Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.143 Sichere Konfiguration des DHCP unter Windows 2000 - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.143 Sichere Konfiguration des DHCP unter Windows 2000

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Mittels DHCP (Dynamic Host Configuration Protocol) lässt sich die Konfiguration von Rechnern beim Boot-Vorgang vornehmen. DHCP ist ein Client-Server Protokoll: Ein DHCP-Server verwaltet einen oder mehrere Pools von IP-Adressen, die er auf Anforderung an DHCP-Clients auf Zeit vergeben kann. Die Client-Anforderung ist Broadcast-basiert und wendet sich an alle DHCP-Server in einem Netz. Der Client wählt aus den verschiedenen Server-Antworten eine beliebige aus; dies ist in der Regel die erste Antwort. Insofern existiert prinzipiell keine feste Client-Server-Bindung. Die IP-Adresse wird einem Client nur auf Zeit, der so genannten Lease-Dauer, zugeordnet. Ist diese abgelaufen, so kann der Client die Verlängerung der Zuordnung beim Server beantragen. Ist die maximale Lease-Dauer abgelaufen, so muss ein Neuantrag erfolgen, wodurch in der Regel eine neue IP-Adresse festgelegt wird. Der DHCP-Server löscht Adressen-Zuordnungen, wenn die Lease-Dauer abgelaufen ist und keine Verlängerung beantragt wurde, oder wenn die maximale Lease-Dauer abgelaufen ist. Die betroffene IP-Adresse wird dann wieder in den Pool der nicht zugeordneten Adressen aufgenommen und kann ab dann an andere Rechner vergeben werden. Der Windows 2000 DHCP-Server kann auch mit dem älteren bootp-Protokoll umgehen, das ursprünglich aus der Unix-Welt stammt. So können auch Rechner, auf denen nicht Windows 2000 installiert ist, mit IP-Adressen versorgt werden.

Häufig wird DHCP nur zur dynamischen Zuordnung von IP-Adressen verwendet, da das feste Eintragen von IP-Adressen auf Clients in einem großen Netz mühsam ist. DHCP erlaubt jedoch auch die Konfiguration vieler weiterer Netz-bezogener Parameter (z. B. DNS-Server). Diese Parameter - insgesamt mehr als 70 - die auch DHCP-Optionen genannt werden, können für jeden Adresspool unterschiedlich konfiguriert werden.

Bei der Verwendung von DHCP ergeben sich mehrere Sicherheitsprobleme, die berücksichtigt werden müssen:

Zusammenfassend muss berücksichtigt werden, dass die Nutzung von DHCP und dynamischen DNS-Updates jeweils mit Vor- und Nachteilen behaftet ist. Die zu verwendende Konfiguration muss daher jeweils für den Einzelfall nach einer sorgfältigen Risikoabschätzung entschieden werden.

Ergänzende Kontrollfragen: