8
Geräten verbieten IP Adressen außerhalb des DHCP Bereichs zu nutzen
Hallo liebe Helfer,
Ich habe bei der pfSense für ein VLAN mit aktiviertem DHCP Server
Subnet: 192.168.90.0
Subnet mask: 255.255.255.0
Available range: 192.168.90.1 - 192.168.90.254
Range für die DHCP Vergabe: 192.168.90.200 - 192.168.90.250
Funktionshintergrund
Hintergrund ist das ich in meinen Firewall Rules für Adressen von 192.168.90.2 - 192.168.90.50 spezielle extra Freigaben einrichten möchte. DIesen Adressbereich nutze ich für DHCP Static Mapping womit ich einigen Geräten also eine feste IP zuordne und gleichzeitig damit diese extra Rechte erhalten.
Problem
Nur kann man sich momentan selber mit einer manuellen IP Eingabe im Rechner sich eine IP aus dem Bereich 192.168.90.2 - 192.168.90.50 erschleichen.
Frage
Wie kann ich also dafür sorgen, dass wenn man sich selber eine IP im Bereich außerhalb der DHCP Range gibt, dieses nicht funktioniert?
Ich habe bei der pfSense für ein VLAN mit aktiviertem DHCP Server
Subnet: 192.168.90.0
Subnet mask: 255.255.255.0
Available range: 192.168.90.1 - 192.168.90.254
Range für die DHCP Vergabe: 192.168.90.200 - 192.168.90.250
Funktionshintergrund
Hintergrund ist das ich in meinen Firewall Rules für Adressen von 192.168.90.2 - 192.168.90.50 spezielle extra Freigaben einrichten möchte. DIesen Adressbereich nutze ich für DHCP Static Mapping womit ich einigen Geräten also eine feste IP zuordne und gleichzeitig damit diese extra Rechte erhalten.
Problem
Nur kann man sich momentan selber mit einer manuellen IP Eingabe im Rechner sich eine IP aus dem Bereich 192.168.90.2 - 192.168.90.50 erschleichen.
Frage
Wie kann ich also dafür sorgen, dass wenn man sich selber eine IP im Bereich außerhalb der DHCP Range gibt, dieses nicht funktioniert?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 598818
Url: https://administrator.de/contentid/598818
Printed on: April 18, 2024 at 13:04 o'clock
8 Comments
Latest comment
Das wirst du nicht verhindern können.
Für solche Fälle einfach ein zweites Netzwerk/VLAN hochziehen, was die Sonderrechte hat und die jeweiligen Geräte dahin versetzen.
Für solche Fälle einfach ein zweites Netzwerk/VLAN hochziehen, was die Sonderrechte hat und die jeweiligen Geräte dahin versetzen.
Doch das ist möglich, ob die pfSense das kann weiß ich im Moment nicht, aber mit einem Mikrotik bspw. ist das kein Problem. Dort schaltet man das dynamische ARP auf dem Interface ab, und lässt ausschließlich den DHCP-Server die ARP-Table Einträge der Clients hinzufügen/entfernen.
Für solche Fälle einfach ein zweites Netzwerk/VLAN hochziehen, was die Sonderrechte hat und die jeweiligen Geräte dahin versetzen.
Würde ich auch empfehlen.
Zitat von @Jensano:
Frage
Wie kann ich also dafür sorgen, dass wenn man sich selber eine IP im Bereich außerhalb der DHCP Range gibt, dieses nicht funktioniert?
Frage
Wie kann ich also dafür sorgen, dass wenn man sich selber eine IP im Bereich außerhalb der DHCP Range gibt, dieses nicht funktioniert?
Mit einem passenden LART, z.B.
CAT9
lks
PS: Wenn man die entsprechenden Geräte nicht eh in ein gesondertes LAN-Segment/VLAN packt nutzt man 802.1X, um unabhängig von IP-Adressen Berechtigungen zu vergeben oder einzuschränken. Aber das (zusätzliche) Nutzen von LARTs hat den positiven Effekt, die Nutzer zu erziehen und die eigen Authorität zu erhöhen. (Aus praktischer Erfahrung weiß ich, daß das (präventive) Knallen mit Cat9 bleibenden Eindruck bei den Usern hinterläßt.
