19
DHCP nur für Domänenmitglieder
Hallo allerseits,
unser DC läuft mit Windows 2008R2. Dort ist auch unser DHCP Server drauf installiert. DErzeit ist es so, dass jeder Rechner der sich irgendwo in eine Netzwerkdose einstöpselt auch eine IP Adresse mitsamt Netzwerkeinstellunegn zugewiesen bekommt. Leider habe ich keine Kontrolle darüber, wer sich genau dort einstöpselt. Ein paar MA haben ihre privaten Rechner mitgebracht und das Netz genutzt. Böses No-Go! Jetzt muss ich irgendwie einstellen, dass nur Rechner, die auch Domänenmitglieder sind, berechtigt sind per DHCP eine IP zu bekommen. DAs ich das einstellen kann, kenne ich aus einem anderen Unternehmen. Aber ich weiss nicht wo und wie? Wer kann mir helfen? Vielen Dank im voraus!
unser DC läuft mit Windows 2008R2. Dort ist auch unser DHCP Server drauf installiert. DErzeit ist es so, dass jeder Rechner der sich irgendwo in eine Netzwerkdose einstöpselt auch eine IP Adresse mitsamt Netzwerkeinstellunegn zugewiesen bekommt. Leider habe ich keine Kontrolle darüber, wer sich genau dort einstöpselt. Ein paar MA haben ihre privaten Rechner mitgebracht und das Netz genutzt. Böses No-Go! Jetzt muss ich irgendwie einstellen, dass nur Rechner, die auch Domänenmitglieder sind, berechtigt sind per DHCP eine IP zu bekommen. DAs ich das einstellen kann, kenne ich aus einem anderen Unternehmen. Aber ich weiss nicht wo und wie? Wer kann mir helfen? Vielen Dank im voraus!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 208309
Url: https://administrator.de/forum/dhcp-nur-fuer-domaenenmitglieder-208309.html
Ausgedruckt am: 08.04.2025 um 08:04 Uhr
19 Kommentare
Neuester Kommentar
Hallo,
entweder über den 2008R2
http://technet.microsoft.com/de-de/library/dd759190.aspx
oder, abhängig von deiner Netzwerkstrukur und deinen Switchen, direkt auf den Switchen Accesslisten die das anstecken unbekannter MAC Adressen mit einem schließen des Ports beantworten....
brammer
entweder über den 2008R2
http://technet.microsoft.com/de-de/library/dd759190.aspx
oder, abhängig von deiner Netzwerkstrukur und deinen Switchen, direkt auf den Switchen Accesslisten die das anstecken unbekannter MAC Adressen mit einem schließen des Ports beantworten....
brammer
Es wäre auch denkbar mit dynamischen VLANs zu arbeiten, wenn sich die Rechner im Netz öfters ändern. Wobei ich auch sagen würde, das Switchport Security (MAC Filterung) der erste Schritt wäre.
DHCP ist meiner Meinung nach die schlechteste Variante ein Netz zu "schützen". Die Leute müssen ja nur die IP Einstellungen kennen und haben auf ihren privaten PCs Adminrechte.
DHCP ist meiner Meinung nach die schlechteste Variante ein Netz zu "schützen". Die Leute müssen ja nur die IP Einstellungen kennen und haben auf ihren privaten PCs Adminrechte.
Hallo,
Gruß,
Peter
Zitat von @tm2kger:
dass jeder Rechner der sich irgendwo in eine Netzwerkdose einstöpselt auch eine IP Adresse mitsamt Netzwerkeinstellunegn zugewiesen bekommt.
Wieso sind unbenutze Ports bei euch überhaupt gepatched? Alleine das ist schon nogo wenn es eben nicht möglich sein soll ungefragt Geräte anzustöpseln.dass jeder Rechner der sich irgendwo in eine Netzwerkdose einstöpselt auch eine IP Adresse mitsamt Netzwerkeinstellunegn zugewiesen bekommt.
Leider habe ich keine Kontrolle darüber, wer sich genau dort einstöpselt.
Und wie willst du dann verhindert wer sich anstöpselt wenn du noch nicht einmal Kontrolle darüber hast wer sich anstöpseln darf?Ein paar MA haben ihre privaten Rechner mitgebracht
Und der Pförtner hat das nicht gesehen wie die mit ihren Towergehäusen durchs Werkstor marschiert sind?Böses No-Go!
Warum sind unbenutze Ports bei euch gepatched! Ich wunder mich doch auch nicht wenn ich mein Geldbeutel im Pausenraum liegen lasse und der hinterher weg ist, oder?Jetzt muss ich irgendwie einstellen, dass nur Rechner, die auch Domänenmitglieder sind
Wirklich auf Domänenmitglieder einschränken? Da hilft dir dann wohl nur ein http://de.wikipedia.org/wiki/IEEE_802.1X mit einem Radius. http://technet.microsoft.com/de-de/library/cc755248(v=ws.10).aspx und http://technet.microsoft.com/de-de/library/cc731853.aspxVielen Dank im voraus!
