[HaBo]

mambokurt

Anzeige

Hallo,

- welche Möglichkeiten habe ich einen Rogue-DHCP-Server zu finden?
- bzw. grundsätzlich zu verhindern?

Danke!

Prometheus

Grundsätzlich ist das schon eine schwierige Situation.
Am besten sollte man sein Netzwerk so absichern, das sich erstmal kein Rogue-DHCP-Server einschummeln kann. Das heißt Router hinstellen und Macadressenfilter vergeben, Verschlüsselungen für WLAN nutzen usw.
Bei manchen Routern kann man sogar IP-Reservierungen an Macadressen festlegen, somit kann sich kaum Jemand an der Stelle des eigentlichen DHCP-Servers hineinschummel.
Natürlich sollte dein Router auch sicher gegen ARP-Angriffe sein, da gibt es die neue Methode mit den virtuellen Netzwerkroutern, die dagegen sehr immun sein sollen und die Netzwerke auch sehr gut schützen sollen - leider aber etwas sehr teuer.
Als nächstes solltest du natürlich auch auf die Clients achten, die User dürfen natürlich nicht in ihrer Einstellungen den DHCP-Server ändern können.
Ein DHCP-Server kannst du z.B. mit einem IP-Scanner finden, der dir anzeigt auf welchen PC so ein DHCP-Server installiert ist.

Aber am besten ist es immer keinen DHCP-Server zu nutzen.
Hier noch etwas zum lesen:
http://66.249.93.104/search?q=cache:...e&ct=clnk&cd=9

TUX$

Hallo,

ich halte es für sehr unwahrscheinlich, das jemand auf diese Weise einen Rogue-DHCP-Server
"einschleusen" wird. Denn wenn ich so weit ins Netz eingedrungen bin, das ich die Möglichkeit habe
einen DHCP deamon zu installieren, bin ich "root". Was will ich mehr.

Die Gefahr bei solchen " Dingern " ist, daß DHCP in Unternehmen eingesetzt wird, die eine einfache
Adressverwaltung auf Grund ihrer Größe benötigen.
Wobei wir wieder beim Thema "physikalischer Zugang" sind. Die Admins sind sehr stolz auf die
die gut konfiguruerten Firewalls. Auch vor den IDS Systemen sollte man Respekt haben. Der Schwachpunkt
ist, daß man immer wieder als "verirrter Besucher" an einem freien RJ45 Port vorbei kommt.
Die häufigste Angriffsart mit Rogue-DHCP-Servern ist die, daß ein W-LAN Accesspoint mit DHCP und "hidden SSID " in einem
solchen Unternehmen versteckt wird.

Dies soll nicht als Tipp für Angreifer sondern als "Achtung " für Admins verstanden werden.

Gruß TUX$

naked_chef

:: Quelle hier

Wenn ein Angreifer einen Rogue-DHCP-Server einschleust und ihn nicht umkonfiguriert, können vielleicht die oben genannten IP's auskunft darüber geben, ob sich ein solcher server im netz befindet.

aber wir rechnen jetzt mal nicht mit der dumheit des angreifers.

du kannst an strategisch klugen punkten um netzwerk IDS einsetzen.
Indem du regeln definierst, die jegliche DHCP- Brodcasts die nicht vom eigenen DHCP Server beantwortet werden protokolliert. auf diese art und weise bekommst du schon einmal ein paar daten über das paket und den host auf dem der server läuft (je nach protokollierungs stufe).

du kannst natürlich auch gleich zu einem IPS greifen und unbekannte DHCP-Broadcasts einfach dropt.

oder du sniffst die ganze zeit und wartest bis etwas ungewöhnliches passiert! *g*

warum willst du einen DHCP deamon installieren?
mal abgesehen davon, warum root?
ein gut geschützter server ist das a und o ...
aber die clients sind auch nicht zu vernachlässigen!

windows xp pro z.b. bringt einen eigenen kleinen DHCP mit! da muss nix installiert werden!
und solch ein system zu kompromitieren ist dann wohl einfacher als sich mit einem server anzulegen.

mambokurt

Danke für die vielen Antworten ...

wenn ich jetzt z.B. durch einen Netzwerksniffer "fremde DHCP-Server" erkenne und deren IP-Adresse habe - wie kann ich in einem geswitchten Netzwerk herausfinden, an welchem Switch ... welchem Port der Rogue-Server hängt??

Prometheus

Eigentlich garnicht, außer du hast bestimmte Netzwerkinstanzen eine IP-Adresse gegeben. Z.B.: Wenn es sich dabei um Router handelt. Dann kannst du mittels tracert den etwaigen Anschluss zurückverfolgen.

TUX$

@ naked_chef,

hier reden wir wohl an einander vorbei.
Ich möchte keinen DHCP dienst installieren. Genau daß war ja meine Aussage.
Es gibt schließlich nur 2 Möglichkeiten einen Rogue-DHCP-Server "einzuschleusen".
Entweder softwareseitig im Netz oder irgendwo einen Hardware DHCP zu platzieren.
Meine Aussage war, wenn ich im Netz als "Angreifer soweit bin, daß ich wie auch immer
die Möglichkeit habe den DHCP dienst zu manipulieren, sehe ich keine Notwendigkeit mehr, es sei denn
der Angreifer ist nur auf Schaden und nicht auf Informationen aus.


DHCP ist genau wie DNS ein sehr gesprächiges Protokoll.

Gruß TUX$

Ein Server ist immer das leichtere Ziel, bedingt dadurch, daß Server Dienste zur Verfügung stellen.

naked_chef

@TUX$
schon okay,
ich stelle mir aber auch die frage, wer so blöd ist und ein netz infiltirert und sich dann lautstark zu erkennen gibt ... ? (diese methode macht ja eigentlich nix anderes)

im normal fall schon, aber wenn ein server gut gesichert ist und nur benötigte dienste darauf laufen ist es wieder etwas anders. aber das kann halt von netz zu netz variieren

TUX$

Dann sind wir uns ja doch einig ;o)

Gruß TUX$