Hallo Listenleser(Innen)! :( Ich habe hier eine recht gut funktionierende Firewall, in der ich speziellen Rechnern Dienste explizit verweigere, in dem ich sie via IP daran hindere. Jetzt mal meine Frage ... was passiert dann bei DHCP? Bekommt da nicht jeder Rechner beim anmelden an's Netzwerk eine (neue) IP zugewiesen? Wie kann ich dann mein Sicherheitskonzept so weiterführen, wenn ich auf DHCP umstelle? Oder lieg ich da falsch? Bodo -- Bodo Schulz / bodo.schulz@dland.de / http://home.wtal.de/boone-schulz registered Linux user : 176242 / registered Linux machine : 78085 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
----- Original Message ----- From: Bodo Schulz <bodo.schulz@dland.de> To: <suse-linux@suse.com> Sent: Friday, August 04, 2000 5:08 PM Subject: DHCP vs. Firewall
Hallo Listenleser(Innen)! :(
Ich habe hier eine recht gut funktionierende Firewall, in der ich speziellen Rechnern Dienste explizit verweigere, in dem ich sie via IP daran hindere.
Jetzt mal meine Frage ... was passiert dann bei DHCP? Bekommt da nicht jeder Rechner beim anmelden an's Netzwerk eine (neue) IP zugewiesen? Wie kann ich dann mein Sicherheitskonzept so weiterführen, wenn ich auf DHCP umstelle? Oder lieg ich da falsch?
Bodo -- Bodo Schulz / bodo.schulz@dland.de / http://home.wtal.de/boone-schulz
registered Linux user : 176242 / registered Linux machine : 78085
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi Wenn das Sicherheitskonzept auf IP-Adressen beruht, lässt sich das unter einem DHCP-Server unter Linux super gestelten. Einfach 'mal die dhcpd.conf Beispieldatei ansehen. Man kann bestimmten Rechnern im Netz auch eine feste IP über DHCP zuweisen. Ich hoffe das hilft weiter. MfG, Jürgen --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Bodo Schulz wrote:
Jetzt mal meine Frage ... was passiert dann bei DHCP? Bekommt da nicht jeder Rechner beim anmelden an's Netzwerk eine (neue) IP zugewiesen?
Das ist das gaengige Verfahren, d.h. der DHCP-Server vergibt an die anfragenden Clients die Adressen aus einem vordefinierten Pool.
Wie kann ich dann mein Sicherheitskonzept so weiterführen, wenn ich auf DHCP umstelle? Oder lieg ich da falsch?
Ein DHCP-Server laesst sich aber auch so konfigurieren, dass jeder Host immer diesselbe IP-Adresse bekommt: Identifiziert wird der Host dann naenlich anhand seiner Ethernet-Adresse (MAC-Adresse). Da diese in der Regel hardwaremaessig auf den NICs eingestempelt ist, ist es auf diese Weise machbar, dass ein bestimmter Rechner immer diesselbe IP-Adresse vom DHCPD zugewiesen bekommt. Wir haben an der Schule unseren DHCPD auch so konfiguriert, dass jeder Schueler-/Lehrer-Arbeitsplatz immer "seine" IP-Adresse bekommt. Damit ist es einfacher, Nachverfolgungen anzustellen, wenn jemand evtl. Sabotage betrieben hat. Gruss, Steffen --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Bodo Schulz wrote:
Hallo Listenleser(Innen)! :(
Ich habe hier eine recht gut funktionierende Firewall, in der ich speziellen Rechnern Dienste explizit verweigere, in dem ich sie via IP daran hindere.
Jetzt mal meine Frage ... was passiert dann bei DHCP? Bekommt da nicht jeder Rechner beim anmelden an's Netzwerk eine (neue) IP zugewiesen? Wie kann ich dann mein Sicherheitskonzept so weiterführen, wenn ich auf DHCP umstelle? Oder lieg ich da falsch?
Du kannst entweder einen Pool bzw. einen Netzwerkadreßbereich zuweisen ODER du kannst jedem Rechner immer die gleiche IP zuweisen lassen (durch den DHCP-Server). Das ist zwar mehr Aufwand, da die Zuweisung dann anhand der MAC-Adressen erfolgt. Aber dein Firewall-Konzept steht dann immer noch wie vorher - ich habe es in einem Netz mit ca. 15 Rechnern so gemacht. Immer noch besser, die Adressen einmal zentral aufzuschreiben (im dhcpd.conf), als an jeder Workstation die IP's einzutragen. Und für Fehlersuche ist es genial, wenn ein Rechner immer die gleiche IP hat. Für Firewall natürlich auch nicht schlecht. Uwe --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Fre, 04 Aug 2000 schrieb Bodo Schulz:
Ich habe hier eine recht gut funktionierende Firewall, in der ich speziellen Rechnern Dienste explizit verweigere, in dem ich sie via IP daran hindere.
Jetzt mal meine Frage ... was passiert dann bei DHCP? Bekommt da nicht jeder Rechner beim anmelden an's Netzwerk eine (neue) IP zugewiesen? Wie kann ich dann mein Sicherheitskonzept so weiterführen, wenn ich auf DHCP umstelle? Oder lieg ich da falsch?
Also normalerweise wird man solche Einschränkungen immer Netzbezogen vergeben, d.H. daß z.B. 192.168.1.x (alles interne IP-Adressen) mit wenigen Ausnahmen identische Rechte hat. Innerhalb dieser Grenzen ist es erstmal egal, welche dieser IP's der Rechner nun konkret hat. Für Server und besondere Varianten kann man im DHCP-Server Leases z.B. anhand der Mac-Adresse fest zuweisen. Oder man gibt diesen Rechnern eine feste IP, z.B. dergestalt, daß die ersten 64 IP-Adressen statisch vergeben werden (für Server und Spezialrechner) und nur der Rest durch DHCP. Das heißt dann, die Standard-Workstation arbeitet mit DHCP und die Spezialrechner nicht. Bei Workstations ist die Rechtevergabe ja eh meist identisch (sollte man jedenfalls anstreben, wenn man sich nicht zu Tode administrieren will). -- Erhard Schwenk - http://www.fto.de **** Jetzt neu: http://www.akkordeonjugend.de **** --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo! Mal eine Frage... Wer hindert denn die User am Client daran, sich nicht selbst eine IP zuzuweisen. Dann würde doch Deine Firewall auch nicht mehr greifen, denn die geht ja, wenn ich das richtig verstanden habe, davon aus, dass dann einige Clients mit statischem DHCP immer die gleiche IP zugewiesen bekommen. Wenn nun User X weiß, dass User Y gerade nicht im Netz angemeldet ist, könnte er doch seine IP Adresse manuell ändern, so dass er auch die Dienste nutzen kann, die User Y nutzen darf; oder nicht? Ist nur mal so eine allgemeine Frage, ich wüßte jetzt auch nicht, wie man dass geschickt verhindern kann ;-)) Mfg Dennis ----- Original Message ----- From: Erhard Schwenk <eschwenk@fto.de> To: Bodo Schulz <bodo.schulz@dland.de>; <suse-linux@suse.com> Sent: Monday, August 07, 2000 4:31 PM Subject: Re: DHCP vs. Firewall
Am Fre, 04 Aug 2000 schrieb Bodo Schulz:
Ich habe hier eine recht gut funktionierende Firewall, in der ich speziellen Rechnern Dienste explizit verweigere, in dem ich sie via IP daran hindere.
Jetzt mal meine Frage ... was passiert dann bei DHCP? Bekommt da nicht jeder Rechner beim anmelden an's Netzwerk eine (neue) IP zugewiesen? Wie kann ich dann mein Sicherheitskonzept so weiterführen, wenn ich auf DHCP umstelle? Oder lieg ich da falsch?
Also normalerweise wird man solche Einschränkungen immer Netzbezogen vergeben, d.H. daß z.B. 192.168.1.x (alles interne IP-Adressen) mit wenigen Ausnahmen identische Rechte hat. Innerhalb dieser Grenzen ist es erstmal egal, welche dieser IP's der Rechner nun konkret hat.
Für Server und besondere Varianten kann man im DHCP-Server Leases z.B. anhand der Mac-Adresse fest zuweisen.
Oder man gibt diesen Rechnern eine feste IP, z.B. dergestalt, daß die ersten 64 IP-Adressen statisch vergeben werden (für Server und Spezialrechner) und nur der Rest durch DHCP. Das heißt dann, die Standard-Workstation arbeitet mit DHCP und die Spezialrechner nicht. Bei Workstations ist die Rechtevergabe ja eh meist identisch (sollte man jedenfalls anstreben, wenn man sich nicht zu Tode administrieren will).
