Sichere Router für subnetzgesteuerte Broadcasts für Wake-On-LAN

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Wenn Sie als Übertragungsmethode zum Senden von Reaktivierungspaketen subnetzgesteuerte Broadcasts verwenden, müssen alle beteiligten Router zwischen dem primären Standortserver und den Clientcomputern IP-gesteuerte Broadcasts zulassen. Um die Sicherheitsrisiken bei dieser Konfiguration möglichst gering zu halten, führen Sie zusätzlich die folgenden Konfigurationsschritte aus:

  1. Konfigurieren Sie in Configuration Manager 2007 Wake-On-LAN so, dass eine nicht standardmäßige Portnummer verwendet wird.

  2. Konfigurieren Sie Router so, dass nur IP-gesteuerte Broadcasts des Standortservers zugelassen werden. Verwenden Sie hierzu die in Configuration Manager 2007 konfigurierte nicht standardmäßige Portnummer.

noteHinweis
Das Sicherheitsrisiko bei subnetzgesteuerten Broadcasts besteht darin, dass ein Angreifer permanent ICMP-Echoanforderungen (Internet Control Message Protocol) von einer gefälschten Quelladresse an die gesteuerte Broadcastadresse sendet könnte. Dies würde dazu führen, dass alle Hosts Antworten an diese Quelladresse senden. Diese Art von DoS-Angriff wird allgemein als „Smurf Attack“ bezeichnet und üblicherweise dadurch verhindert, dass keine subnetzgesteuerten Broadcasts zugelassen werden.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: