Gibt es auch eine Möglichkeit, dass man nicht jedem User einen IP-Zettel in die Hand drücken muss, auf dem seine IP, das Subnet, der DNS und der WINS-Server stehen?

Ja, dazu müsst ihr nur einen DHCP-Server aufmachen. Jeder User stellt dann bei sich "IP-Adresse automatisch beziehen" ein und bekommt vom DHCP seine IP, sein Subnet, den DNS und WINS zugewiesen.

Wenn es damit so viel einfacher geht, warum setzen dann viele LANs keine DHCPs mehr ein?

Das Problem dabei ist, dass in dem Netz mehr als nur der DHCP-Server der Orgas stehen können. Sei das jetzt aus versehen durch eine Konfiguration des Teilnehmers von zu Hause, oder mit Absicht durch einen Angreifer. Die Clientrechner, die von dem DHCP eine IP beziehen, wissen ja nicht welche Adresse der DHCP hat, da dieser eben erst die Adressen vergibt. Daher durchsuchen sie das Netz nach DHCP-Servern. Den erste, der ihnen Antwortet verwenden sie. Da bei den einen Usern der Orga-DHCP schneller antwortet und bei den anderen der Angreifer-DHCP werden die Teilnehmer in 2 verschiedene Netze gelegt. Der Orga-DHCP verteilt beispielsweise IPs im Bereich 10.10.0.* und der Angreifer-DHCP im Bereich 192.168.0.*. Da als Subnet 255.255.255.0 vergeben wird liegt die eine Teilnehmergruppe in einem anderen Netz, als die andere und man findet nur die Hälfte der Teilnehmer der Party.

Was kann ich gegen Teilnehmer DHCPs tun?

Zum einen ist die Wahrscheinlichkeit, dass der Teilnehmer einen Orga-DHCP zuerst erreicht dann größer, wenn es mehr Orga-DHCPs gibt, als Teilnehmer DHCPs und die Orga-DHCPs besser ans Netz angebunden sind, als die Teilnehmer. Darauf sollte man allerdings nicht bauen, da ein paar Teilnehmer immer noch die IP des Angreifer DHCPs bekommen werden, wenn dieser es wirklich darauf anlegt. Ihr müsst es also irgendwie schaffen den Angreifer DHCP zu orten. Dazu benötigt ihr die MAC-Adresse (eine eindeutige - leider auch änderbare - Adresse die jede Netzwerkkarte bei der Herstellung bekommt) des Angreifers. Um diese zu bekommen geht ihr an den Rechner eines Teilnehmers, der eine falsche IP zugewiesen bekommen hat und tippt "arp -a" in die Eingabeaufforderung ein. Dies liefert euch die Mac Adresse. Wenn ihr jetzt noch ein managebares Netz habt, habt ihr auch schnell den Port gefunden, an dem der User hängt. Wie das genau geht, hängt jeweils von den Herstellern des Netzes ab. Hab ihr den Port gefunden, gibt es 2 Möglichkeiten: Vorbeigehen und das Kabel verfolgen, oder einfach den Port abschalten und warten, bis der Teilnehmer vor kommt und sich beschwert, warum sein Netz nicht mehr geht. Letzteres ist bequemer ;-). Nun habt ihr den Teilnehmer und könnt den DHCP ausschalten und bei erneutem vorkommen den Teilnehmer rausschmeißen.
Hat man diesen DHCP nun ausgeschaltet, so müssen sich alle Teilnehmer, die von diesem ihre Daten bekommen haben, neue zuweisen lassen. Nun sind schon mehr Leute auf dem richtigen DHCP. Da man die Dauer, für die ein DHCP gilt, einstellen kann, werden auch alle Teilnehmer die einmal von dem richtigen DHCP eine IP bekommen haben so lange bei dieser IP bleiben, wie auch der DHCP läuft. Mit der Zeit und jedem Ausschalten eines fremden DHCPs minimieren sich also die Teilnehmer, die nach einem Neustart sich einen neuen DHCP suchen und zu einem anderen umspringen würden. Jedoch nur, wenn der Orgas DHCP noch erreichbar ist. Ein Angreifer kann jedoch, wenn er gut ist, auch was gegen die Erreichbarkeit unternehmen...

Fazit:

Ein DHCP erleichtert es den Teilnehmer extrem ihre Daten einzustellen und ihr habt weniger stress es ihnen zu erklären, allerdings bekommt ihr mehr Stress durch Leute, die auch einen DHCP laufen haben, evtl. sogar so viel, dass keiner der Teilnehmer alle anderen im Netz findet. Daher ist es allerhöchstens auf kleinen Partys ratsam. Auf großen wird die Anzahl der Teilnehmer-DHCPs zu groß und ihr seid nur noch am DHCP suchen und eliminieren. Einen DHCP würde ich nur den Orgas raten, die auch in der Lage sind mögliche Angreifer zu finden.

