DHCP Option 150

petergyger
Goto Top
Hallo

DHCP Option 150 (TFTP CiscoVOIP) aktivieren, hinter einer einem professionellen Netzwerk das von Profis geführt wird, ist das in irgend einer Weise "Security aware"?

Eine Recherche von 20 Min hat nichts ergeben. Anderslautende Informationen?

Besten Dank!

Beste Grüsse

Content-Key: 2704442143

Url: https://administrator.de/contentid/2704442143

Ausgedruckt am: 06.07.2022 um 21:07 Uhr

Mitglied: LeReseau
LeReseau 06.05.2022 um 13:07:16 Uhr
Goto Top
Gibt ja lediglich nur den TFTP Server mit wo die Telefone ihre Konfig booten. Also nix Böses.
https://administrator.de/tutorial/cisco-telefone-fuer-all-ip-anschluss-f ...
Mitglied: PeterGyger
PeterGyger 06.05.2022 um 13:13:28 Uhr
Goto Top
Hallo LeReseau

Die VoipPhones sind in einem eigenen DHCP Scope. Nur für diesen Scope soll die Option zu einem interner TFTP Server konfiguriert werden.

Allgemeinplätze wie "Wasser ist nass", ergeben keinen Nutzen für den Fragestellt. Nur als Hinweis gedacht.

Beste Grüsse
Mitglied: lcer00
lcer00 06.05.2022 um 13:20:07 Uhr
Goto Top
Hallo,
Zitat von @PeterGyger:

Hallo LeReseau

Die VoipPhones sind in einem eigenen DHCP Scope. Nur für diesen Scope soll die Option zu einem interner TFTP Server konfiguriert werden.

Allgemeinplätze wie "Wasser ist nass", ergeben keinen Nutzen für den Fragestellt. Nur als Hinweis gedacht.
Das ganz spezielle Risiko wäre folgendes: Wenn ein Angreifer ein Gerät in das VLAN einsetzt, erhält er die Konfigurationsadresse für die Telefone.

Grüße

lcer
Mitglied: LeReseau
Lösung LeReseau 06.05.2022 aktualisiert um 13:25:57 Uhr
Goto Top
In einem L2 abgetrennten VoIP Segment ist die Frage dann umso überflüssiger. Was sollte denn dort die Security beeinflussen wenn der Client eine TFTP Server Boot Adresse mitbekommt? Ist bei BOOTP oder PXE ja nicht anders mit Option 66 und die sind auch nicht weniger sicher. Zumal 99,9% der Clients mit der proprietären Option 150 gar nichts anfangen können und sie ignorieren. Auch weil sich ja alles nur im L2 abspielt. DHCP ist L2. Welche Antwort auf deine Frage erwartest du also? Nein, es gibt keine anderslautenden Erkenntnisse. face-wink
Mitglied: Spirit-of-Eli
Spirit-of-Eli 06.05.2022 um 17:00:47 Uhr
Goto Top
Außerdem kann jeder Mensch mit Wireshark mitlesen wenn ein Telefon einen DHCP Request stellt und hat dann nun mal auch die info.
Mitglied: unbelanglos
unbelanglos 06.05.2022 um 21:39:17 Uhr
Goto Top
Das hängt davon ab, was in der Antwort steht. ;)

Erfahrungsgemäß sind VoIP Geräte und Netze mit solchen Optionen bevorzugte Angriffsvektoren. Das liegt aber weniger am DHCP als an den Implementierungen der Telefone.

Ich persönlich greife bevorzugt über MFC Drucker und VoIP Telefone an.