M 4.103 DHCP-Server unter Novell Netware 4.x
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Beim Einrichten von TCP/IP-Protokollen entsteht ein hoher Aufwand, wenn für jede Workstation manuell die IP-Adresse, die Subnetz-Maske, das Default Gateway, etc. vergeben werden müssen. Soll z. B. in einem Segment nur der Default Gateway Eintrag geändert werden, erfordert dies einen hohen Arbeitsaufwand und erhöht zudem die Gefahr von Falscheingaben. Durch den Einsatz eines DHCP -Servers (Dynamic Host Configuration Protocol) können diese Aufgaben zentralisiert und automatisiert werden.
Um einen sicheren Umgang mit dem DHCP-Server von Novell Netware 4.x zu gewährleisten, ist es erforderlich, dass die Struktur des TCP/IP-Netzes, dessen Adressen mit Hilfe des DHCP-Servers verwaltet werden sollen, bekannt ist. Wichtig sind hierbei neben der Adressklasse (TCP/IP-Netz Klasse A - C) auch die eingesetzten Subnetz-Masken und die Adressen der Default Gateways, um segmentübergreifenden Datenverkehr auf TCP/IP Basis zu ermöglichen.
Im folgenden wird auf einige Aspekte bei der Konfiguration des DHCP-Dienstes unter Novell Netware 4.x eingegangen, die für die Sicherheit des Gesamtsystems von besonderer Relevanz sind.
Konfiguration der TCP/IP-Segmente
Über die Option SUBNETWORK PROFILE werden die TCP/IP-Segmente definiert, die vom Server versorgt werden sollen. Dabei werden Werte wie Subnetzname, Adressbereich und Zuweisungsart vom Konfigurationsmenü des DHCP-Servers bei dessen Start automatisch ausgelesen. Soll der DHCP-Server mehrere IP-Segmente versorgen, so ist es empfehlenswert, die automatisch eingelesenen Werte zu löschen und durch "sprechende", manuell konfigurierte Werte zu ersetzen. Wurde z. B. als Subnetzname "3CX9_1_EII" ausgelesen, so ist es für die Fehlersuche und für spätere Konfigurationsarbeiten für dieses Segment einfacher, wenn dieser Eintrag manuell durch einen Eintrag ersetzt wird, der das Segment besser beschreibt, z. B. der Name "EthernetII". Andere sprechende Namensgebungen, die das Segment etwa nach seiner topologischen Anordnung bezeichnen (Gebäude A, 2. OG oder Geschäftsführung), sind ebenfalls einsetzbar.
Automatische Zuordnung von IP-Adressen
Ein wesentlicher Dienst des DHCP-Servers ist die automatische Zuordnung von IP-Adressen. Der Parameter AUTOMATIC IP ADDRESS ASSIGNMENT kennzeichnet den Adressbereich, aus dem heraus der DHCP-Server dynamisch die Adressen an die Netzknoten verteilt, die eine Adresse anfordern. Dieser Bereich sollte so ausgewählt werden, dass die Adressen für Server, Drucker und Router nicht in den Bereich der dynamischen Zuteilung fallen. Generell sollten Servern, Druckern, Routern und den Netzknoten mit dynamischer Adresszuordnung klar unterscheidbare IP-Adressbereiche zugewiesen werden. Dadurch ist gewährleistet, dass bereits am Adressbereich erkennbar ist, zu welchem Typ ein Netzknoten gehört, wenn Probleme im IP-Bereich auftreten.
Statische Zuordnung von IP-Adressen
Für bestimmte Komponenten im Netz ist es empfehlenswert, mittels einer statischen Adresszuordnung die erforderliche IP-Adresse permanent auf die MAC-Adresse (Medium Access Control) des Netzknotens zu binden. Hierzu gehören z. B. Netzdrucker und Router. Der Vorteil einer statischen Zuordnung durch einen DHCP-Server im Vergleich zu einer manuellen Konfiguration vor Ort am Netzknoten ist die zentrale Verwaltung der Zuordnungen über das Konfigurationstool des DHCP-Servers. Obwohl Server ebenfalls zwingend ihre IP-Adresse statisch zugeordnet bekommen müssen, werden diese nicht über den DHCP-Server vergeben. Bei Netware Servern erfolgt die Zuteilung ihrer IP-Adresse immer manuell.
Die Konfiguration der statischen Adresszuordnung geschieht über die Option IP ADDRESS ASSIGNMENT. Der Knoten wird über einen beliebigen Namen dem Menü hinzugefügt und die IP-Adresse direkt auf die Netzkarte (MAC-Adresse) des Knotens gebunden. Für die Auswahl des Namens empfiehlt Novell, den Login-Namen des Benutzers zu verwenden, der an diesem Arbeitsplatzrechner arbeitet.
Lease Time
Anhand der Lease Time wird festgelegt, wie lange ein Netzknoten, der seine TCP/IP-Adresse vom DHCP-Server dynamisch erhält, diese behalten kann. Die Zuteilung der IP-Adressen wird dabei beim Booten des Netzknotens realisiert. Für die Lease Time sollte ein Zeitraum von mindestens 24 Stunden gewählt werden, da sonst folgende Probleme auftreten können:
- Programme, deren Zugriffsberechtigungen anhand von TCP/IP-Adressen erteilt werden, können nach einem Reboot des Rechners unter Umständen nicht mehr ausgeführt werden, da sich die IP-Adresse des darauf zugreifenden Rechners geändert hat. Die neue Adresse ist evtl. nicht berechtigt, das Programm auszuführen.
- Wenn Arbeitsplatzrechner instabil laufen und pro Tag mehrfach erneut gestartet werden, entsteht nach jedem Neustart eine unnötige Netzlast durch die Zuweisung einer neuen IP-Adresse.
- Beim Zugriff auf das Internet protokollieren zwischengeschaltete Proxy Server die Internet-Seiten, die von den Arbeitsplatzrechnern aus aufgerufen wurden. In den entsprechenden Protokolldateien werden meist die DNS Namen der aufgerufenen Internet-Seiten den IP-Adressen der Rechner zugeordnet, von denen aus diese Seiten angefordert wurden. Wenn sich diese IP-Adressen ständig ändern, dann ist im Problemfall nur sehr schwer nachvollziehbar, welcher Arbeitsplatzrechner zu welchem Zeitpunkt die entsprechende IP-Adresse zugewiesen bekommen hat.
Die Vergabe einer Lease Time wird beim Einsatz von DHCP-Servern benötigt, wenn sich in einem Netz mehr Knoten befinden, als IP-Adressen zur Verfügung stehen. Mittels einer geeignet gewählten Lease Time kann so eine IP-Adresse, die frei geworden ist, weil der Knoten sie nicht mehr braucht (PC
wurde ausgeschaltet), einem anderen Knoten, der eine Adresse vom DHCP-Server anfordert, zugewiesen werden. In Netzen, die über mindestens genauso viele IP-Adressen verfügen wie Knoten installiert sind, kann auf die Konfiguration der Lease Time verzichtet werden. Seit geraumer Zeit kann in LANs mit sogenannten privaten IP-Adressen (siehe RFC 1597) gearbeitet werden. Das Problem, mehr Knoten als IP-Adressen zu haben, kann somit umgangen werden. Die Vergabe von privaten IP-Adressen nach diesen Vorgaben ist z. B. aus Revisionsgründen für Netze, die einen Internet-Zugang realisieren, empfehlenswert. Datenschutzrechtliche und mitbestimmungsrechtliche Aspekte sind zu beachten.
Im DHCP-Server von Netware 4.x kann die Lease Time derzeit noch nicht abgeschaltet werden. Es ist daher empfehlenswert, diese auf den maximalen Wert von 10000 Tagen und 23 Stunden einzustellen.
