Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

DHCP oder feste IP?

30 views
Skip to first unread message

Klaus Haber

unread,
Jan 30, 2012, 4:26:02 AM1/30/12
to
Hallo,

in unserer Zeitung las ich unter der Überschrift
"Wie man den Router absichert" u. a. folgendes:

Ein weiterer Schritt zu mehr Sicherheit ist das Abschalten des DHCP-Servers
im WLAN-Router. Denn durch DHCP werden Computer automatisch in ein
bestehendes Netzwerk eingebunden. Durch die Abschaltung verhindert man, daß
jeder neue Nutzer automatisch eine IP-Adresse zugewiesen bekommt - "ohne
IP-Adresse kann aber niemand den Internetzugang nutzen", sagt M.P.

M.P. will wohl sagen, daß eine manuell eingerichtete IP-Nummer
sicherheitstechnisch besser sei als eine durch DHCP vergebene Nummer.

Ist das so? Oder ist das typische "Zeitungsschreiberei"?

Da ich das fachlich nicht beurteilen kann, bitte ich Euch um Euren
Kommentar.

Danke und feundliche Grüße

Klaus


--
Homepage: http://www.bingo-ev.de/~Klaus.Haber
"pH-Messung - einfach zu verstehen"
"Waldohreule, Ergänzung August 2008"
http://www.bingo-ev.de/~Klaus.Haber/eule.html

Shinji Ikari

unread,
Jan 30, 2012, 4:37:17 AM1/30/12
to
Guten Tag

Klaus Haber <Klaus...@bingo-ev.de> schrieb

>in unserer Zeitung las ich unter der Überschrift
>"Wie man den Router absichert" u. a. folgendes:
>Ein weiterer Schritt zu mehr Sicherheit ist das Abschalten des DHCP-Servers
>im WLAN-Router. Denn durch DHCP werden Computer automatisch in ein
>bestehendes Netzwerk eingebunden. Durch die Abschaltung verhindert man, daß
>jeder neue Nutzer automatisch eine IP-Adresse zugewiesen bekommt - "ohne
>IP-Adresse kann aber niemand den Internetzugang nutzen", sagt M.P.
>M.P. will wohl sagen, daß eine manuell eingerichtete IP-Nummer
>sicherheitstechnisch besser sei als eine durch DHCP vergebene Nummer.

Das ist zwar stark vereinfacht, aber der Artikel hat in so fern recht:
wenn man vom Router (oder anderem Geraet) nicht erfaehrt, in welchem
Subnetz das Intranet/lokale Netz unterwegs ist, bekommt ein
unerfahrener Laie evtl. schon Probleme sich da durch einfaches
Einstoepseln ins LAN dieses zu Nutze zu machen.
Bei DHCP wuerde der Router dem PC auf Anforderung diese Daten direkt
mitteilen.
Jemand, der mehr Ahnung hat, fuehlt sich von einem abgeschalteten
DHCP-Server aber nicht wirklich ausgesperrt.

>Ist das so? Oder ist das typische "Zeitungsschreiberei"?

Es ist nicht falsch, wirkt aber nicht gegen Boeswillige mit
ausreichend Ahnung und Zugriff auf LAN/WLAN.

Klaus Haber

unread,
Jan 30, 2012, 5:50:12 AM1/30/12
to
Hallo Shinji,

Am Mon, 30 Jan 2012 10:37:17 +0100 schrieb Shinji Ikari:

> Guten Tag
>
> Klaus Haber <Klaus...@bingo-ev.de> schrieb
>
>>in unserer Zeitung las ich unter der Überschrift
>>"Wie man den Router absichert" u. a. folgendes:
>>Ein weiterer Schritt zu mehr Sicherheit ist das Abschalten des DHCP-Servers
>>im WLAN-Router. Denn durch DHCP werden Computer automatisch in ein
>>bestehendes Netzwerk eingebunden. Durch die Abschaltung verhindert man, daß
>>jeder neue Nutzer automatisch eine IP-Adresse zugewiesen bekommt - "ohne
>>IP-Adresse kann aber niemand den Internetzugang nutzen", sagt M.P.
>>M.P. will wohl sagen, daß eine manuell eingerichtete IP-Nummer
>>sicherheitstechnisch besser sei als eine durch DHCP vergebene Nummer.
>
> Das ist zwar stark vereinfacht, aber der Artikel hat in so fern recht:
> wenn man vom Router (oder anderem Geraet) nicht erfaehrt, in welchem
> Subnetz das Intranet/lokale Netz unterwegs ist,

hm, ist das denn so wichtig es wissen zu müssen?

