ISC DHCPv4 Deny unknown clients

[ziegler]

Hallo,

ich habe eine Frage zu dem Punkt "Deny unknown clients" im ISC DHCPv4.

Unter Services --> ISC DHCPv4 --> InterfaceName gibt es den Punkt "Deny unknown clients"
Als Beschreibung steht dort: If this is checked, only the clients defined below will get DHCP leases from this server.

Ist damit gemeint das nur Clients eine IP per DHCP bekommen wenn ich diese vorher unter "DHCP Static Mappings for this interface"
fest eintrage, also die MAC-Adresse des clients und die IP dort hinterlege.
Und muss die fest eingestellte IP dann in dem Range vom DCHP-Server sein?

[Patrick M. Hausen]

Richtig. Mit "Deny unkown clients" aktiv werden nur die statisch definierten Leases vergeben.

Und statische Einträge müssen grundsätzlich außerhalb der dynamischen Range liegen, immer, auch ohne diese Option.

[ziegler]

Danke :-)
Bei mir ist jetzt so, das ich auf der Schnittstelle WLAN den ISC DHCP aktiv habe.
Mein Range ist von 192.168.2.10 bis 192.168.2.20

Ich habe nur 3 CLients insgesamt, deshalb habe ich das so eingestellt.

Den Haken bei "Deny unknown clients" habe ich gesetzt.

Ganz unten bei "DHCP Static Mappings for this interface." habe ich meinen 3 WLAN Clients per MAC eine feste IP in diesem Range von
192.168.2.10 bis 192.168.2.20 vergeben.

also 192.168.10 bis 192.168.2.12

Das sollte ich also nicht so machen weil die IP in dem DHCP-Range ist.
Also lieber eine IP vergeben ab 192.168.2.21 ?

Da ich ja nur diese 3 Geräte habe, muss ich für das "DHCP Static Mappings for this interface." den Haken bei Enable DHCP server on the WLAN interface"
dann überhaupt setzen?
Weil dann wäre DHCP ja quasi aus, ich hätte somit auch nicht den Range. Die "DHCP Static Mappings for this interface." würde aber weiter greifen?

[Patrick M. Hausen]

Wenn du den DHCP sSrvice ausmachst, wie sollen dann die static mappings greifen? Die werden doch vom server an den client ausgehändigt. Und ja, die statischen Reservierungen müssen außerhalb der dynamischen Range liegen ... mehr als zweimal dasselbe schreiben kann ich auch nicht. Was an dem Satz ist zweideutig?

Du willst ja evtl. mal ein viertes Gerät rein nehmen, das dann erst mal eine Adresse aus dem dynamischen Bereich bekommt, und dann eine feste zuweisen.

Preisfrage: was soll das Ganze? Sicherer macht es nichts.

[ziegler]

Ich habe das gerade mal mit ausgeschaltetem DHCP getestet.
Jetzt verstehe ich das auch.
Dachte wenn die IP statisch dort eingetragen ist spielt der DHCP keine Rolle, aber das läuft ja nun mal über den DHCP-Dienst.
Mein Denkfehler war wohl das ich es so verstanden habe wie wenn ich am Client im OS eine feste IP einstelle.
Habe den Bereich jetz ausserhalb des static mapping gesetzt.


Preisfrage: was soll das Ganze? Sicherer macht es nichts.
Ich will damit bezwecken das sich nur Clients mit dem WLAN verbinden können die mir bekannt sind.
Weil unter static mapping muss ja die MAC mit eingetragen werden und das jedes Gerät immer die selbe IP bekommt.
So jedenfalls mein Gedanke.

[Patrick M. Hausen]

Wenn ein bösartiger Client dein WLAN-Passwort errät, kann er sich ganz einfach selbst eine IP-Adresse geben, der ganze Aufwand nützt also nichts.

Die Sicherheit steht und fällt mit der WLAN-Verschlüsselung und der Qualität des Passworts - und nur damit.

[ziegler]

Aber der bösartige Client muss dann ja immerhin die MAC Adresse kennen die auf der opnsene im DHCP static mapping erlaubt ist.
Ich mache die opnsense für mich als Hobby zu hause an einem privaten Anschluss mit insgesamt 3 CLients, 2 WLAN und einer per LAN.

An der opnsense habe ich einen AP mit openwrt dran der das WLAN austrahlt. Wenn der bösartige Client das Passwort kennt, kann dieser sich
mit dem AP verbinden. Aber der bösartige Client bekommt dann doch keine IP von der opnsense weil auf der opnsense die MAC Adresse nicht eingertagen ist. Und wenn der bösartige Client sich eine feste IP selber einträgt ist die MAC doch immer noch unbekannt.

Vielleicht denke ich zu kompliziert :-(

[Patrick M. Hausen]

Aber der bösartige Client muss dann ja immerhin die MAC Adresse kennen die auf der opnsene im DHCP static mapping erlaubt ist.

Nö, wozu? Die ist nur dazu da, sich per DHCP eine IP-Adresse zu holen. Wenn ich mich erfolgreich am WLAN angemeldet habe, bekomme ich erst mal keine IP-Adresse, aber dann lese ich eben einfach eine Weile mit, z.B. die ARP-Broadcasts, und dann weiß ich, wie die Adressen in dem Netz lauten.

Und dann stell ich mir selbst statisch eine ein, und kann versuchen, die anderen Clients im WLAN anzugreifen ... die Firewall ist da noch gar nicht involviert.

Aber der bösartige Client bekommt dann doch keine IP von der opnsense weil auf der opnsense die MAC Adresse nicht eingertagen ist. Und wenn der bösartige Client sich eine feste IP selber einträgt ist die MAC doch immer noch unbekannt.

Diese Einstellung sagt nur "gib nur bekannten MACs per DHCP eine Adresse". Nicht "unbekannte MACs dürfen über den AP nicht kommunizieren". Letzteres gibt es nicht. Wer im WLAN drin ist ist drin. Die einzige Hürde ist das Passwort.

Deshalb ist die Einstellung bei der Sense ja auch unter dem DHCP-Server und nicht z.B. bei den Firewall-Einstellungen. Das "Deny unknown" bezieht sich nur auf das DHCP!

Und ganz abgesehen davon, kann sich ein Client auch eine beliebige MAC-Adresse selbst geben.

Also lass es. Nimm ein ordentliches zufällig gewürfeltes Passwort.

[ziegler]

Ok, jetzt wird es mir etwas klarer.
Habe das gerade mal getestet.... auf dem openwrt AP ist der CLient verbunden, hat aber keine IP, so wie erklärt wurde.
Wenn ich den IP Bereich kenne gebe ich mir eine feste IP auf dem Client und ich bin im internen Netz trotzdem drin.

Ok, nehme dann da Deny unknown wieder raus.
Weil wenn das gesetzt ist macht der DHCP Range Bereich ja eigentlich keinen Sinn, oder?
Der DHCP vergibt dann ja keine IP aus dem Range wenn nicht im Static Mapping eingetragen.

Danke für die gute Erklärung :-)

[JeGr]

Ok, nehme dann da Deny unknown wieder raus.
Weil wenn das gesetzt ist macht der DHCP Range Bereich ja eigentlich keinen Sinn, oder?

Genau, denn es gibt ja nur "bekannte" Geräte weil nur noch Geräte mit eingetragener MAC<->IP Definition ein Lease bekommen.


Generell zum Thema Wireless Security ein paar Details:

• Beschränkung auf MAC Adressen erhöht keine Sicherheit
• Beschränkung in DHCP von irgendwas mit IP erhöht keine Sicherheit

Das ist darin begründet, dass WiFi generell ein Broadcast Medium ist. Stelle eine Antenne auf und konfiguriere ein beliebiges Linux mit entsprechenden Tools als Lauscher und du kannst lange genug mithören, dass du garantiert ein paar Clients und deren Interface MAC mitbekommst. Damit hast du eine valide MAC Adresse zum Spoofing. Ein Beschränken auf Geräte mit MAC/static IP ist also nutzlos als Sicherheitsmerkmal, weil die MAC relativ einfach zu bekommen ist. Und WPA2/3 Netze aufzusetzen, dass nur bestimmte MACs sich verbinden dürfen (also noch vor DHCP das Limit auf MACs) bringt aus genau dem gleichen Grund nichts.

Daher sind das alles keine Sicherheitsmerkmale, sondern dienen eher der Kategorisierung/Einordnung in verschiedene Netze (e.g. MACs einer bestimmten IoT SSID zuweisen und die nicht an die normale WiFi SSID ran lassen).

Darum wichtig fürs Verständnis, dass das alles keinerlei Sicherheit bringt. Das einzige was eure WiFi SSID absichert ist bei WPA2/3 der PSK oder ggf. bei WPA2/3 Enterprise dann das User/Passwort Paar via Radius. Alles andere hält keine Nutzer aus dem WLAN fern, es macht den Einstieg nur ein wenig umständlicher.  Das ist genauso wie NAT kein Sicherheitsgewinn, sondern nur Obscurity ;)
(gemeint: interne private Netze vs. public IPs wäre viel sicherer etc.)

Cheers :)