)
Available range: 192.168.90.1 - 192.168.90.254
Das wäre ja kompletter Quatsch und die Peitsche vom Kollegen @lks da sehr angebracht, denn das inkludiert ja alle IPs des /24er Subnetzes und damit auch die des Routers oder anderer Geräte die zwingend feste IPs benötigen. Es ist natürlich völliger Unsinn die gesamte Adress Range des Subnetzes als Pool anzugeben. Man nimmt immer nur einen Teil wie z.B. .10 bis .230 um "oben" und "unten" immer noch Platz für Geräte mit statischen IPs nutzen zu können. Ansonsten droht immer Adress Chaos durch Doppelbelegung. Das lernt der IT Azubi schon im ersten Lehrjahr !Die eigenständige Vergabe von statischen IPs an Endgeräten kannst du nur mit 802.1x Port Security und dynmaischen ACLs oder statischen Mac Mapping an den Switchports verhindern.
Es ginge auch mit Layer 3 Filterregeln an den Switchports sofern dein Switch solche Features supportet ?
Andere Optionen hast du nicht.
Es ist auch kein Feature der pfSense sondern immer eins des verwendeten Switches !
Das kommt drauf an wieviel Aufwand es dir wert ist... Das direkt zu machen ist natürlich schwer und blöd zu lösen. Ich baue mir zu dem Zweck grad ne Software die mir das ganze über ein paar kleine Umwege erlaubt:
- Jedes Gerät meldet per SNMP-Trap die MAC an meine Software (inkl. des VLAN wo die drin is).
- das ganze vergleiche ich erst mal mit ner Liste von MAC-Adressen die dort erlaubt sind.
-> Momentan bin ich noch im manuellen Modus: Gibt es in der Liste die MAC nicht wird das Gerät einfach nur gemeldet.
-> Soweit ich meinen Test erledigt habe geht das ganze auf "Automatik" - und meine SW wird einfach in jeden (Cisco-)Switch ins VLAN in etwa sowas packen:
mac address-table static xxxx.xxxx.xxxx vlan yy drop
Man könnte das ganze jetzt natürlich noch etwas verfeinern - indem man z.B. vom DHCP (sofern unter deiner Kontrolle) sich holt wer grad angemeldet ist oder indem man eben beim Verbinden einer MAC prüft auf welcher IP die gelegt wurde und nur dann den Vergleich macht wenns in deinem "Private Range" liegt. Die Grundüberlegung bleibt für mich gleich -> wenn jemand durch solche Spiele versucht sich ins Netzwerk "einzuschummeln" dann ist mein "Vertrauen" ja bereits weg, also haue ich den aus dem gesamten Netzwerk raus. Wenn mir jemand 5 Euro vom Tisch klaut würde ich denjenigen ja auch nicht nur aus dem Wohnzimmer werfen - der dürfte meine Bude insgesamt nicht mehr betreten ;).
Das gute an so einer Lösung ist das du nicht viel machen kannst:
- Änderst du die MAC einfach wahrlos steht die immer noch nicht auf der Liste -> problem erledigt, hab ich halt ne grössere Sperrliste...
- Änderst du die MAC auf eine existierende MAC (die du erst mal kennen musst) wird sich der Switch beschweren das er dieselbe MAC auf 2 Ports sieht -> du hast noch mehr Probleme
Du müsstest also ein existierendes Gerät rausreissen und dessen MAC + IP übernehmen (und ggf. am selben Port sein). Da könnte man dann natürlich noch extra Prüfungen einbauen ob es wirklich DAS Gerät ist, aber ich denke für den normalfall ist das nicht wirklich nötig.
Nachteil: Mir wäre keine Software bekannt die das bereits komplett so macht - daher baue ich mir die auch selbst weil ich die so genau an meine Umgebung anpassen kann... Es ist halt etwas aufwendiger, aber dafür spart es am Ende aber Zeit....
- Jedes Gerät meldet per SNMP-Trap die MAC an meine Software (inkl. des VLAN wo die drin is).
- das ganze vergleiche ich erst mal mit ner Liste von MAC-Adressen die dort erlaubt sind.
-> Momentan bin ich noch im manuellen Modus: Gibt es in der Liste die MAC nicht wird das Gerät einfach nur gemeldet.