Ausschluss bestimmter Netzknoten von der Adresszuordnung
Für bestimmte Netzknoten kann die Zuweisung einer IP-Adresse unterbunden werden. Unter dem Menüpunkt EXCLUDED NODES sind hierzu dieselben Schritte auszuführen, wie bei der statischen Zuordnung von IP-Adressen. Hiermit wird erreicht, dass bestimmte Programme, die auf TCP/IP aufsetzen, von diesen Arbeitsplätzen aus nicht aufgerufen werden können. Diese "Sperre" ist allerdings leicht zu unterwandern, indem dem "gesperrten" Netzknoten manuell eine IP-Adresse zugeordnet wird (sofern auf diesem Knoten der TCP/IP-Protokollstack geladen wurde). Sobald bei der manuellen Zuordnung eine freie IP-Adresse gefunden wird, kann mit diesem Rechner genauso über TCP/IP kommuniziert werden, wie mit Knoten, die ihre IP-Adresse vom DHCP-Server erhalten haben. Der Weg, Netzknoten über EXCLUDED NODES von der Vergabe einer IP-Adresse auszuschließen, bietet daher nur eine relative Sicherheit.
Das Sperren von MAC-Adressen für die Vergabe durch den DHCP-Server kann zudem dazu dienen, in Netzen mit mehreren DHCP-Servern die Lastverteilung zu steuern. Außerdem kann verhindert werden, dass Knoten, in deren Segment sich ein eigener DHCP-Server befindet, die IP-Adresse von einem DHCP-Server anfordern, der sich in einem anderen Segment befindet. Hierbei sollte beachtet werden, dass in diesem Fall bei Ausfall des lokalen DHCP-Servers lokalen Clients keine IP-Adresse zugeordnet werden kann. Der Einsatz der Option EXCLUDED NODES bedarf daher sorgfältiger Planung.
DHCP-Dienst in gerouteten Netzen
Ein zwischengeschalteter Router, der sich zwischen dem Segment des DHCP-Clients und dem Segment des DHCP-Servers befindet, unterbindet u. U. die DHCP-Anfrage. Router, die RFC 1542 kompatibel sind, besitzen einen sogenannten DHCP/BOOTP Relay Agenten. Dieser Agent sorgt dafür, dass DHCP Relay Pakete weitergeroutet werden. Bei Routern, die nicht RFC 1542 kompatibel sind, müssen in jedem Netzsegment jeweils eigene DHCP-Server definiert sein. Die Zuteilung einer IP-Adresse durch den DHCP-Server geschieht dann auf dieselbe Art und Weise wie in nicht gerouteten Netzen. Durch die Weiterleitung der DHCP Relay Pakete werden aber nicht automatisch die gesamten Broadcast Pakete weitergeleitet. "Normale" Broadcast Datenpakete werden weiterhin vom Router herausgefiltert.
Einsatz von mehreren DHCP-Servern in Netzen
In Netzen, die über eine entsprechende Größe verfügen, sollte unter Umständen mit mehreren DHCP-Servern gearbeitet werden. Als Lastobergrenze gilt in manchen Betriebssystemen die Verwaltung von 10000 IP-Adressen pro DHCP-Server. Dieser Wert kann vom Netware DHCP-Server um ein Vielfaches überschritten werden. Zudem sollte bei der Überlegung, wie viele DHCP-Server im Netz erforderlich sind, die Position der Router berücksichtigt werden.
Unabhängig von der Struktur des IP-Netzes ist bei Verwendung von mehreren DHCP-Servern unbedingt zu verhindern, dass zwei (oder mehr) Netzknoten, die von verschiedenen DHCP-Servern "versorgt" werden, dieselbe IP-Adresse zugewiesen bekommen. Diese Gefahr besteht, wenn jeder DHCP-Server im Netz (bzw. im Segment) jeweils den gesamten IP-Bereich verwaltet, der für die dynamische Vergabe eingerichtet wurde, da sich die DHCP-Server unter Netware 4.x untereinander nicht synchronisieren. Jeder einzelne DHCP-Server speichert seine Konfigurationsdaten in einer separaten DHCPTAB-Datei. Da diese Datei unter Netware 4.x aber nicht Bestandteil der NDS ist, wird sie auch nicht über deren Replizierungsmechanismen auf andere Server verteilt, bzw. mit anderen DHCPTAB-Dateien abgeglichen. Daher sollte bei Verwendung mehrerer DHCP-Server jedem Server ein eigener IP-Adressbereich zugewiesen werden, den er exklusiv verwaltet.