W2008R2

Moin,

ich habe eine Frage zum DHCP MAC Filter unter W2008R2.
Das ganze ist nur ein Teil einer Absicherungsstrategie, ich weiß, dass damit lange nicht alle Türen geschlossen sind.

Mir ist nicht ganz klar wie der Filter greift und ich habe kein Testsystem, um's auszuprobieren.
Angenommen ich arbeite mit einer Positivliste, arbeitet die nur im Adresspool der für die Verteilung bereitsteht oder global?

Wenn ich hier bspw. im Adresspool nur den IP Bereich 50-199 per DHCP verteile, was passiert mit den IPs unter 50 und über 199, werden die vom Filter auch geprüft?

Gruß

Content-Key: 323090

Url: https://administrator.de/contentid/323090

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: StefanKittel
StefanKittel 07.12.2016 aktualisiert um 08:41:39 Uhr
Goto Top
Moin,

ein DHCP MAC Filter filtert einfach nur DHCP Anfragen.
D.h. ein Client der nicht auf der Liste steht, bekommt keine IP zugewiesen.

Das hindert aber Jemanden nicht daran sich eine IP selber einzutragen.
Über z.B. Broadcasts könnte er Informationen über das Netzwerk erhalten und eine gültige IP erraten.

Man kann diesen Filter auch mit einer Firewall verbinden.
Dann würde Jemand der die IP erraten hat nicht ´weiterkommen als bis zur Firewall.

Viel effektiver sind Sperrfilter an den Switch-Ports.
Dann bekommt derjenige gar keinen Link zum Netzwerk.

Stefan
Mitglied: aqui
aqui 07.12.2016 um 09:46:32 Uhr
Goto Top
Auch hindert es keinen daran sich selber einen DHCP Server ins Netz zu stecken. Deshalb bringt solcher Spielkram mit Filtern auch rein gar nichts.
Die einzig sinnvolle Alternative ist hier wie immer DHCP Snooping auf der Switchinfrastruktur zu aktivieren. Das sichert die DHCP Infrastruktur wasserdicht ab.