Windows Server 2012 Best practice DHCP - mit Trennungen?

updater14

Lt. Commander
Registriert
Juni 2014
Beiträge
1.662
Hallo Leute,

manchmal hilft ja drüber schreiben, was ich nun mal versuche.
Folgende Situation:
- Domäne 2012
- Adressbereich 10.10.x.x
- Subnetz 255.255.248.0
- Proxyserver TMG 2010

Nun sitze ich hier vor meinem Netzwerk und würde gern, da Neueinrichtung,
einen entsprechenden DHCP aufsetzen und natürlich gern vorab an alles denken. ;)

Leider hilft mit Thomas Joos mit seinem 2012er Handbuch auch nur bedingt.

Folgendes ist schon gelöst, Clients fragen beim DHCP Server an und bekommen nichts,
abgesehen von einer IP-Adresse. So kann ich Switche und Drucker easy ansprechen.
Nun gibt es eine Richtlinie, welche nach MAC Adresse weitere Daten freigibt
- Router
- interne DNS Server
- Domainnamen

Das klappt auch so wunderbar, allerdings gibt es noch ein Problem, welches ich
z.Z. nur temporär gelöst sehe.
Gast-Clients sollen nur eine Verbindung mit dem Internet herstellen dürfen.
(ja ich weiß, dafür wäre eine physikalische Trennung nötig, geht aber nicht)
Momentan habe ich also einen Teilbereich den autorisierten MACs zugewiesen
und habe einen weiteren Teilbereich für Gastclients übrig.
Diese verbinden sich mit dem DHCP und bekommen nach zusätzlicher Richtlinie
eine IP und externe DNS Server (Telekom).

Der TMG hat 2 Regeln:
- Teilbereich Gast-DHCP darf jeder User aufs Internet zugreifen (HTTP, HTTPS & DNS - Protokoll)
- Teilbereich Gast-DHCP wird jeder ausgehende Datenverkehr an Netzwerke Intern, TMG verweigert

Leider ist es so dennoch möglich, per IP, auf andere Systeme zuzugreifen,
kommt zwar eine Autorisierungsabfrage, dennoch nicht das was ich wollte.

Einen ganz anderen Adressbereich bspw. 192.168.178.x kann ich per DHCP
aber scheinbar nicht zuweisen, daraus vergibt der Server keine Adresse (weil er selbst danach nicht mehr erreichbar wäre?).

Habt ihr da schon mal solch einen Fall gehabt?

Grüße
 
neue firewallregel:

quelle: gastbereich
ziel: firmenbereich
aktion: drop

Leider ist es so dennoch möglich, per IP, auf andere Systeme zuzugreifen
dann greift die firewall regel nicht oder falsch.

zwischen gastbereich und firmenbereich sollte pauschal alles in jegliche richtung gedroppt werden.
 
Zuletzt bearbeitet:
Die Firewallregel greift gar nicht, da der TMG keinerlei Datenverkehr registriert wenn man eine direkte IP ansteuert.
Ich würde ja gern einfach das Subnetz begrenzen, finde aber im DHCP keine Option um einem Teilbereich auch
ein anderes Subnetz mit zu geben (wobei auch dann der DHCP-Server nicht mehr erreichbar wäre)...
 
updater14 schrieb:
Leider ist es so dennoch möglich, per IP, auf andere Systeme zuzugreifen

Eine kleine Skizze zum Netzaufbau wäre hier vielleicht recht sinnvoll. Solange der Datenverkehr nicht über den Gateway geht von Gast zu Firmenrechner, wird der Gateway auch nichts blocken können.

Der Proxy sollte eigentlich in der Lage sein, nicht nur Anfragen über FQDN zu verweigern, sondern auch über Adressbereiche bzw. von Adressbereichen. Allerdings ist ein Proxy kein Ersatz für eine Firewall, aber das sollte Dir bewußt sein.

Die Reihenfolge der ACLs kann mitunter auch eine große Rolle spielen. Wenn Du HTTP-Anfragen generell erlaubst und dann HTTP-Anfragen zu bestimmten Hosts sperrst, greift ggf. zuerst die erste Regel, da Du die Anfragen ja generell erlaubt hast. Hier müsstest Du erst HTTP-Anfragen zu den betreffenden Adressbereichen verweigern, und dann erst generell erlauben.
 
Twostone schrieb:
Solange der Datenverkehr nicht über den Gateway geht von Gast zu Firmenrechner, wird der Gateway auch nichts blocken können.

Ja genau das ist ja mein Problem, so lang der DHCP im lokalen Firmennetz Adressen verteilt sind die Clients automatisch dort angesiedelt
und wenn ich dem Teilbereich nach MAC keinen begrenzteren Subnetzbereich zuweisen kann (was ja ausreichend wäre), geht das so nicht.

Daher wäre eine ideale Lösung einen anderen IP Bereich vergeben zu können, auch wenn es über das gleiche LAN läuft.
Eventuell ist es möglich dass ich den DHCP Servern, sowie dem Proxy eine zusätzliche IP auf den LAN Port gebe, die aber in diesen "fremden" Bereich zeigt.
Damit müsste der DHCP kommunizieren können, mal ausprobieren.
 
Du könntest natürlich auch die Adressvergabe mit RADIUS verknüpfen, sodaß nur entsprechende Nutzer bestimmte IPs erhalten, der Rest aus einem Pool, der Gästen zugewiesen ist (und kannst die Anmelde-Info auch gleich für den Proxy weiter nutzen, vorausgesetzt, daß der das unterstützt). Problem dahinter ist jedoch, daß dann auch immer noch Privatrechner, deren Nutzer entsprechende Anmeldeinfos kennt, sich auch wieder ins Firmennetz einwählen können.

Im Grunde kannst Du den Zugang nur erschweren, verhindern wirst Du ihn zur Gänze wohl nie können. Irgendwo ist immer eine Schwachstelle.

VLANS sind sicherlich auch keine Lösung, das ist gar noch einfacher zu umgehen: Einmal den falschen Rechner in die passende Dose gesteckt...

Lösungen über die MAC würde ich vergessen. Die kann man äußerst einfach ändern. RADIUS mit MAC koppeln, captive portal mit pkcs#15-auth, getrennte Netze (VLANs)... Wäre es nicht einfacher, die Rechner hart zu verdrahten und Steckverbindungen gänzlich zu entsagen? Die wenigsten haben einen Lötkolben in der Hosentasche...
 
Zurück
Oben