Ich komme auf diesen Zeitungsartikel deshalb, weil ich im Moment genau in
der Situation bin. Ich habe mein WLAN-Netz seit Jahren mit fester IP
betrieben und hatte nie Probleme damit. Nun habe ich aus technischen
Gründen den Router gewechselt und bekam das neue Ding nicht programmiert.
Mit Hilfe des technischen Dienstes des Routersherstellers, der zugleich
mein Netzbetreiber ist, hat es letztendlich geklappt. Das Problem war, das
bei mir alles auf feste IP eingestellt war, der neue Router aber bei der
Erstinstallation DHCP haben wollte. Da ich mit DHCP vorher nie etwas zu tun
gehabt habe, war mir das im Moment auch nicht so klar. Der Techniker sagte
mir dann, DHCP sei die bessere Methode und sie würde auch gebraucht, wenn
ich mit dem Laptop unterwegs (z.B. Hotel) sein würde und mich dort
einloggen wollte. Und das verstand ich erst recht nicht, denn ich hatte
diese Fälle schon häufig und dabei nie ein Problem mit fetsre IP gehabt.

> bekommt ein
> unerfahrener Laie evtl. schon Probleme sich da durch einfaches
> Einstoepseln ins LAN dieses zu Nutze zu machen.

Als Laie bezeichne ich misch schon, wenngleich unerfahren vielleicht nicht
mehr so ganz ;-)

> Bei DHCP wuerde der Router dem PC auf Anforderung diese Daten direkt
> mitteilen.
> Jemand, der mehr Ahnung hat, fuehlt sich von einem abgeschalteten
> DHCP-Server aber nicht wirklich ausgesperrt.
>
>>Ist das so? Oder ist das typische "Zeitungsschreiberei"?
>
> Es ist nicht falsch, wirkt aber nicht gegen Boeswillige mit
> ausreichend Ahnung und Zugriff auf LAN/WLAN.

Könnte man es auf einen Punkt bringen? Ist DHCP nun

- technisch besser als feste IP, ja/nein?
- Sicherer gegen bösartige Angriffe im Netz, ja/nein?
- Einfacher im Umgang, ja/nein?
- Vorteilhaft gegenüber feste IP, ja/nein?

Danke und freundliche Grüße

Shinji Ikari

unread,
Jan 30, 2012, 7:53:19 AM1/30/12
to
Guten Tag

Klaus Haber <Klaus...@bingo-ev.de> schrieb

>> Das ist zwar stark vereinfacht, aber der Artikel hat in so fern recht:
>> wenn man vom Router (oder anderem Geraet) nicht erfaehrt, in welchem
>> Subnetz das Intranet/lokale Netz unterwegs ist,
>hm, ist das denn so wichtig es wissen zu müssen?

Wenn der Computer ueber den Router mit dem Internet kommunizieren
will, sollte er den Router finden.
Wenn er ihn nicht findet, sondern einen solchen uebergang ueber eine
falsche IP-Adresse versucht, wird der Computer kaum Erfolg haben.

>Der Techniker sagte
>mir dann, DHCP sei die bessere Methode

Fuer Laien ist DHCP in vielen Faellen einfacher zu handhaben.
Ich bevorzuge ein Gemisch: meine eigenen
PC/Notebooks/DVB-Receiver/NAS/Mediaplyer/KVM/etc... haben eine feste
IP, wodurch ich sie im Netz schnell finden und ansprechen kann.
Ich habe aber auch einen kleinen Bereich fuer DHCP freigegeben um
Gastsysteme schnell anzuschliessen und nutzen zu koennen.

>und sie würde auch gebraucht, wenn
>ich mit dem Laptop unterwegs (z.B. Hotel) sein würde und mich dort
>einloggen wollte.

Das ist der DHCP Client-Modus. Der Router macht DHCP-Server.
Auch unterwegs braucht man DHCP (client) nicht zwingend, aber es
hilft, wenn man vom Hotelier die Netzdaten nicht ausgehaendigt
bekommt.

>Und das verstand ich erst recht nicht, denn ich hatte
>diese Fälle schon häufig und dabei nie ein Problem mit fetsre IP gehabt.

Tja, um das zu beurteilen muesste man sich die jeweiligen Reisen und
Gegebenheiten im Detail ansehen.

>>>Ist das so? Oder ist das typische "Zeitungsschreiberei"?
>> Es ist nicht falsch, wirkt aber nicht gegen Boeswillige mit
>> ausreichend Ahnung und Zugriff auf LAN/WLAN.
>Könnte man es auf einen Punkt bringen? Ist DHCP nun
>- technisch besser als feste IP, ja/nein?

Keine klare Antwort moeglich: Es ist anders.
Beser oder schlechter: haengt vom Nutzer, Anwendungszweck und
Netzkonfiguration ab.
Je unbedarfter ein Nutzer ist (und evtl. freundlich gesinnte Gaeste
mit Computerhardware oder Mobiltelefonen empfaengt), desto einfacher
ist es fuer ihn mit DHCP zu arbeiten.
Wenn er aber Geraete nutzt, die mit IP gesucht werden, so kann es
vorkommen, dass die Geraete durch DHCP (und ggf. Routerreset) heute
die eine IP bekommen und morgen eine andere. Dort sind feste IP
besser.

>- Sicherer gegen bösartige Angriffe im Netz, ja/nein?

Definition: "im Netz" = Angreifer im lokalen LAN.
Keine klare Antwort moeglich:
Feste IP ist gegen laienhafte Angriffe sicherer, wenn der Rechner IM
Netz die benutzen IP nicht kennt/findet.
Aber sobald der Angriff etwas geschickter durchgefuehrt wird, findet
man ggf. die IP-Adressen/-Bereiche und kann damit weiter hantieren.

>- Einfacher im Umgang, ja/nein?

Fuer Laien ist DHCP einfacher.
Fuer versiertere Nutzer mit entsprechendem Equipment (beispielsweise
mehrere baugleiche NAS) findet die jeweiligen Geraete im netz
schneller wiedfer, wenn sie immer die selbe IP-Adresse haben. bei DHCP
gibt es zwar auch solche Moeglichkeiten anhand der MAC immer die selbe
Adresse zu vergeben, doch ein neuer Router oder Reset kann auch diese
Zuordnung verwuerfteln.

>- Vorteilhaft gegenüber feste IP, ja/nein?

DHCP ermoeglicht einem eine schnellere Konfiguration/Nutzung bei
Verbindung mit einem oder gar (zeitlich abwechselnd) mehreren LAN.
Hier ist DHCP im ein Vorteil.

Tobias Schuster

unread,
Jan 30, 2012, 8:20:56 AM1/30/12
to
> Könnte man es auf einen Punkt bringen? Ist DHCP nun
>
> - technisch besser als feste IP, ja/nein?

Wie schon ausgeführt macht es im Wesentlichen
keinen Unterschied.

> - Sicherer gegen bösartige Angriffe im Netz, ja/nein?

Hier würde ich feste IP-Adressen vorziehen,
um Unbedarften nicht gleich Tür und Tor
zu öffnen.
In meiner Fritzbox von AVM kann ich zudem
die Benutzer auf bestimmte feste! IP-Adressen
beschränken.

> - Einfacher im Umgang, ja/nein?

Wer keine Lust hat "IP-Buchhaltung" zu
betreiben, nimmt DHCP.

> - Vorteilhaft gegenüber feste IP, ja/nein?

Vorteil feste IP: Wenn bei DHCP der "Verteiler"
ausfällt, ist das Netz tot.


Christoph

unread,
Jan 30, 2012, 11:11:11 AM1/30/12
to
jein. Alles, was als Server angesprochen werden soll, bekommt
eine feste Adresse, alle Clients DHCP

> - Sicherer gegen bösartige Angriffe im Netz, ja/nein?
nein.

> - Einfacher im Umgang, ja/nein?
ja.

> - Vorteilhaft gegenüber feste IP, ja/nein?
jein, s.o.

Im Detail:

1. Feste Adresse ist keinerlei Schutz. Das ist ungefähr so, wie
wenn du vor eine Mauer (deine WPA2-Verschlüsselung!) noch ein
Stück Papier zum "Schutz" hältst.
Wenn du dich vor ungebetenen WLAN-Teilnehmern schützen möchtest,
kannst du in der Konfiguration des AP angeben, dass nur bekannte
MAC zu gelassen werden sollen. Dann musst du zwar jeden neuen
Teilnehmer (z.B. Gast) erst manuell zulassen, aber es erhöht die
Sicherheit gegen ungebetene Gäste etwas. Allerdings, auch dieser
Schutz kann ausgehebelt werden, wenn jemand (ein Profi) das
wirklich möchte. Und gegen Abhören und dann in Ruhe deinen
WLAN-Schlüssel knacken (falls er zu schwach ist) hilft das auch
nicht.

2. IP-Einrichtung im Rechner: Viele Anwender, die sich für schlau
halten, machen den Fehler, eine feste IP *als erstes*
einzutragen. Dann steht Windows wie der berühmte Ochs' vorm neuen
Scheunentor, wenn es in einem anderen Netz laufen soll. Das
richtige Vorgehen: Als *erste* Konfiguration die für DHCP
einstellen (alles auf Automatik). Dann gibt es eine weitere
Eingabemöglichkeit für eine "alternative Konfiguration". Und da
kann man dann in Ruhe feste Werte für eigene IP, Gateway,
DNS-Server etc. eintragen. Den eigenen Router würde ich auf dem
Standardwert "DHCP Server ein" stehen lassen, es sei denn, du
betreibst einen anderen DHCP Server in deinem LAN.

3. Jeder Router hat eine default Einstellung für die eigenen
Adresse, die steht im Handbuch. Damit kannst du jedenfalls den
Router zwecks Konfiguration ansprechen. Manche (wie die
Fritz!Box) sind sogar über zwei Adressen ansprechbar: Für den
Fall, dass du ihn völlig "verkonfiguriert" hast, hat er noch eine
"Notfall-IP", die immer geht.

Christoph

--
email:
nurfuerspam -> gmx
de -> net

Detlef Bosau

unread,
Jan 31, 2012, 10:56:59 AM1/31/12
to
On 01/30/2012 11:50 AM, Klaus Haber wrote:
> Hallo Shinji,
>
> Am Mon, 30 Jan 2012 10:37:17 +0100 schrieb Shinji Ikari:
>
>> Guten Tag
>>
>> Klaus Haber<Klaus...@bingo-ev.de> schrieb
>>
>>> in unserer Zeitung las ich unter der Überschrift
>>> "Wie man den Router absichert" u. a. folgendes:
>>> Ein weiterer Schritt zu mehr Sicherheit ist das Abschalten des DHCP-Servers
>>> im WLAN-Router. Denn durch DHCP werden Computer automatisch in ein
>>> bestehendes Netzwerk eingebunden. Durch die Abschaltung verhindert man, daß
>>> jeder neue Nutzer automatisch eine IP-Adresse zugewiesen bekommt - "ohne
>>> IP-Adresse kann aber niemand den Internetzugang nutzen", sagt M.P.
>>> M.P. will wohl sagen, daß eine manuell eingerichtete IP-Nummer
>>> sicherheitstechnisch besser sei als eine durch DHCP vergebene Nummer.
>>
>> Das ist zwar stark vereinfacht, aber der Artikel hat in so fern recht:
>> wenn man vom Router (oder anderem Geraet) nicht erfaehrt, in welchem
>> Subnetz das Intranet/lokale Netz unterwegs ist,
>
> hm, ist das denn so wichtig es wissen zu müssen?
>
Nein. Verbrenne den Artikel am besten.

DHCP hat mit Absicherung eines Netzes nichts zu tun.

Einen DHCP Server abzuschalten, ist in etwa so sinnvoll, als wolltest Du
Deinen Geldbeutel vor Diebstahl schützen, in dem Du ihn auf die Straße
legst - aber, um den DHCP Server abzuschalten - draufschreibst:
"Achtung! Meins! Nicht klauen!"

