Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 10868 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

allow dhcp only for known mac addresses

mourik_jan
This feature looks rather simple to implement:

I would like to be able to enter mac addresses from the pc's that are known to me, and allow only those networkcards to receive an ip address.

Currently, it's a dhcp-on or dhcp-off situation, unless I'm missing something.

I know it's no defence against intruders,but still, I'd like to control the handing out of ip addresses.

mj


This thread was automatically locked due to age.
Parents
  • 0
    Try this:

    Shutdown all the PCs.

    Set your DHCP range for only 1 IP (choose one that wasn't used before).

    Turn on a dhcp client that is always left running (printer, whatever).

    Setup static leases for all the other PCs. Static leases are supposed to be OUTSIDE the dhcp pool anyways.

    Barry
  • 0 in reply to BarryG
    Hi,

    I suppose i could do that, yes, but I'd still have to manually take care of which MAC has which IP.

    I guess astaro uses ISC DHCP? (but I didn't check) This DHCP has an option to 'deny unknown clients', and allows you to enter mac addresses like:

     host hostnameXX { hardware ethernet x:x:x:x:x:x; }

    This would allow only these mac addresses to receive an ip address. Therefore, the only thing required to implement this functionality, would be a change to the WebAdmin.
    (to allow mac addresses to be entered)
  • 0 in reply to mourik_jan
    You can edit the dhcp-default config file if you're brave.

    Barry
  • 0 in reply to BarryG
    I think that mourik_jan's suggestion is a good one.  Simple to implement, an improvement in security, and zero impact on users that don't need it.

    I would like to see this for clients that use wireless connectivity internally and want to be restrictive about who can access that network.
  • 0 in reply to BangkokBob
    I allways thought that the concept of a MAC-Address Whitelist only gives a false sense of security, because the MAC is so easy to fake.

    And for the DHCP Problem...
    just give out a IP Range that lives outside of your Subnet, so a "unknown" PC can´t talk to anything (ofcourse it still can "sniff") and use static leases for your Devices.

    If you have a manageble Switch, it might be possible to use a MAC-Address "lock" for the Ports.
  • 0 in reply to KSeemann
    Thank you, BangkokBob. :-)

    Let's hope astaro people read this, and feel the same way as we do.
  • 0 in reply to KSeemann
    I allways thought that the concept of a MAC-Address Whitelist only gives a false sense of security, because the MAC is so easy to fake.


    I regard it more as layered security.  An intruder would need to know that they required mac address for authentication, and then would require to know what a correct mac address was ...
  • 0 in reply to BangkokBob
    The thing is, unless you're packetfilter rules and/or proxy settings are going to exactly match the IPs your MAC whitelist, someone could give themselves any address in your subnet; they don't need to clone a MAC.

    Barry
  • 0 in reply to BarryG
    Exactly true BarryG. It is very trivial to plug into a network with no DHCP, fire up a packet capture tool, and watch traffic for a while. This tells you the subnet range, and will likely make the gateway easily guessable. It also reveals mac addresses, so if you suspect mac filtering, you know what values to try.

    Mac address filtering isn't security. It's equivalent to a luggage lock. It offers some resistance, but is easily beaten. It is useful as a deterrent from casual/accidental use of a network, but no more than that. If that's enough for you, then BarryG's suggestion is nearly as simple as you're asking for.
Reply
  • 0 in reply to BarryG
    Exactly true BarryG. It is very trivial to plug into a network with no DHCP, fire up a packet capture tool, and watch traffic for a while. This tells you the subnet range, and will likely make the gateway easily guessable. It also reveals mac addresses, so if you suspect mac filtering, you know what values to try.

    Mac address filtering isn't security. It's equivalent to a luggage lock. It offers some resistance, but is easily beaten. It is useful as a deterrent from casual/accidental use of a network, but no more than that. If that's enough for you, then BarryG's suggestion is nearly as simple as you're asking for.
Children
  • 0 in reply to crashtestdummy
    Hi all. :-)

    I seem to have caused lot of reactions. Anyway, the only reason i want to do this, is because without mac registration everybody plugs-in their incredibly infected laptops in my network, and starts spreading trojans and infecting others with virusses

    This is the only thing I am trying to make harder. 

    I KNOW that mac registration is no water tight security measure, but this is also not what I'm looking at now. I know there are lot's of things you can do on a network, if your intentions are to do harm.

    I'm talking about innocent users, who simply don't know, plugin their laptop, and "HEY, it works!". This is what i try to prevent.

    Anyway, thanks for all the reactions.
  • 0 in reply to mourik_jan
    I seem to have caused lot of reactions. Anyway, the only reason i want to do this, is because without mac registration everybody plugs-in their incredibly infected laptops in my network, and starts spreading trojans and infecting others with virusses

    This is the only thing I am trying to make harder. 


    The recommendation below, in conjunction with my initial recommendation, should work well.
    The only thing I can think of that it wouldn't protect against would be if there were a exploit in your PCs which could be attached by broadcast traffic (uPnP?)

    Barry


    And for the DHCP Problem...
    just give out a IP Range that lives outside of your Subnet, so a "unknown" PC can´t talk to anything...
  • 0 in reply to BarryG
    An additional option, if you want to allow people to plugin untrusted laptops, is to have a subnet for them, and a gateway (second IP on interface), but have rules to DENY all traffic from that subnet to your LANs and SMTP proxy.

    This requires the items from the post directly above be implemented first.

    Barry