Bitte im nachhinein.Gruß,
Peter
@Pjordorf:
Bei mir sind auch alle Dosen gepatcht, ich habe bloß den Vorteil, daß ich brave und unbedarfte Nutzer, größtenteils Frauen mittleren Alters, habe, für die Windows=Word ist und der PC eine bessere Schreibmaschine mit E-Mail und Internetzugang.
Trotzdem bietet das ständige ein- und auspatchen von benutzten/unbenutzten Dosen nur eine Scheinsicherheit. Wer mit seinem privat mitgebrachten Notebook unbedingt ins Netz WILL, kriegt er das auch hin, indem er sich an einer Dose ansteckt, wo der andere Mitarbeiter gerade im Urlaub oder krank ist und sein PC deshalb nicht benutzt wird.
Trotzdem ist es natürlich richtig, den Usern solche Dinge so schwer wie möglich zu machen. Unbenutzte Netzwerkanschlüsse sollten natürlich trotzdem ausgepatcht werden (auch, wenn ich's nicht tue).
Daß die User auf ihren privat mitgebrachten Notebooks Admin sind, sollte aber bei einer beherrschten Rechtestruktur auf allen Freigaben im Netzwerk kein Problem machen. Die privaten Geräte sind ja auch keine Domänenmitglieder, sondern befinden sich in irgendeiner Workgroup, Arbeitsgruppe oder "MSHEIMNETZ". Einzig das Internet werden sie dann nutzen können. Und das läßt sich wunderbar mit einem vorgeschalteten Proxyserver erledigen, der dann für Internetzugang zwingend erforderlich ist und in dem konfiguriert werden kann, wer ihn überhaupt nutzen darf (z. B. nur Domänenrechner). Ich würde mir dafür einen "gebrauchten" ISA 2006 (hat noch 3 Jahre Support und funktioniert danach auch noch) bei ebay oder sonstwo schießen und ihn in einer virtuellen Maschine laufen lassen.
Ansonsten nochmals: hat man im gesamten Netz auf allen Freigaben die Rechte in Ordnung, besteht für das interne Netz eigentlich keine Gefahr.
Grüße
von
departure
Bei mir sind auch alle Dosen gepatcht, ich habe bloß den Vorteil, daß ich brave und unbedarfte Nutzer, größtenteils Frauen mittleren Alters, habe, für die Windows=Word ist und der PC eine bessere Schreibmaschine mit E-Mail und Internetzugang.
Trotzdem bietet das ständige ein- und auspatchen von benutzten/unbenutzten Dosen nur eine Scheinsicherheit. Wer mit seinem privat mitgebrachten Notebook unbedingt ins Netz WILL, kriegt er das auch hin, indem er sich an einer Dose ansteckt, wo der andere Mitarbeiter gerade im Urlaub oder krank ist und sein PC deshalb nicht benutzt wird.
Trotzdem ist es natürlich richtig, den Usern solche Dinge so schwer wie möglich zu machen. Unbenutzte Netzwerkanschlüsse sollten natürlich trotzdem ausgepatcht werden (auch, wenn ich's nicht tue).
Daß die User auf ihren privat mitgebrachten Notebooks Admin sind, sollte aber bei einer beherrschten Rechtestruktur auf allen Freigaben im Netzwerk kein Problem machen. Die privaten Geräte sind ja auch keine Domänenmitglieder, sondern befinden sich in irgendeiner Workgroup, Arbeitsgruppe oder "MSHEIMNETZ". Einzig das Internet werden sie dann nutzen können. Und das läßt sich wunderbar mit einem vorgeschalteten Proxyserver erledigen, der dann für Internetzugang zwingend erforderlich ist und in dem konfiguriert werden kann, wer ihn überhaupt nutzen darf (z. B. nur Domänenrechner). Ich würde mir dafür einen "gebrauchten" ISA 2006 (hat noch 3 Jahre Support und funktioniert danach auch noch) bei ebay oder sonstwo schießen und ihn in einer virtuellen Maschine laufen lassen.
Ansonsten nochmals: hat man im gesamten Netz auf allen Freigaben die Rechte in Ordnung, besteht für das interne Netz eigentlich keine Gefahr.
Grüße
von
departure
@tm2kger:
Ich weiß nicht, wieviele Rechner Du mit dynamischem DHCP versorgst. Ist die Menge für Dich überschaubar und händelbar, stell' DHCP von "dynamisch" auf "reserviert" um, dann kriegen nur noch von Dir authorisierte Rechner anhand ihrer MAC-Adresse eine von Dir festgelegte IP-Adresse zugewiesen. Dann kann kommen wer will, selbst an einer gepatchten Dose kann dann ein privat mitgebrachtes Notebook nicht mehr ins Netz.