-- Erhard Schwenk - http://www.fto.de
**** Jetzt neu: http://www.akkordeonjugend.de ****
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Dennis Bendowski wrote: [puhhh ... das quoting sieht verdammt nach Outlook aus! :((]
Hallo!
Mal eine Frage...
Wer hindert denn die User am Client daran, sich nicht selbst eine IP zuzuweisen. Dann würde doch Deine Firewall auch nicht mehr greifen, denn die geht ja, wenn ich das richtig verstanden habe, davon aus, dass dann einige Clients mit statischem DHCP immer die gleiche IP zugewiesen bekommen. Wenn nun User X weiß, dass User Y gerade nicht im Netz angemeldet ist, könnte er doch seine IP Adresse manuell ändern, so dass er auch die Dienste nutzen kann, die User Y nutzen darf; oder nicht?
Ist nur mal so eine allgemeine Frage, ich wüßte jetzt auch nicht, wie man dass geschickt verhindern kann ;-))
Wenn du mir jetzt verrätst, wie ein User seine eigene IP ändern kann, ohne root-rechte zu besitzen, könnte ich das verhindern ... :))) IMHO ist es nur root vorbehalten die IP zu ändern und wenn der DHCP-Server dem Client die IP übergiebt, hat der user keine Möglichkeit das zu ändern. oder? mfG, Bodo BTW, ich empfehle dir mal die Lektüre von http://www.learn.to/quote/ !
Mfg
Dennis
----- Original Message ----- From: Erhard Schwenk <eschwenk@fto.de> To: Bodo Schulz <bodo.schulz@dland.de>; <suse-linux@suse.com> Sent: Monday, August 07, 2000 4:31 PM Subject: Re: DHCP vs. Firewall
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Bodo Schulz <bodo.schulz@dland.de> wrote in <398F7E7F.1122F4D8@dland.de>:
Wenn du mir jetzt verrätst, wie ein User seine eigene IP ändern kann, ohne root-rechte zu besitzen, könnte ich das verhindern ... :)))
Indem der User Win9x verwendet. -- R. Cirksena <ci@holmco.de> --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Bodo Schulz <bodo.schulz@dland.de> wrote in <398F7E7F.1122F4D8@dland.de>:
Wenn du mir jetzt verrätst, wie ein User seine eigene IP ändern kann, ohne root-rechte zu besitzen, könnte ich das verhindern ... :)))
Indem User Win9x verwendet. -- R. Cirksena <ci@holmco.de> --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Tue, 08 Aug 2000, Bodo Schulz wrote:
Dennis Bendowski wrote:
Wer hindert denn die User am Client daran, sich nicht selbst eine IP zuzuweisen. Dann würde doch Deine Firewall auch nicht mehr greifen, denn die geht ja, wenn ich das richtig verstanden habe, davon aus, dass dann einige Clients mit statischem DHCP immer die gleiche IP zugewiesen bekommen.
Wenn du mir jetzt verrätst, wie ein User seine eigene IP ändern kann, ohne root-rechte zu besitzen, könnte ich das verhindern ... :)))
Wenn Du mir jetzt verrätst, wie ich die Geschäftseitung dazu kriege, den Microsoft-Kram zu verbannen ..? Fakt ist, daß es Systeme gibt, bei denen ein User seine IP ändern kann. Bei BeOS muß -- wie bei Linux auch -- dazu nur das Netzwerk neu gestartet werden. Sehr angenehm! Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Die, 08 Aug 2000, Carsten Meyer wrote:
Wer hindert denn die User am Client daran, sich nicht selbst eine IP zuzuweisen. Dann würde doch Deine Firewall auch nicht mehr greifen, denn die geht ja, wenn ich das richtig verstanden habe, davon aus, dass dann einige Clients mit statischem DHCP immer die gleiche IP zugewiesen bekommen. Wenn du mir jetzt verrätst, wie ein User seine eigene IP ändern kann, ohne root-rechte zu besitzen, könnte ich das verhindern ... :))) Wenn Du mir jetzt verrätst, wie ich die Geschäftseitung dazu kriege, den Microsoft-Kram zu verbannen ..? Fakt ist, daß es Systeme gibt, bei denen ein User seine IP ändern kann. Bei BeOS muß -- wie bei Linux auch -- dazu nur das Netzwerk neu gestartet werden. Sehr angenehm!
