DHCP Server abschalten?
ich möchte verhindern, das fremde Endgeräte an mein LAN angseschlossen werden können. Daher habe ich mir überlegt den DHCP Server in der Fritzbox zu deaktivieren. Allen im Netzwerk bekannten Geräten sind feste IPs zugewiesen. Das sollte doch dann kein Problem sein, oder? Hab ich einen Denkfehler?
4 Antworten
Ja, das sollte funktionieren.
Und warum sollten dann andere Geräte nicht funktionieren, wenn diesen Geräten lokal eine IP in Deinem Adressbereich zugewiesen wird?
Weil du in der Fritzbox die MacAdresse mit der IP koppeln kannst. Ein neues Gerät kann sich zwar eine feste IP geben, doch akzeptiert die Fritzbox diese neue IP nicht, da diese nicht mit der Mac Adresse freigegeben ist.
Ja, Du kannst auf den DHCP verzichten, wenn Du fixe IPs vergeben hast - logisch.
Allerdings hindert das niemanden daran ein Gerät anzustöpseln, sich eine geeignete IP zu geben und loszulegen - da braucht es schon tiefgreifendere Schutzmaßnahmen...
Ein Filter der IP+MAC-Paarung auf den Port festzurrt ist schon ganz ordentlich, da kann man zwar auch noch durch Replikation der Daten eines Gerätes an genau diesem Port ran, aber das ist wenigstens schonmal eine ordentliche Hürde.
das geht aber angeblich mit der Fritzbox nicht. s.o.
Was soll das bringen?
WLAN geht (hoffentlich) nur mit sicherem Schlüssel und erst nach erfolgreicher Anmeldung am WLAN kommt DHCP ins Spiel. Und wenn sich jemand mit einem Kabel an eine Netzwerkdose bei Dir in der Wohnung ohne Dein Wissen anklemmen kann, hast Du sowieso vermutlich ein ganz anderes Problem (und dann kann er sich auch selbst manuell eine IP Adresse verpassen). Sicherheitstechnisch sehe ich da keinen Vorteil.
Es gibt auch die Möglichkeit, das Anmelden neuer Geräte zu blocken.
https://www.pcwelt.de/article/1173226/zugangsbeschraenkung-fuer-lan-geraete-einrichten.html
Man kann ein Standardprofil einrichten, mit dem alle neuen Geräte versehen werden. Dieses Profil bekommt maximale Sperren eingetragen. So kann auch kein LAN-Gerät "rein".
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/250_WLAN-Zugang-auf-bekannte-Gerate-beschranken-MAC-Adressfilter/
da gehts um WLAN. Wir reden von LAN
https://www.pcwelt.de/article/1173226/zugangsbeschraenkung-fuer-lan-geraete-einrichten.html
nee, das ist nicht was ich suche. verhindert ja nicht, dass jemand den Steckplatz benutzt und das LAN betritt. Es geht nicht darum zu verhindern, das jemand über mein LAN ins Internet geht, sondern das überhaupt jemand mein LAN betritt.
Das geht in der Form nicht bei Fritzens, das geht nur bei Unternehmensroutern. Nicht nur AVM geht davon aus, dass man Router physisch sicher aufstellen kann. Per Profil kannst Du Neueintritten aber auch lokale Rechte absprechen. Vielleicht erreichst Du Dein Ziel mit managed Switchen gleich hinter den Router-Ports.
Das geht in der Form nicht bei Fritzens, das geht nur bei Unternehmensroutern.
ja, davon habe ich leider auch schon mehrfach gehört. eigentlich erstaunlich.
Per Profil kannst Du Neueintritten aber auch lokale Rechte absprechen.
aber immer erst nach dem Neueintritt
mit managed Switchen gleich hinter den Router-Ports.
ja das geht. Wohl auch ziemlich günstig. Das hindert einen Eindringlich aber nicht daran, am Router ein Kabel zu ziehen und sich aufzustecken.
aber trotzdem danke
Das geht bei der FritzBox nicht, die kann nur WLAN per Mac-Filter limitieren. LAN-Geräte werden beliebig akzeptiert