Ist halt etwas Arbeit.
Grüße
von
departure
Ich weiß nicht, wieviele Rechner Du mit dynamischem DHCP versorgst. Ist die Menge für Dich überschaubar und händelbar, stell' DHCP von "dynamisch" auf "reserviert" um, dann kriegen nur noch von Dir authorisierte Rechner anhand ihrer MAC-Adresse eine von Dir festgelegte IP-Adresse zugewiesen. Dann kann kommen wer will, selbst an einer gepatchten Dose kann dann ein privat mitgebrachtes Notebook nicht mehr ins Netz.
Ist halt etwas Arbeit.
Grüße
von
departure
Hallo,
Wenn du das bei uns machst, darfst du anschließend zur IT gehen und höflich Fragen ob man eventuell gegen eine Spende für die Kaffekasse den den Port wieder freischalten würde.
Es gibt Switche die akzeptieren nur eine voreingestellte Zahl an MAC Adressen.
brammer
Wer mit seinem privat mitgebrachten Notebook unbedingt ins Netz WILL, kriegt er das auch hin, indem er sich an einer Dose ansteckt, wo der > andere Mitarbeiter gerade im Urlaub oder krank ist und sein PC deshalb nicht benutzt wird.
Wenn du das bei uns machst, darfst du anschließend zur IT gehen und höflich Fragen ob man eventuell gegen eine Spende für die Kaffekasse den den Port wieder freischalten würde.
Es gibt Switche die akzeptieren nur eine voreingestellte Zahl an MAC Adressen.
brammer
Hi,
dann sei froh, daß Ihr über solch komfortable und gut ausgerüstete Switche verfügt. Das ist natürlich genial, sowas haben wir hier leider nicht. Habe aber auch nicht den Eindruck, daß der TO neue Switche anschaffen möchte. Wie ich weiter oben schon schrieb, ist die Lösung mit reserviertem DHCP schon ein gangbarer Weg, wenn's nicht zu viele Clients sind (weil ansonsten zu viele MAC- und IP-Adressen von Hand gepflegt werden müssen).
Grüße
departure
dann sei froh, daß Ihr über solch komfortable und gut ausgerüstete Switche verfügt. Das ist natürlich genial, sowas haben wir hier leider nicht. Habe aber auch nicht den Eindruck, daß der TO neue Switche anschaffen möchte. Wie ich weiter oben schon schrieb, ist die Lösung mit reserviertem DHCP schon ein gangbarer Weg, wenn's nicht zu viele Clients sind (weil ansonsten zu viele MAC- und IP-Adressen von Hand gepflegt werden müssen).
Grüße
departure
Hallo,
eben nur Domänenmitglieder davon betroffen sind? Dem DHCP ist das doch egal zu welcher Fraktion das Gerät gehört. Und wenn ich m ir meine IP selbst gebe doch ebenfalls. Wer schon unerlaubterweise ein Privatrechner ins LAN der Firma hängt, den ist eine nicht zuteilung einer IP durch einen DHCP doch eh völlig wurscht und niemals ein hinderniss.
Ob beim TO auch andere nicht Domänenmitglieder in sein Netz sich tummeln dürfen können wir nur erahnen, aber seine Formulierung lässt eben diesen Schluß doch zu. Ob da DHCP hilft? Also mein Eierphone ist es egal welcher Domäne der DHCP angehört, er bekommt eine, auch wenn ich beim evtl. neukunden nur zu Besuch bin (sofern WLAN etc offen ist etc.).
Und das Patchen / nicht Patchen von ungenutzten Ports (und deiner Scheinsicherheit
) ist doch nur ein Teil in der Sicherheitskette um eben ein ungewolltes nutzen zu verhindern. Es hilft aber die ehrlichen Ehrlich zu halten Und was nützt mir einen Anwesenheitsliste wenn diese niemals Kontrolliert wird und daraus evtl. maßnahmen abgeleitet werden? Nichts. Auch ein 802.1X ist nur ein Teil in meinen Maßnahmen "damit du nicht rein kommst".
Aber wenn beim TO es eh nur 5 Rechner im Netz gibt, ist dort die Methode Faust trifft Auge oder Fuss trifft Hintern immer noch die effiktivste und eindrucksvollste
Alles andere erfordert eben entsprechende Technik und deren umsetzung mit entsprechenden Aufwand. Sicherheit Kostet!.
Gruß,
Peter
Zitat von @departure69:
Habe aber auch nicht den Eindruck, daß der TO neue Switche anschaffen möchte.
Ist doch eh müßig. der TO hat seine Hardware ja noch nicht mal nennen können. Was sollen wir dann darüber Oraceln was die kann?Habe aber auch nicht den Eindruck, daß der TO neue Switche anschaffen möchte.
Wie ich weiter oben schon schrieb, ist die Lösung mit reserviertem DHCP schon ein gangbarer Weg
Eher nicht. Wie willst du verhindern das sich jemand selbst eine IP gibt und dann wieder im Netz ist? Wie willst du sicherstellen dasdass nur Rechner, die auch Domänenmitglieder
Bei mir sind auch alle Dosen gepatcht
Und ob jemand ungenutze Ports gepatched hat ist doch in Ordnung solange dort eben kein missbrauch mit getrieben wird. Hat ja keiner in abrede gestellt. Beim TO ist aber das schon der erste Grobe Fehler. Alles andere sind doch nur noch weitere Fehler in der Kette um dann ein Zugriff im Netz von Fremden zu haben.Ob beim TO auch andere nicht Domänenmitglieder in sein Netz sich tummeln dürfen können wir nur erahnen, aber seine Formulierung lässt eben diesen Schluß doch zu. Ob da DHCP hilft? Also mein Eierphone ist es egal welcher Domäne der DHCP angehört, er bekommt eine, auch wenn ich beim evtl. neukunden nur zu Besuch bin (sofern WLAN etc offen ist etc.).
Und das Patchen / nicht Patchen von ungenutzten Ports (und deiner Scheinsicherheit
) ist doch nur ein Teil in der Sicherheitskette um eben ein ungewolltes nutzen zu verhindern. Es hilft aber die ehrlichen Ehrlich zu halten Und was nützt mir einen Anwesenheitsliste wenn diese niemals Kontrolliert wird und daraus evtl. maßnahmen abgeleitet werden? Nichts. Auch ein 802.1X ist nur ein Teil in meinen Maßnahmen "damit du nicht rein kommst".Aber wenn beim TO es eh nur 5 Rechner im Netz gibt, ist dort die Methode Faust trifft Auge oder Fuss trifft Hintern immer noch die effiktivste und eindrucksvollste
Alles andere erfordert eben entsprechende Technik und deren umsetzung mit entsprechenden Aufwand. Sicherheit Kostet!.
Gruß,
Peter
Hallo.
> Zitat von @departure69:
> Habe aber auch nicht den Eindruck, daß der TO neue Switche anschaffen möchte.
Ist doch eh müßig. der TO hat seine Hardware ja noch nicht mal nennen können. Was sollen wir dann darüber
Oraceln was die kann?
> Habe aber auch nicht den Eindruck, daß der TO neue Switche anschaffen möchte.
Ist doch eh müßig. der TO hat seine Hardware ja noch nicht mal nennen können. Was sollen wir dann darüber
Oraceln was die kann?
Der Tenor seines Thread-Textes wirkt halt nicht so, daß er Geld für Hardware ausgeben will, ich kann mich natürlich auch täuschen.
> Wie ich weiter oben schon schrieb, ist die Lösung mit reserviertem DHCP schon ein gangbarer Weg
Eher nicht. Wie willst du verhindern das sich jemand selbst eine IP gibt und dann wieder im Netz ist? Wie willst du sicherstellen
das
>> dass nur Rechner, die auch Domänenmitglieder
eben nur Domänenmitglieder davon betroffen sind? Dem DHCP ist das doch egal zu welcher Fraktion das Gerät
gehört. Und wenn ich m ir meine IP selbst gebe doch ebenfalls. Wer schon unerlaubterweise ein Privatrechner ins LAN der Firma
hängt, den ist eine nicht zuteilung einer IP durch einen DHCP doch eh völlig wurscht und niemals ein hinderniss.
Du schreibst ja selbst, daß jegliche Maßnahme nur Teil der Sicherheitskette sein kann. Ohne DHCP muß der "Bösewicht" zumindest mal die IP-Range des Netzes kennen. Wer zu Hause den auch nur mit dynamischem DHCP vorkonfigurierten Speedport nutzt, kennt sich da schonmal nicht aus - wieder eine kleine, weitere Hürde in der Kette. Zweifelsohne wird's aber auch User geben, die zu erkennen wissen, daß sie sich bspw. im Netz 192.168.2.0 befinden. Daraus eine IP mit hoher Nummer (da ist meist was frei, man kann ja ein paar Stück durchprobieren), fertig. Keine Frage.
> Bei mir sind auch alle Dosen gepatcht
Und ob jemand ungenutze Ports gepatched hat ist doch in Ordnung solange dort eben kein missbrauch mit getrieben wird. Hat ja
keiner in abrede gestellt. Beim TO ist aber das schon der erste Grobe Fehler. Alles andere sind doch nur noch weitere Fehler
in der Kette um dann ein Zugriff im Netz von Fremden zu haben.