Fakt ist aber auch, das es Admin-Rechte braucht - ansonsten hast du wohl keine sicherheit bzw. auch nur den hauch davon .... Sowas nennt sich im übrigen Security-Policy, und sollte in jeder vernünftigen EDV-Landschaft gegeben sein, will sich auch nur ernsthaft von Sicherheit sprechen... Mit freundlichen Grüßen, Joerg Henner. -- LinuxHaus Stuttgart | Tel.: +49 (7 11) 2 85 19 05 J. Henner & A. Reyer, Datentechnik GbR | D2: +49 (1 72) 7 35 31 09 | Fax: +49 (7 11) 5 78 06 92 Linux, Netzwerke, Consulting & Support | http://lihas.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Mon, 07 Aug 2000 schrieb Dennis Bendowski:
Wer hindert denn die User am Client daran, sich nicht selbst eine IP zuzuweisen.
Da gibts mehrere Möglichkeiten. Erstmal sollte in einer produktiven Umgebung gar kein User die Möglichkeit haben, seine eigene IP zu verändern. Deshalb ist Windows 9x in solchen Umgebungen als Client untauglich - mit NT Workstation oder Unixen läßt sich das problemlos realisieren (nebst anderen Sperren, denn normale User haben in der Regel auch keine Software zu installieren oder Systemeinstellungen vorzunehmen, diese Dinge sind Aufgabe des Administrators). Nicht verhindern kann man auf diese Weise nur, daß jemand mit nem Notebook oder eigenen Rechner ins Netz geht. Dann gibt es Hubs und Switches, die die ankommenden Mac- und IP-Adressen an jedem Port checken können. Die machen einfach zu, wenn eine falsche Mac oder eine falsche IP an dem Port ankommt - dann geht erst wieder was, wenn der Admin (via Management-Software) den Port wieder entsperrt hat. (Das hilft auch gegen Notebooks <g>). Mit neueren Versionen der Linux-Firewalls (iptables, netfilter) wird das auch auf dem Router gehen. Grundsätzlich ist die Zuordnung von User-ID's zu IP-Adressen ohnehin keine gute Idee. Deshalb gibts in der Regel mehrere Netzsegmente, zwischen denen die Firewall sitzt. Da werden dann alle Workstations in einem IP-Segment zusammengefaßt, das auch ein physikalisches Netzwerksegment ist, und bekommen identische Rechte. Jetzt könnte sich zwar jemand ne andere IP geben, aber wenn die außerhalb des konfigurierten Bereichs liegt lehnt die Firewall an der Segmentgrenze alle Pakete ab - Sackgasse. Das Serversegment wiederum wird räumlich getrennt im Rechenzentrum oder Serverraum aufgebaut und ist normalen Usern schon rein physikalisch gar nicht zugänglich. Für solche Zwecke braucht man dann allerdings einen Firewall-Rechner mit mehreren schnellen Netzwerkkarten, je nach erforderlicher Netzlast auch mehrere. -- Erhard Schwenk - http://www.fto.de **** Jetzt neu: http://www.akkordeonjugend.de **** --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
From: "Erhard Schwenk" <eschwenk@fto.de> Sent: Tuesday, August 08, 2000 10:05 AM
Am Mon, 07 Aug 2000 schrieb Dennis Bendowski:
Wer hindert denn die User am Client daran, sich nicht selbst eine IP zuzuweisen.
Da gibts mehrere Möglichkeiten.
Erstmal sollte in einer produktiven Umgebung gar kein User die Möglichkeit haben, seine eigene IP zu verändern. Deshalb ist Windows 9x in solchen Umgebungen als Client untauglich - mit NT Workstation oder Unixen läßt sich das problemlos realisieren (nebst anderen Sperren, denn normale User haben in der Regel auch keine Software zu installieren oder Systemeinstellungen vorzunehmen, diese Dinge sind Aufgabe des Administrators). Nicht verhindern kann man auf diese Weise nur, daß jemand mit nem Notebook oder eigenen Rechner ins Netz geht.