Wenn Du Dich mit der Absicherung von WLAN Routern nicht auskennst und
Dich damit nicht auseinandersetzen willst, dann laß das Ding aus. Und
das ist ernstgemeint, denn wenn man Netze _nicht_ gegen Fremdzugriff
absichert, kann man u.U. im Rahmen der Störerhaftung in Anspruch
genommen werden, wenn z.B. jemand über ein offenes Netz Straftaten begegnet.

Klaus Haber

unread,
Jan 31, 2012, 11:46:11 AM1/31/12
to
Hallo Christoph,

Am Mon, 30 Jan 2012 17:11:11 +0100 schrieb Christoph:

[...]

>> Könnte man es auf einen Punkt bringen? Ist DHCP nun
>> - technisch besser als feste IP, ja/nein?

> jein. Alles, was als Server angesprochen werden soll, bekommt
> eine feste Adresse, alle Clients DHCP

man kann also auch mit "gemischten" Einstellungen die Rechner betreiben,
das wußte ich nicht.
>
>> - Sicherer gegen bösartige Angriffe im Netz, ja/nein?
> nein.
>
>> - Einfacher im Umgang, ja/nein?
> ja.
>
>> - Vorteilhaft gegenüber feste IP, ja/nein?
> jein, s.o.
>
> Im Detail:
>
> 1. Feste Adresse ist keinerlei Schutz. Das ist ungefähr so, wie
> wenn du vor eine Mauer (deine WPA2-Verschlüsselung!) noch ein
> Stück Papier zum "Schutz" hältst.

Schön gesagt und verstanden ;-)

> Wenn du dich vor ungebetenen WLAN-Teilnehmern schützen möchtest,
> kannst du in der Konfiguration des AP angeben, dass nur bekannte
> MAC zu gelassen werden sollen.

Ich will es mal nicht übertreiben. Jetzt, in der alten Konfiguration, war
das nicht so, dann werde ich es in der neuen Konfiguration auch nicht tun.

[...]

> 2. IP-Einrichtung im Rechner: Viele Anwender, die sich für schlau
> halten, machen den Fehler, eine feste IP *als erstes*
> einzutragen. Dann steht Windows wie der berühmte Ochs' vorm neuen
> Scheunentor, wenn es in einem anderen Netz laufen soll. Das
> richtige Vorgehen: Als *erste* Konfiguration die für DHCP
> einstellen (alles auf Automatik).

Das habe ich nicht gewußt, werde es aber beherzigen!

> Dann gibt es eine weitere
> Eingabemöglichkeit für eine "alternative Konfiguration". Und da
> kann man dann in Ruhe feste Werte für eigene IP, Gateway,
> DNS-Server etc. eintragen. Den eigenen Router würde ich auf dem
> Standardwert "DHCP Server ein" stehen lassen, es sei denn, du
> betreibst einen anderen DHCP Server in deinem LAN.

Dise Einstellungen konnte ich nachvollziehen und werde sie realisieren.
>
> 3. Jeder Router hat eine default Einstellung für die eigenen
> Adresse, die steht im Handbuch. Damit kannst du jedenfalls den
> Router zwecks Konfiguration ansprechen. Manche (wie die
> Fritz!Box) sind sogar über zwei Adressen ansprechbar: Für den
> Fall, dass du ihn völlig "verkonfiguriert" hast, hat er noch eine
> "Notfall-IP", die immer geht.

Das Ansprechen des Routers über die IP klappt ohne Schwierigkeiten, habe
ich auch so gemacht. Jetzt werde ich den praktischen Betrieb ein wenig
testen und dann von der Telekom die Änderung meines DSL 6000er Rückfall-
Anschlusses auf DSL 6000 RAM beantragen (was lt. Telekom möglich ist). Nur
wegen des Änderungswunsches von mir mußte ich auf einen neuen Router
umsteigen (Speedport W 723W), da mein alter Router mit separatem Modem
Teledat 430 Lan die RAM-Betriebsart nicht unterstützt.

Ich danke Dir und allen anderen für die Beiträge.

Freundliche Grüße

Ingo Böttcher

unread,
Jan 31, 2012, 5:35:16 PM1/31/12
to
Am Tue, 31 Jan 2012 17:46:11 +0100 schrieb Klaus Haber:

>> Dann gibt es eine weitere
>> Eingabemöglichkeit für eine "alternative Konfiguration". Und da
>> kann man dann in Ruhe feste Werte für eigene IP, Gateway,
>> DNS-Server etc. eintragen. Den eigenen Router würde ich auf dem
>> Standardwert "DHCP Server ein" stehen lassen, es sei denn, du
>> betreibst einen anderen DHCP Server in deinem LAN.
>
> Dise Einstellungen konnte ich nachvollziehen und werde sie realisieren.

Warum? Für den Privatnutzer ist das doch Unsinn. Auf der einen Seite ging
es darum, ob DHCP ein Sicherheitsproblem darstellt. Im heimischen Netz ist
das kaum der Fall. Also bleibt es auch in obiger Konfiguration an. An einem
_Client_ dann aber trotzdem eine feste IP einzustellen, und dann auch noch
als alternative Adresse, ist doppelter Unsinn. Ist der DHCP Server an,
bekommt das System eine IP Adresse von diesem. Ist er nicht an oder man ist
in einem fremden Netz, aktiviert sich die dann mit Sicherheit unpassende,
alternative Konfiguration nach einer Wartezeit durch die Suche nach einem
DHCP Server. Auch Blödsinn.

Solange du keinen Rechner im Netz hast, der explizit Serverdienste
anbietet, dazu gehören auch Printserver, bleibt einfach alles bei DHCP.

--
Und tschüß | Bitte nach Möglichkeit keine Rückfragen per Mail. Ich lese
Ingo | die Gruppen, in denen ich schreibe.
| Die E-Mail Adresse ist gültig, bitte nicht verstümmeln!

Klaus Haber

unread,
Feb 1, 2012, 11:10:14 AM2/1/12
to
Hallo Ingo,

Am Tue, 31 Jan 2012 23:35:16 +0100 schrieb Ingo Böttcher:

> Am Tue, 31 Jan 2012 17:46:11 +0100 schrieb Klaus Haber:
>
>>> Dann gibt es eine weitere
>>> Eingabemöglichkeit für eine "alternative Konfiguration". Und da
>>> kann man dann in Ruhe feste Werte für eigene IP, Gateway,
>>> DNS-Server etc. eintragen. Den eigenen Router würde ich auf dem
>>> Standardwert "DHCP Server ein" stehen lassen, es sei denn, du
>>> betreibst einen anderen DHCP Server in deinem LAN.
>>
>> Dise Einstellungen konnte ich nachvollziehen und werde sie realisieren.
>
> Warum? Für den Privatnutzer ist das doch Unsinn. Auf der einen Seite ging
> es darum, ob DHCP ein Sicherheitsproblem darstellt. Im heimischen Netz ist
> das kaum der Fall. Also bleibt es auch in obiger Konfiguration an. An einem
> _Client_ dann aber trotzdem eine feste IP einzustellen, und dann auch noch
> als alternative Adresse, ist doppelter Unsinn. Ist der DHCP Server an,
> bekommt das System eine IP Adresse von diesem. Ist er nicht an oder man ist
> in einem fremden Netz, aktiviert sich die dann mit Sicherheit unpassende,
> alternative Konfiguration nach einer Wartezeit durch die Suche nach einem
> DHCP Server. Auch Blödsinn.
>
> Solange du keinen Rechner im Netz hast, der explizit Serverdienste
> anbietet, dazu gehören auch Printserver, bleibt einfach alles bei DHCP.

ich bin Dir und auch den anderen dankbar für die Hilfe, die mir angeboten
wird.

Nun ergibt sich eine verzwickte Situation für mich:

- Antworter 1 sagt, du must das so machen
- Antworter 2 meint, wenn Du es anders machst ist es günstiger
- Antworter 3 meint, alles bisherig gesagte ist zwar nicht falsch, aber so
ist es richtiger

Ich selbst kann das alles schwer beurteilen, da ich nicht mit dem Internet
aufgewachsen und daher auf Unterstützung angewiesen bin. Um mit Goethe zu
sprechen: "Da steh' ich nun, ich armer Tor und bin so schlau als wie
zuvor." Nun, ganz so ist es nicht, aber der Spruch schildert die Situation.