O.K.
Ob beim TO auch andere nicht Domänenmitglieder in sein Netz sich tummeln dürfen können wir nur erahnen, aber
seine Formulierung lässt eben diesen Schluß doch zu. Ob da DHCP hilft? Also mein Eierphone ist es egal welcher
Domäne der DHCP angehört, er bekommt eine, auch wenn ich beim evtl. neukunden nur zu Besuch bin (sofern WLAN etc offen
ist etc.).
sh. oben, reserviertes DHCP hilft zumindest dann, wenn der Unberechtigte sich nicht auskennt.
Und das Patchen / nicht Patchen von ungenutzten Ports (und deiner Scheinsicherheit
) ist doch nur ein Teil in derSicherheitskette um eben ein ungewolltes nutzen zu verhindern. Es hilft aber die ehrlichen Ehrlich zu halten
Und wasnützt mir einen Anwesenheitsliste wenn diese niemals Kontrolliert wird und daraus evtl. maßnahmen abgeleitet werden?
Nichts. Auch ein 802.1X ist nur ein Teil in meinen Maßnahmen "damit du nicht rein kommst".
Klar.
Aber wenn beim TO es eh nur 5 Rechner im Netz gibt, ist dort die Methode Faust trifft Auge oder Fuss trifft Hintern immer
noch die effiktivste und eindrucksvollste
Selbst bei nur 5 Usern muß es der Admin erstmal mitkriegen, daß ein Unbefugter auch nur versucht hat, mit privater Hardware ins Netz zu kommen. Danach kann er den Finger heben und "Dududu" rufen.
Alles andere erfordert eben entsprechende Technik und deren umsetzung mit entsprechenden Aufwand. Sicherheit Kostet!.
Logisch. doch irgendwo muß der TO ja mal anfangen. Unbenutzte Dosen auspatchen und auf reserviertes DHCP umstellen kann ein solcher Anfang sein, finde ich.
Gruß,
Peter
Grüße
von
departure
Hallo,
Ein blick auf seinen eigene rechner und er hat alles vor stehen was er braucht.
. In diesen kleinen Buden fällt sosfort auf wenn HM dort seinen Privatrechner anpappt. Diese kleinen Buden sind also nicht das Problem und ein 802.1X oder entsprechenden Switch wirst du dort niemals antreffen. Einen privaten Rechner im Firmennetz ungemerkt zu nutzen geht nur mit entsprechenden Netzwerkkentnissen, genügend krimineller Energie und wo ich in der Masse untertachen bzw. unbemerkt bleiben kann. Und auch zu deinem
muss doch ein Mitarbeiter schon reichlich an krimineller Energie haben um überhaupt auf diesen Gedanken zu kommen bzw. es dann auch tatsächlich zu tun. das passiert nicht aus Versehen. Und dort wo so ein Mitarbeiter in der Masse verschwinden kann ist ein entsprechender switch oder 802.1X doch nun wirklich nicht das Problem
Gruß,
Peter
Ein blick auf seinen eigene rechner und er hat alles vor stehen was er braucht.
Wer zu Hause den auch nur mit dynamischem DHCP vorkonfigurierten Speedport nutzt, kennt sich da schonmal nicht aus
Der wird auch nicht sein Rechner von zuhause verboternerweise trotzdem ins Firmennetz pappen.Daraus eine IP mit hoher Nummer
Welche ist vollkommen wurscht. Hauptsache frei. Und wer es versucht unbernekrt in der Firma zu tun weiß auch wie er IPs findet die belegt sind...sh. oben, reserviertes DHCP hilft zumindest dann, wenn der Unberechtigte sich nicht auskennt.
Nur dann wenn alle IPs des DHCP reserviert sind. s darf dann keine freie IPs durch den DHCP mehr geben. Dann ist der Einsatz eines DHCP doch mal als fraglich anzusehen. Ist eine IP frei wird diese dem anfragenden Gerät zugeordnet, egal welcher Domäne er angehört. Ein DHCP schert sich nicht um Domänenmitglieder...Selbst bei nur 5 Usern muß es der Admin erstmal mitkriegen
In diesen kleinen Buden gibt es kein Admin. Das können die sich gar nicht leisten. und der Hobby Admin der das ganze irgendwie mit irgendwas von irgendwoher und "schau, es geht" hat weder Gerät noch Software geschweige denn Zeit seinen Kollegen dort nachzugehen. Da herscht oft noch das Faustrecht. In diesen kleinen Buden fällt sosfort auf wenn HM dort seinen Privatrechner anpappt. Diese kleinen Buden sind also nicht das Problem und ein 802.1X oder entsprechenden Switch wirst du dort niemals antreffen. Einen privaten Rechner im Firmennetz ungemerkt zu nutzen geht nur mit entsprechenden Netzwerkkentnissen, genügend krimineller Energie und wo ich in der Masse untertachen bzw. unbemerkt bleiben kann. Und auch zu deinemandere Mitarbeiter gerade im Urlaub oder krank ist und sein PC deshalb nicht benutzt wird
Logisch. doch irgendwo muß der TO ja mal anfangen. Unbenutzte Dosen auspatchen
Ja.und auf reserviertes DHCP umstellen
Nur bedingtGruß,
Peter
Zitat von @Pjordorf:
Hallo,
> Zitat von @departure69:
> Ohne DHCP muß der "Bösewicht" zumindest mal die IP-Range des Netzes kennen
Ein blick auf seinen eigene rechner und er hat alles vor stehen was er braucht.
Hallo,
> Zitat von @departure69:
> Ohne DHCP muß der "Bösewicht" zumindest mal die IP-Range des Netzes kennen
Ein blick auf seinen eigene rechner und er hat alles vor stehen was er braucht.
Wenn er es denn versteht. Die Masse der Leute sieht dann, obwohl direkt und deutlich vor der Nase, trotzdem nur Suaheli.
> Wer zu Hause den auch nur mit dynamischem DHCP vorkonfigurierten Speedport nutzt, kennt sich da schonmal nicht aus
Der wird auch nicht sein Rechner von zuhause verboternerweise trotzdem ins Firmennetz pappen.
Der wird auch nicht sein Rechner von zuhause verboternerweise trotzdem ins Firmennetz pappen.
Na ja, oder eben doch, ich hab' das schon erlebt, die haben mir das sogar erzählt! "Hatt' neulich mal mein Laptop dabei und wollte mal hier ins Internet, aber da ging gar nichts." Proxy sei Dank. Danach gab's mit ernstem Blick einen Hinweis auf die diesbezügliche Dienstvereinbarung zur (verbotenen) Nutzung privater Hardware.
> Daraus eine IP mit hoher Nummer
Welche ist vollkommen wurscht. Hauptsache frei. Und wer es versucht unbernekrt in der Firma zu tun weiß auch wie er IPs
findet die belegt sind...
Righty Right.
> sh. oben, reserviertes DHCP hilft zumindest dann, wenn der Unberechtigte sich nicht auskennt.
Nur dann wenn alle IPs des DHCP reserviert sind. s darf dann keine freie IPs durch den DHCP mehr geben. Dann ist der Einsatz
eines DHCP doch mal als fraglich anzusehen. Ist eine IP frei wird diese dem anfragenden Gerät zugeordnet, egal welcher
Domäne er angehört. Ein DHCP schert sich nicht um Domänenmitglieder...
Es gibt durchaus DHCP-Server, die keine einzige dynamische IP verteilen, z. B. dort, wo eine Softwareverteilung den DHCP spielt und die Vergaben nur reserviert auf die MAC-Adressen erfolgen. Das ist gar nicht mal so selten.
> Selbst bei nur 5 Usern muß es der Admin erstmal mitkriegen
In diesen kleinen Buden gibt es kein Admin. Das können die sich gar nicht leisten. und der Hobby Admin der das ganze
irgendwie mit irgendwas von irgendwoher und "schau, es geht" hat weder Gerät noch Software geschweige denn Zeit
seinen Kollegen dort nachzugehen. Da herscht oft noch das Faustrecht
. In diesen kleinen Buden fällt sosfort auf wenn HMdort seinen Privatrechner anpappt. Diese kleinen Buden sind also nicht das Problem und ein 802.1X oder entsprechenden Switch wirst
du dort niemals antreffen. Einen privaten Rechner im Firmennetz ungemerkt zu nutzen geht nur mit entsprechenden
Netzwerkkentnissen, genügend krimineller Energie und wo ich in der Masse untertachen bzw. unbemerkt bleiben kann. Und auch zu
deinem
>> andere Mitarbeiter gerade im Urlaub oder krank ist und sein PC deshalb nicht benutzt wird
muss doch ein Mitarbeiter schon reichlich an krimineller Energie haben um überhaupt auf diesen Gedanken zu kommen bzw. es
dann auch tatsächlich zu tun. das passiert nicht aus Versehen. Und dort wo so ein Mitarbeiter in der Masse verschwinden
kann ist ein entsprechender switch oder 802.1X doch nun wirklich nicht das Problem
Kriminelle Energie muß gar nicht sein, oft genug spielen einem die Ertappten dann den Naiven vor, á la "ich wollt's das doch nur mal Probieren ...".
> Logisch. doch irgendwo muß der TO ja mal anfangen. Unbenutzte Dosen auspatchen
Ja.
> und auf reserviertes DHCP umstellen
Nur bedingt
Ja.
> und auf reserviertes DHCP umstellen
Nur bedingt
Jede noch so kleine Hürde macht die Treppe höher und steiler, irgendwann geht die Puste aus ...
Gruß,
Peter
Grüße
von
departure
Hallo,
Es geht schon darum den Zugang ins LAN zu verwehren. Internet ist doch erst viel später
Dann lieber gar keinen Und ja, ich kann auch alle Adressen im Scope reservieren dann geht auch keine IP per Hand
Es geht darum wie ein automatische Adressvergabe per DHCP (egal wer diesen Part hat Router, Server 32, DC, Linux xyz...) für nicht Domänenmitglieder umgesetzt werden kann. Und ich habe nur gesagt ein DHCP scherts überhaupt nicht zu welcher Domäne ein Gerät letztendlich gehört / gehören wird.
Gruß,
Peter
Es geht schon darum den Zugang ins LAN zu verwehren. Internet ist doch erst viel später
Es gibt durchaus DHCP-Server, die keine einzige dynamische IP verteilen
Ja. es aber entsprechend aufwändig und widerspricht die Funktion eines DHCP Servers Dann lieber gar keinen Und ja, ich kann auch alle Adressen im Scope reservieren dann geht auch keine IP per Hand z. B. dort, wo eine Softwareverteilung den DHCP spielt
Was denn jetzt? Softwareverteilung oder DHCP Server? Oder eine Softwareverteilung welche auch einen DHCP Server beinhaltet? und die Vergaben nur reserviert auf die MAC-Adressen erfolgen.
wenn deine eingesetzte Softwareverteilung den Status eines DHCP Servers abfragen kann ist das doch kein ProblemDas ist gar nicht mal so selten.
Sicher?Es geht darum wie ein automatische Adressvergabe per DHCP (egal wer diesen Part hat Router, Server 32, DC, Linux xyz...) für nicht Domänenmitglieder umgesetzt werden kann. Und ich habe nur gesagt ein DHCP scherts überhaupt nicht zu welcher Domäne ein Gerät letztendlich gehört / gehören wird.
Kriminelle Energie muß gar nicht sein
Alleine schon das Vorhaben und dann das tun (Umsetzen) wo jemand genau weis das es Untersagt ist genau diese zu tun setzt was voraus? Blödheit oder Vorsatz. Aber auch bei Blödheit ist hier kriminelle Energie nötig weil er/sie es ja sonst nocht nicht mal in erwägung ziehen würde. Oder?oft genug spielen einem die Ertappten dann den Naiven vor
Ja, hinterher nachdem ich die ertappt habe. Da sind es die Unschuldslämmer schlecht hin. Schon klar.Jede noch so kleine Hürde
Macht das laufen auch für alle anderen nur schwererGruß,
Peter
Zitat von @Pjordorf:
> Zitat von @departure69:
> ----
Hallo,
> > Zitat von @Pjordorf:
> ins Internet, aber da ging gar nichts." Proxy sei Dank.
Es geht schon darum den Zugang ins LAN zu verwehren. Internet ist doch erst viel später
> Zitat von @departure69:
> ----
Hallo,
> > Zitat von @Pjordorf:
> ins Internet, aber da ging gar nichts." Proxy sei Dank.
Es geht schon darum den Zugang ins LAN zu verwehren. Internet ist doch erst viel später
War ja auch nur ein Beispiel dafür, wie es der User begründet hat.
> Es gibt durchaus DHCP-Server, die keine einzige dynamische IP verteilen
Ja. es aber entsprechend aufwändig und widerspricht die Funktion eines DHCP Servers
Dann lieber gar keinen Und ja, ichkann auch alle Adressen im Scope reservieren dann geht auch keine IP per Hand
> z. B. dort, wo eine Softwareverteilung den DHCP spielt
Was denn jetzt? Softwareverteilung oder DHCP Server? Oder eine Softwareverteilung welche auch einen DHCP Server beinhaltet?
Letzteres. Bei uns hier bspw. genau so im Einsatz.
> und die Vergaben nur reserviert auf die MAC-Adressen erfolgen.
wenn deine eingesetzte Softwareverteilung den Status eines DHCP Servers abfragen kann ist das doch kein Problem
Nochmal: Softwareverteilung und DHCP-Funktion sind eins.
> Das ist gar nicht mal so selten.
Sicher?
Ganz sicher.
Es geht darum wie ein automatische Adressvergabe per DHCP (egal wer diesen Part hat Router, Server 32, DC, Linux xyz...) für
nicht Domänenmitglieder umgesetzt werden kann. Und ich habe nur gesagt ein DHCP scherts überhaupt nicht zu welcher
Domäne ein Gerät letztendlich gehört / gehören wird.
Wurde nie bestritten.
