Erfahrungen mit DHCP Snooping und Dynamic ARP Inspection
Hallo Zusammen,
nach einem Security Audit stehen wir nun vor der Aufgabe Dynmic ARP Inspection, und damit einhergehend DHCP Snooping, in unserem Netzwerk zu implementieren.
Nach einigen Tagen einlesen und im Lab testen bin ich mir langsam nicht mehr sicher ob diese Features wirklich sinnvoll für eine größere Infrastruktur sind (an die 1000 Rechner).
Probleme ergeben sich zum Beispiel bei IP-Telefonen hinter denen der eigentliche Rechner hängt oder Switche in der Produktion.
Soweit ich das sehe müssten wir diese Sicherheit bei der Hälfte aller Ports wieder abschalten und hätten einen enormen Pflegeaufwand.
Wie sind eure Erfahrungen mit diesen Einstellungen? Gibt es jemanden der das alles Tatsächlich implementiert hat?
Gruß,
Mad-Eye
nach einem Security Audit stehen wir nun vor der Aufgabe Dynmic ARP Inspection, und damit einhergehend DHCP Snooping, in unserem Netzwerk zu implementieren.
Nach einigen Tagen einlesen und im Lab testen bin ich mir langsam nicht mehr sicher ob diese Features wirklich sinnvoll für eine größere Infrastruktur sind (an die 1000 Rechner).
Probleme ergeben sich zum Beispiel bei IP-Telefonen hinter denen der eigentliche Rechner hängt oder Switche in der Produktion.
Soweit ich das sehe müssten wir diese Sicherheit bei der Hälfte aller Ports wieder abschalten und hätten einen enormen Pflegeaufwand.
Wie sind eure Erfahrungen mit diesen Einstellungen? Gibt es jemanden der das alles Tatsächlich implementiert hat?
Gruß,
Mad-Eye
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 262105
Url: https://administrator.de/forum/erfahrungen-mit-dhcp-snooping-und-dynamic-arp-inspection-262105.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
generell eignet Snooping problemlos für größere Infrastrukturen., allerdings hängt es von der Infrastruktur und dem Aufbau des Netzes ab.
Gerade in Produktivumgebungen frage ich mich immer wieder wieso hier mit DHCP gearbeitet wird. Größere Maschinen sind selten Ortsveränderlich und können daher problemlos mit festen IP Adressen versehen werden.
IP Telefone sollten ebenfalls bekannt sein, die MAC Adresse kann hinterlegt werden.
Wenn das Netz sauber segmentiert ist und die VLAN Struktur passt ist DHCP Snooping und Dynamc Arp eigentlich kein Stressfaktor.
brammer
generell eignet Snooping problemlos für größere Infrastrukturen., allerdings hängt es von der Infrastruktur und dem Aufbau des Netzes ab.
Gerade in Produktivumgebungen frage ich mich immer wieder wieso hier mit DHCP gearbeitet wird. Größere Maschinen sind selten Ortsveränderlich und können daher problemlos mit festen IP Adressen versehen werden.
IP Telefone sollten ebenfalls bekannt sein, die MAC Adresse kann hinterlegt werden.
Wenn das Netz sauber segmentiert ist und die VLAN Struktur passt ist DHCP Snooping und Dynamc Arp eigentlich kein Stressfaktor.
brammer
Hi Mad-Eye,
hast du schon geschaut ob deine Switche DHCP Snooping unterstützen?
Auch in größeren Umgebungen kann man DHCP Snooping und DAI ganz gut einsetzen. Sofern alles gut dokumentiert ist (an welchem Switchport hängt was) ist das eigentlich auch netzweit recht schnell eingerichtet.
Dass du die Sicherheit bei der Hälfte aller Ports abschalten musst kann ich nicht ganz nachvollziehen. Du kannst Switchports als trusted definieren wenn dahinter Geräte mit fester IP, DHCP Server die IP Adressen verteilen oder was auch immer stecken.
Du glaubst nicht wie schnell man ohne diese Funktionen ganz einfach eine Man-in-the-Middle Attacke im Netzwerk -unbemerkt- laufen lassen kann. Ob der Aufwand lohnt, muss wohl jeder für sich selbst entscheiden.
Gruß
exellent
hast du schon geschaut ob deine Switche DHCP Snooping unterstützen?
Auch in größeren Umgebungen kann man DHCP Snooping und DAI ganz gut einsetzen. Sofern alles gut dokumentiert ist (an welchem Switchport hängt was) ist das eigentlich auch netzweit recht schnell eingerichtet.
Dass du die Sicherheit bei der Hälfte aller Ports abschalten musst kann ich nicht ganz nachvollziehen. Du kannst Switchports als trusted definieren wenn dahinter Geräte mit fester IP, DHCP Server die IP Adressen verteilen oder was auch immer stecken.
Du glaubst nicht wie schnell man ohne diese Funktionen ganz einfach eine Man-in-the-Middle Attacke im Netzwerk -unbemerkt- laufen lassen kann. Ob der Aufwand lohnt, muss wohl jeder für sich selbst entscheiden.
Gruß
exellent