Hm. Gilt nur begrenzt. Auch auf einer Win95-CD findet man im Verzeichnis \Admin\Apptools\Poledit den Policy-Editor, mit dem man unter anderem das Überspringen der Netzwerkanmeldung und das Ändern von Einstellungen verbieten kann. Bei 98 sollte das auch irgendwo auf der CD sein... Und um einen ungewollten Dritt-PC zu verhindern hilft in einem gut gepflegten Netzwerk DHCP weiter: Einfach für jeden PC eine IP fest definieren (per MAC) und ansonsten keine IP's zuweisen lassen bzw. alle weiteren IP's per Firewall sperren.
Dann gibt es Hubs und Switches, die die ankommenden Mac- und IP-Adressen an jedem Port checken können. Die machen einfach zu, wenn eine falsche Mac oder eine falsche IP an dem Port ankommt - dann geht erst wieder was, wenn der Admin (via Management-Software) den Port wieder entsperrt hat. (Das hilft auch gegen Notebooks <g>). Mit neueren Versionen der Linux-Firewalls (iptables, netfilter) wird das auch auf dem Router gehen.
So in etwa meinte ich das oben ;) -- Marco Dieckhoff icq# 22243433 PGP key 9EFA D64F 5DAA D36B E0E7 CE1B 9E1B 4903 0C51 1632 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Die, 08 Aug 2000 schrieb Marco Dieckhoff:
Auch auf einer Win95-CD findet man im Verzeichnis \Admin\Apptools\Poledit den Policy-Editor, mit dem man unter anderem das Überspringen der Netzwerkanmeldung und das Ändern von Einstellungen verbieten kann. Bei 98 sollte das auch irgendwo auf der CD sein...
Ist es, funktioniert aber nur begrenzt und ist vergleichsweise einfach zu umgehen.
Und um einen ungewollten Dritt-PC zu verhindern hilft in einem gut gepflegten Netzwerk DHCP weiter: Einfach für jeden PC eine IP fest definieren (per MAC) und ansonsten keine IP's zuweisen lassen bzw. alle weiteren IP's per Firewall sperren.
Nee, dann nimmt der Angreifer einfach die IP eines Arbeitsplatzes, der gerade heruntergefahren ist. Da sein Rechner keinen DHCP-Request macht und der Router (normalerweise) nicht auf Mac-Layer prüft, ist das dann gegessen und der Angreifer hat sein Notebook im Netz. Das zu verhindern geht nur mit den beschriebenen intelligenten Switches oder mit einer Firewall, die nach Paßworteingabe einen Cookie an die Rechner verteilt, der dann immer wieder abgefragt wird. Eine solche Lösung für einen Linux-Server kenne ich allerdings zumindest nicht als freie Software. -- Erhard Schwenk - http://www.fto.de **** Jetzt neu: http://www.akkordeonjugend.de **** --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Moin, On Die, 08 Aug 2000, Erhard Schwenk sent incredible lines: [...]
Nee, dann nimmt der Angreifer einfach die IP eines Arbeitsplatzes, der gerade heruntergefahren ist. Da sein Rechner keinen DHCP-Request macht und der Router (normalerweise) nicht auf Mac-Layer prüft, ist das dann gegessen und der Angreifer hat sein Notebook im Netz.
Das zu verhindern geht nur mit den beschriebenen intelligenten Switches oder mit einer Firewall, die nach Paßworteingabe einen Cookie an die Rechner verteilt, der dann immer wieder abgefragt wird. Eine solche Lösung für einen Linux-Server kenne ich allerdings zumindest nicht als freie Software.
Das ist IMHO kein Problem der Software mehr. Es muss physikalisch sichergestellt sein das man einen Notebook nicht ins Netz kommt (z.B. Rechner in abschliessbaren Schränken). Alles andere kann man umgehen oder austricksen (IMHO). ... may the Tux be with you! =Thomas= -- Thomas Bendler \\:// ml@bendler-net.de Billwiese 22 (o -) http://www.bendler-net.de/ 21033 Hamburg ---ooO-(_)-Ooo--- tel.: 0 177 - 277 37 61 Germany Linux, enjoy the ride ...! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (11)
-
bodo.schulz@dland.de -
ci@holmco.de -
cmeyer@mail.com -
dennis@dbendowski.de -
eschwenk@fto.de -
jhe@lihas.de -
Juergen.Habich@jhabich.de -
linux@jwr.de -
ml@bendler-net.de -
moser@egu.schule.ulm.de -
uwe.hering@spider-business.de