> Kriminelle Energie muß gar nicht sein
Alleine schon das Vorhaben und dann das tun (Umsetzen) wo jemand genau weis das es Untersagt ist genau diese zu tun setzt was
voraus? Blödheit oder Vorsatz. Aber auch bei Blödheit ist hier kriminelle Energie nötig weil er/sie es ja sonst
nocht nicht mal in erwägung ziehen würde. Oder?
Nunja, Spieltrieb, Probiertrieb, "Ich-krieg-Dich"-Trieb, solche halten ihr Tun auf jeden Fall nicht für echt kriminell, gleichwohl es das ist.
> oft genug spielen einem die Ertappten dann den Naiven vor
Ja, hinterher nachdem ich die ertappt habe. Da sind es die Unschuldslämmer schlecht hin. Schon klar.
Auch schon öfter erlebt?
> Jede noch so kleine Hürde
Macht das laufen auch für alle anderen nur schwerer
Stimmt, leider.
Gruß,
Peter
Servus
Hallo,
Also die Funktion Softwareverteilung UND DHCP ist ein und die gleiche Funktion? Woh!
Oder beinhaltet deine uns unbekannte Softwareverteilungslösung auch einen DHCP Server? DHCP Server ist und bleibt ein DHCP Server. Egal wie oder wo oder wonach das Ding riecht oder schmeckt.
Welche Softwareverteilung nutzt ihr denn?
Gruß,
Peter
Also die Funktion Softwareverteilung UND DHCP ist ein und die gleiche Funktion? Woh!
Oder beinhaltet deine uns unbekannte Softwareverteilungslösung auch einen DHCP Server? DHCP Server ist und bleibt ein DHCP Server. Egal wie oder wo oder wonach das Ding riecht oder schmeckt.
Welche Softwareverteilung nutzt ihr denn?
Auch schon öfter erlebt?
Warum kommen die dann bei euch erst soweit?Gruß,
Peter
DX-Union. Glaub' mir, die DHCP-Funktionalität steckt untrennbar mit in dem Softwareverteilprogramm. Es ist keine extra Server-Software.
Die "soweit" kamen: das war noch bei meinem alten AG.
Grüße
Die "soweit" kamen: das war noch bei meinem alten AG.
Grüße
Hallo,
was hier doch hochkommt ist die Tatsache, daß das nicht 100% verhindert werden kann. Solange jemand Admin auf seinem Rechner ist kann er immer sich die Netzwerkdaten des Nebenmanns/Frau besorgen und sich so in das Netzwerk mogeln, alles hier vorgebrachte kann technisch nicht volkommen ausgeschlossen werden.
Mein Vorschlag um auf die Jagt zu gehen:
- Alle Rechner bekommen per DHCP feste IP
- Rechner die unbekannt sind bekommen eine IP aus einem anderen Band, das Benutzer/PW bei dem Proxy benötigt
Selbst auf dem DHCP fallen die unbekannten Mac dann schnell auf
Ob die Jagt aber wirklich zur Verbesserung des Betriebsklimas beträgt lasse ich mal offen.
Grüße vom Peter
was hier doch hochkommt ist die Tatsache, daß das nicht 100% verhindert werden kann. Solange jemand Admin auf seinem Rechner ist kann er immer sich die Netzwerkdaten des Nebenmanns/Frau besorgen und sich so in das Netzwerk mogeln, alles hier vorgebrachte kann technisch nicht volkommen ausgeschlossen werden.
Mein Vorschlag um auf die Jagt zu gehen:
- Alle Rechner bekommen per DHCP feste IP
- Rechner die unbekannt sind bekommen eine IP aus einem anderen Band, das Benutzer/PW bei dem Proxy benötigt
Selbst auf dem DHCP fallen die unbekannten Mac dann schnell auf
Ob die Jagt aber wirklich zur Verbesserung des Betriebsklimas beträgt lasse ich mal offen.
Grüße vom Peter
Es reicht schon, wenn sie snifffen können.
Ansonsten nochmals: hat man im gesamten Netz auf allen Freigaben die Rechte in Ordnung, besteht für das interne Netz
eigentlich keine Gefahr.
eigentlich keine Gefahr.
Trotzdem gibt es genügend Malware, die von einem infizierten Privatrechner überspringen kann.
lks
Hallo,
Wenn es nur um die Apple Kisten geht Auch wir die eine MAC kennen kennen auch ein Mac
http://www.apple.com/de/mac/
http://de.wikipedia.org/wiki/MAC-Adresse
Gruß,
Peter
Wenn es nur um die Apple Kisten geht
Auch wir die eine MAC kennen kennen auch ein Mac http://www.apple.com/de/mac/
http://de.wikipedia.org/wiki/MAC-Adresse
Gruß,
Peter