Es ist mir völlig klar, daß Diskussionen unterschiedliche Meinungen
hervorbringen, letztendlich muß ich selbst entscheiden, was ich machen
will. Ich werde nochmal diese Nacht darüber schlafen, denn laufen tut meine
Kiste gut ;-)

Einen schönen Abend noch und freundliche Grüße

Shinji Ikari

unread,
Feb 1, 2012, 3:32:54 PM2/1/12
to
Guten Tag

Klaus Haber <Klaus...@bingo-ev.de> schrieb

>Nun ergibt sich eine verzwickte Situation für mich:
>
>- Antworter 1 sagt, du must das so machen
>- Antworter 2 meint, wenn Du es anders machst ist es günstiger
>- Antworter 3 meint, alles bisherig gesagte ist zwar nicht falsch, aber so
>ist es richtiger

Das haengt vermutlich damit zusammen, dass wir nichts ueber Deine LAN
Situation und Dein Detailwissen zur Problemloesung bei LAN-Problemen
wissen.
Deshalb antwortet jeder so, wie er es allgemein oder fuer
Spezialfaelle fuer richtig haelt.

Wie gesagt: fuer Laien ist DHCP die einfachere Wahl.
DHCP abzusachalten ist kein wirkliches Sicherheitsfeature, wenn ein
versierter Nutzer direkten Zugang zum LAN bekommt.
Es eignet sich hoechstens als minimale Erschwernis, wenn ein nicht
versierter Laie Zugang zum LAN bekommt und die IP nicht anderweitig
herausbekommen hat.
Wenn man hingegen im LAN Systeme nutzt, die man schnell ueber die IP
wiederfinden will, ist DHCP fuer diese Systeme unguenstig, da diese
bei jedem Start oder (Firmware)Reset des DHCP-Servers mit einer
anderen IP versehen werden koennen und somit das wiederfinden fuer die
anderen (dummen) Systeme eim LAN schwieriger wird.

Wenn Du keine solchen Systeme verwendest, die eine feste IP gebrauchen
koennen, bleib bei DHCP.
Wenn Du beispielsweise mit einem Notebook viel in fremden LANs
unterwegs bist ist die Einstellung per DHCP ebenfalls einfacher.

>Es ist mir völlig klar, daß Diskussionen unterschiedliche Meinungen
>hervorbringen,

Hier habe ich primaer unterschiedliche Szenarien, aber nicht wirklich
grob unterschiedliche Meinungen gelesen. Vielleicht habe ich ueber die
Tage aber auch das eine oder andere Posting vergessen?
Ist mi rheute aber zu spaet, als dass ich mir den Threat jetzt noch
'mal ganz durchlese 8)

>letztendlich muß ich selbst entscheiden, was ich machen will.

Das sowieso.

Jörg Tewes

unread,
Feb 1, 2012, 6:03:00 PM2/1/12
to
Klaus Haber schrub

> Am Mon, 30 Jan 2012 17:11:11 +0100 schrieb Christoph:

> man kann also auch mit "gemischten" Einstellungen die Rechner
> betreiben, das wußte ich nicht.

Ja, du kannst problemlos einen DHCP Server laufen haben und trotzdem
bestimmten Rechnern feste IP geben. In Firmennetzen bekommen Rechner
über DHCP nicht nur IP und DNS mitgeteilt, sondern teilweise noch
mehr. Ein Rechner der eine feste IP hat der fragt erst gar nicht nach
einem DHCP Server.

>> Wenn du dich vor ungebetenen WLAN-Teilnehmern schützen möchtest,
>> kannst du in der Konfiguration des AP angeben, dass nur bekannte
>> MAC zu gelassen werden sollen.

> Ich will es mal nicht übertreiben. Jetzt, in der alten
> Konfiguration, war das nicht so, dann werde ich es in der neuen
> Konfiguration auch nicht tun.

Ist auch völlig sinnlos, es sei denn, deine WLAN Rechner sind nicht
länger als ein paar Minuten mit dem Router verbunden, oder man wollte
nur unbeabsichtigte sich ins Netz verirrte Besucher abwehren.