Weitere Seiten zu diesem Thema: ANDReA - IP-Vergabesystem URL: Von: Titel:   Captcha:

Text bewerten: Aktuelle Wertung: 0 (0x) Seit der letzten Änderung: 0 (0x) Note 1 2 3 4 5 6

Kommentare     Seite: [0]

17. Dec. 2003 - 10:57 erstellt von Netwalker

Hmm DHCP ist ne schicke sache und wir setzen diesen seid unserer ersten LAN ein. Bis jetzt gab es nur wenig Probleme durch "Feindlich-DHCP Server" sprich MS Internetverbindungsfreigaben. Der DHCP der Internetverbindungsfreigabe startet erst garnicht wenn ein anderer DHCP server present ist bzw beendet sich wenn ein anderer DHCP ongeht. Unser DHCP ist ein wenig umkonfiguriert so das er sich nicht mehr abschaltet wenn andere DHCP server im Netz sind. Das aufspüren eines anderen DHCP ist bei guter Plannung auch leicht möglich. Im Notfall liegt uns aber auch ein Notfallplan zur Verfügung falls es doch weiter Probleme gibt. Besonders bei der einstellung der Wins server daten ist ein DHCP auf jeden Fall sehr hilfreich und vermeidet unnötige Broudcasts. Broudcasts!!! HLSW bis beta 8 erzeugen unnötig Traffic ab Version Beta 9 ist ein LAN Server modul intergriert diesen sollte man als Veranstalter auf irgendeinem Server mit einrichten und starten

28. Oct. 2004 - 19:38 erstellt von Pipe

Yoa! Danke für die wertvollen Tipps! Da einige Leute mit aktivierter Internetverbindungsfreigabe auf die LAN kommen und deren NIC dann ja automatisch die 192.168.0.1 hat und so wie ich es herausgelesen habe dann bei Windows automatisch eine dhcp läuft sollte man folgende Punkte zusammenfassend beachten: -Niemals die 192.168.0.1 in irgendeiner Konstellation vergeben. Es kommen immer welche mit der IP auf LAN stöpseln ein und dann hat man Konflikte. -Das Risiko das eine Störung der LAN eintritt durch Fremd-DHCP (gemeint ist hier Windows mit Internetverbindungsfreigabe) der andere Adressen vergibt als der Eigene wird minimiert, wenn man den gleichen Adressraum verwendet wie Windows mit Internetverbindungsfreigabe. Also 192.168.0.2 bis 192.168.0.254. Freilich kann man dadurch keine Adresskonflikte oder mutwillige Sabotage unterbinden. Ich denke aber das dies etwa 90 % aller Fremd-DHCP-Probleme abdeckt. Prost!

03. Nov. 2004 - 13:37 erstellt von Scoby

Ich denke, dass du gerade den Bereich mutwillige Sabotage nicht abdeckst, da es Immer sehr einfach ist, den Orgas ins Handwerk zu pfuschen in diesem Bereich. Wenn jemand bewusst Mist macht, dann ist der auch in der Lage in diesem IP-Bereich Schindluder zu Treiben. Er lässt seinen Angreifer-DHCP dann halt in einem anderen Addressraum verteilen oder besetzt trotzdem die IP eines Servers... Die benutztung des "Standardadressraums" ist nur eine Unterstützung um unbewusste Angreifer aus zu schalten!

14. Jan. 2005 - 18:24 erstellt von Netwalker

Seid einiger Zeit haben wir auf unseren LAN's auch einen LINUX-PC der die IP's 192.168.x(1-9).x(1-254) besitzt und somit schonmal dafür sorgt, dass jeder mit einer IP aus diesem Bereichen ne Meldung bekommt "Ihre IP-Adresse wird breits verwendet... oder so ähnlich". Sobotage Akte führen zum rausschmiss und oder zur Anzeige. AGB's sollten dementsprechende Punkte enthalten....

14. Jan. 2005 - 21:11 erstellt von Scoby

Ne Anzeige? Ruhig Brauner! Das halte ich für etwas übertrieben...

14. Jan. 2005 - 21:12 erstellt von Scoby

Wieso muss das eigentlich ein Linux-PC machen. Ein Windowssystem kann sowas auch ;p

07. Apr. 2005 - 21:24 erstellt von Hellraiser

also ich würde auf den switchen generell einen IP-Helper einrichten. Der leitet dann alle DHCP-Broadcasts an genau den richtigen DHCP-Server. Alle anderen werden ignoriert. Ich hab kein stress und alle anderen haben es leicht.

08. Apr. 2005 - 15:41 erstellt von CodeRed

Also schaltet ein IP-Helper alle Risiken von Fremd-DHCPs und es würde kein Grund gegen die Verwendung von solchen Servern sprechen. Mit welchen Switches ist sowas möglich?

Die Kommentar-Funktion ist derzeit leider deaktiviert.
Bitte nutze das Forum statt dessen.