Was bringt es, DHCP nur für bestimmte MAC-Adressen bereitzustellen?
Andere Clients und Geräte, die keine IP bekommen sollen können sich ja auch einfach selbst eine geben...
4 Antworten
Klar kann ein Experte vieles irgendwie umgehen, aber man muss es auch nicht jedem allzu einfach machen und kann schon ein paar kleinere Hürden einbauen. In meinem Netz würde es Dir beispielsweise nicht so ohne Weiteres gelingen, mit einer selbst konfigurierten IP Adresse - selbst wenn Du wüsstest, dass ich eine FritzBox habe - mit anderen meiner Geräte zu kommunizieren oder gar ins Internet zu kommen, da ich ein anderes als das Default Netzwerk der FritzBox verwende (in Fritz!OS kann man so etwas machen). Diese Netzwerk kennt also ein Eindringling erstmal nicht ad-hoc und damit auch kein Standardgateway und damit gibt es auch kein Routing.
Das hat schon einen Vorteil: Den bekannten Mac-Adressen kannst Du auf diese Weise immer die gleiche IP vergeben.
Und dann einen kleinen Adressbereich für "Gäste" vorsehen.
Aber ein "Schutz" ist das natürlich nicht.
Dazu müsstest Du eine Firewall einrichten, die nur die bekannten IP's akzeptiert, aber das bedingt einen ziemlichen Pflegeaufwand.
Da hast du recht. Ein Mac Whitelist bzw. Blacklist würde mehr Sinn machen. Außer dies ist da bei der Einstellung direkt mit gegeben.
Mit eines der offensichtlichsten Anwendungsszenarien wäre ein Netzwerk in dem jedes Gerät eine ganz bestimmte zuvor festgelegte IP-Konfiguration verwenden soll, allerdings einige Geräte keine derartige Option zur Verfügung stellen.
In dem Fall kann man für die MAC-Adressen dieser Geräte statische Leases im DHCP-Server einrichten.
Nicht nur kein richtiger Schutz, sondern gar kein Schutz.
Ist aber auch nicht Sinn der Sache.
Allerhöchstens ein Schutz vor versehentlichen Netzstörungen wie z.B. das unbeabsichtigte Einbringen eines nicht vorgesehenen DHCP-Servers (einige Smart-Home Geräte verursachen sowas ganz gerne mal, aber nicht nur die... "Oh, kein DHCP-Server hier? Na gut, dann mach ich halt meinen eigenen DHCP-Server, mit Blackjack und Nutten.").
Okay das ergibt Sinn, aber kein richtiger Schutz vor Unbefugten xD