Die MAC Adresse wird mitgesendet, beim ersten Contact mit dem Router.
Ich kann die also lesen und meinem Rechner eben diese MAC geben, wenn
ich sehe das der Rechner mit der erlaubten MAC nicht mehr online ist.
Einen Schutz vor ungebetenen Besuchern bietet nur eine verschlüsselte
Verbindung mit einem ausreichend langen nicht in Wörterbüchern zu
findenden Passwörtern.


Bye Jörg

--
Niemals fürchtete ich jene, die anderer Meinung waren. Nur vor denen hatte
ich ein Grauen, die zu feige waren ihre andere Meinung auszusprechen.
(Pablo Picasso)

Ignatios Souvatzis

unread,
Feb 2, 2012, 4:12:25 AM2/2/12
to
Klaus Haber wrote:

> Ein weiterer Schritt zu mehr Sicherheit ist das Abschalten des DHCP-Servers
> im WLAN-Router. Denn durch DHCP werden Computer automatisch in ein
> bestehendes Netzwerk eingebunden. Durch die Abschaltung verhindert man, daß
> jeder neue Nutzer automatisch eine IP-Adresse zugewiesen bekommt - "ohne
> IP-Adresse kann aber niemand den Internetzugang nutzen", sagt M.P.

Das hat praktisch nichts miteinander zu tun.

Du kannst einen vernünftigen DHCP-Server so einrichten, dass nur
an bekannte MACs Adressen vergeben werden - das ist dann fast genauso
sicher wie fest vergeben.

Selbst wenn du fest vergibst - genauso, wenn du per DHCP fest vergibst -
kann sich ein Angreifer eine freie IP-Adresse selbst geben (eine freie
sowie die Routeradresse geraten oder aus einem Netzwerkmitschnitt
entnommen).

Du muesstest also unabhaengig davon an passender Stelle (zwischen WLAN
und wichtigen Rechnern, dem Gateway, etc.) IP-Adressen blockieren, die du
nicht vergeben hast - ob das nun feste sind oder per DHCP vergebene.

Dann darf aber kein legitimes Geraet mehr als ein paar hundertstel
Sekunden inaktiv sein.

Selbst wenn du das so einrichtest, koennte derjenige immer noch den
Verkehr mitschneiden, gültige MACs bestimmen, und sich einfach vom
DHCP-Server eine IP-Adresse geben lassen, wenn das betreffende echte
Gerät inaktiv ist.

Spätestens gegen den letzteren Angriff hilft nur ein verschlüsseltes
WLAN- mindestens nach Stand der Technik.

-is

Andreas Erber

unread,
Feb 2, 2012, 1:05:14 PM2/2/12
to
Jörg Tewes wrote:

> Bye Jörg

Hallo,

bist du der Jörg von CC?

Grüße,
Andy

Holger Marzen

unread,
Feb 16, 2012, 4:32:28 AM2/16/12
to
* On Mon, 30 Jan 2012 10:26:02 +0100, Klaus Haber wrote:

> Ein weiterer Schritt zu mehr Sicherheit ist das Abschalten des DHCP-Servers
> im WLAN-Router. Denn durch DHCP werden Computer automatisch in ein
> bestehendes Netzwerk eingebunden. Durch die Abschaltung verhindert man, daß
> jeder neue Nutzer automatisch eine IP-Adresse zugewiesen bekommt - "ohne
> IP-Adresse kann aber niemand den Internetzugang nutzen", sagt M.P.

Das geht auch mit DHCP: Clients mit MAC-Adresse in der
DHCP-Konfiguration hinterlegen und den Pool abschalten. Dann kriegt
jeder hinterlegte Client immer die selbe ip-Adresse, und fremde Rechner
kriegen gar keine.
Message has been deleted

Holger Marzen

unread,
Feb 25, 2012, 8:49:45 AM2/25/12
to
* On Sat, 25 Feb 2012 14:31:58 +0100, Daniel Krebs wrote:
> Da werden sich die fremden Rechner bestimmt ganz doll ärgern.

Du willst damit sagen, dass dann das Netz immer noch nicht 100% sicher
ist gegen Eindringlinge?

Wahnsinn. Wer hätte das gedacht? Man lernt halt nie aus.
0 new messages