-> Soweit ich meinen Test erledigt habe geht das ganze auf "Automatik" - und meine SW wird einfach in jeden (Cisco-)Switch ins VLAN in etwa sowas packen:
mac address-table static xxxx.xxxx.xxxx vlan yy drop
Man könnte das ganze jetzt natürlich noch etwas verfeinern - indem man z.B. vom DHCP (sofern unter deiner Kontrolle) sich holt wer grad angemeldet ist oder indem man eben beim Verbinden einer MAC prüft auf welcher IP die gelegt wurde und nur dann den Vergleich macht wenns in deinem "Private Range" liegt. Die Grundüberlegung bleibt für mich gleich -> wenn jemand durch solche Spiele versucht sich ins Netzwerk "einzuschummeln" dann ist mein "Vertrauen" ja bereits weg, also haue ich den aus dem gesamten Netzwerk raus. Wenn mir jemand 5 Euro vom Tisch klaut würde ich denjenigen ja auch nicht nur aus dem Wohnzimmer werfen - der dürfte meine Bude insgesamt nicht mehr betreten ;).
Das gute an so einer Lösung ist das du nicht viel machen kannst:
- Änderst du die MAC einfach wahrlos steht die immer noch nicht auf der Liste -> problem erledigt, hab ich halt ne grössere Sperrliste...
- Änderst du die MAC auf eine existierende MAC (die du erst mal kennen musst) wird sich der Switch beschweren das er dieselbe MAC auf 2 Ports sieht -> du hast noch mehr Probleme
Du müsstest also ein existierendes Gerät rausreissen und dessen MAC + IP übernehmen (und ggf. am selben Port sein). Da könnte man dann natürlich noch extra Prüfungen einbauen ob es wirklich DAS Gerät ist, aber ich denke für den normalfall ist das nicht wirklich nötig.
Nachteil: Mir wäre keine Software bekannt die das bereits komplett so macht - daher baue ich mir die auch selbst weil ich die so genau an meine Umgebung anpassen kann... Es ist halt etwas aufwendiger, aber dafür spart es am Ende aber Zeit....
Nachteil: Mir wäre keine Software bekannt
Ist das nicht ARPwatch oder MacMon ?? Das gibt es kommerziell und auch frei unter Linux udn erfordert natürlich SNMP fähige Switches.Das ist ein Weg. 801.1x mit dynamischen ACLs ginge auch aber das muss der Switch supporten.
@Lochkartenstanzer
Hehe. Unterwegs auf dem Handy dacht ich was ist denn das. Sah aus wie eine Kabeleinziehhilfe. Aber jetzt seh ichs. Cooles Teil
Ja theoretisch wird das mit Diziplin natürlich gehen. Ist ja nur hier zu Hause und da kenn ich die Leute die im Netzt sind. Mein 90er Subnetz ist das Gästenetz. Ein paar von den Gästen dürfen jedoch auch auf meinen Fernseher zugreifen um ihre Fotos vom iPhone mittels Airplay in groß präsentieren zu können. Und teilweise möchte ein "Gast" (erweiterter Familienkreis) auch mal was drucken.
Natürlich könnt man pauschal auch allen Gästen den Zugriff auf den Fernseher und den Drucker erlauben. Aber das war jetzt erstmal mein erster Denkansatz. So wenig wie nötig Rechte den Leuten geben. So wäre man auch sicher bei infizierten Geräten von Personen die z.B. gar keinen Druckerzugriff benötigen.
Aber die Rechtevergabe wird hier noch ständig an das Beste Nutzen/Sicherheitsverhältniss angepasst.
802.1X habe ich hier auf Basis der MAC Authentisierung. So schiebe ich die Geräte in das entsprechende VLAN. Der nutzen hat sich bei mir jedoch momentan auf ein Gerät reduziert. Das ist ein Unifi Cloud Key, den ich momentan mal an eine LAN Dose im Wohnzimmer und mal im Schlafzimmer anschließe, da ich ihn nicht immer AN benötige. Je nach dem wo ich gerade rummfummele.
Deshalb habe ich zur Übersichtlichkeit mit diesem Thema hier eine Möglichkeit gesucht auf den Radius zu verzichten. Wäre schon wenn ich alles möglichst mit pfSense Boardmitteln hinbekomme und nicht zusätzlich die Cisco SG350 Funktionen benutzen muss. Oder bei dem Fall Gäste WLAN den Controller (Unifi Cloud Key) vom Unifi AP AC Pro um dann dort mittels Radius die Gäste in das jeweilige VLAN zu schieben. Das wäre nötig, da ich nicht zwei SSIDs für Gäste hier aufmachen will. Die Gästezugangsdaten hängen quasi an der Garderobe und wer hier Internet haben will kann sich so einloggen.
Bei der pfSense ist das lediglich die Range des Subnetzes die man wie auch immer verwenden kann. Die Range die ich für DHCP reserviert habe steht darunter mit "Range für die DHCP Vergabe:" 192.168.90.200 - 192.168.90.250
Sagen wir mal beides. Den Switch nutze ich mit 802.1X um über ein Radius eine MAC Adresse in ein VLAN zu schieben. Der Radius selber läuft aber auf der pfSense wo ich dann ja sage MAC=X gehört in VLAN=Y
Ich denke ich werde vorerst der Übersichtlichkeit halber damit leben das man sich mit einer manuellen IP Vergabe Zugang zum Fernseher und Drucker erschleichen kann. Denke das ist in meinem Umfeld hier vertretbar. So lässt sich das für mich übersichtlicher verwalten, ich brauche nicht noch ein extra VLAN mit eigenen Regeln und die Kriminalität hier hält sich in Grenzen ;)
Hehe. Unterwegs auf dem Handy dacht ich was ist denn das. Sah aus wie eine Kabeleinziehhilfe. Aber jetzt seh ichs. Cooles Teil
Ja theoretisch wird das mit Diziplin natürlich gehen. Ist ja nur hier zu Hause und da kenn ich die Leute die im Netzt sind. Mein 90er Subnetz ist das Gästenetz. Ein paar von den Gästen dürfen jedoch auch auf meinen Fernseher zugreifen um ihre Fotos vom iPhone mittels Airplay in groß präsentieren zu können. Und teilweise möchte ein "Gast" (erweiterter Familienkreis) auch mal was drucken.
Natürlich könnt man pauschal auch allen Gästen den Zugriff auf den Fernseher und den Drucker erlauben. Aber das war jetzt erstmal mein erster Denkansatz. So wenig wie nötig Rechte den Leuten geben. So wäre man auch sicher bei infizierten Geräten von Personen die z.B. gar keinen Druckerzugriff benötigen.
Aber die Rechtevergabe wird hier noch ständig an das Beste Nutzen/Sicherheitsverhältniss angepasst.
802.1X habe ich hier auf Basis der MAC Authentisierung. So schiebe ich die Geräte in das entsprechende VLAN. Der nutzen hat sich bei mir jedoch momentan auf ein Gerät reduziert. Das ist ein Unifi Cloud Key, den ich momentan mal an eine LAN Dose im Wohnzimmer und mal im Schlafzimmer anschließe, da ich ihn nicht immer AN benötige. Je nach dem wo ich gerade rummfummele.
Deshalb habe ich zur Übersichtlichkeit mit diesem Thema hier eine Möglichkeit gesucht auf den Radius zu verzichten. Wäre schon wenn ich alles möglichst mit pfSense Boardmitteln hinbekomme und nicht zusätzlich die Cisco SG350 Funktionen benutzen muss. Oder bei dem Fall Gäste WLAN den Controller (Unifi Cloud Key) vom Unifi AP AC Pro um dann dort mittels Radius die Gäste in das jeweilige VLAN zu schieben. Das wäre nötig, da ich nicht zwei SSIDs für Gäste hier aufmachen will. Die Gästezugangsdaten hängen quasi an der Garderobe und wer hier Internet haben will kann sich so einloggen.
Bei der pfSense ist das lediglich die Range des Subnetzes die man wie auch immer verwenden kann. Die Range die ich für DHCP reserviert habe steht darunter mit "Range für die DHCP Vergabe:" 192.168.90.200 - 192.168.90.250
Sagen wir mal beides. Den Switch nutze ich mit 802.1X um über ein Radius eine MAC Adresse in ein VLAN zu schieben. Der Radius selber läuft aber auf der pfSense wo ich dann ja sage MAC=X gehört in VLAN=Y
Ich denke ich werde vorerst der Übersichtlichkeit halber damit leben das man sich mit einer manuellen IP Vergabe Zugang zum Fernseher und Drucker erschleichen kann. Denke das ist in meinem Umfeld hier vertretbar. So lässt sich das für mich übersichtlicher verwalten, ich brauche nicht noch ein extra VLAN mit eigenen Regeln und die Kriminalität hier hält sich in Grenzen ;)
