34
Theoretisch komplettes Netzwerk lahmlegen durch Fake-Router?
Hallo,
was ich mich schon immer gefragt habe ist folgende einfache Frage:
Wenn jemand ein eigenen PC in die Firma mitbringt oder sonst wohin wo er einen LAN Anschluss hat und eine IP zugewiesen bekommt. So kann er ja auch hingehen, sollte es keine IP Filterungen oder Beschränkungen in dem Netz geben und sich einfach eine feste IP zuweisen, da er ja lokaler Administrator von seinem Rechner ist.
Nun nehmen wir an er nimmt die IP 192.168.1.1, welche in dem Netz der Hauptrouter wäre und gleichzeitig das Gateway über dem alle Rechner surfen. Dann würden die Rechner den Router nicht mehr auflösen können und hätten keine Internetverbindung und wenn auf dem Router noch mehr geschalten ist, im schlimmsten Fall garkein funktionierendes Netz mehr.
Ist dies so einfach möglich, könnte so ein "Laie" wirklich einfach soviel Unheil in einem Netz verursachen?
Ich habe schon einmal erlebt, das ein AccessPoint auf die Werkseinstellungen von einem Mitarbeiter gesetzt wurde und der dann dei 192.168.1.1 IP hatte und alle Rechner über ihn routen wollten und es ging dann garnichts mehr.
Ist es also wirklich so einfach möglich ein Netz lahm zu legen? Wie kann man dies unterbinden?
was ich mich schon immer gefragt habe ist folgende einfache Frage:
Wenn jemand ein eigenen PC in die Firma mitbringt oder sonst wohin wo er einen LAN Anschluss hat und eine IP zugewiesen bekommt. So kann er ja auch hingehen, sollte es keine IP Filterungen oder Beschränkungen in dem Netz geben und sich einfach eine feste IP zuweisen, da er ja lokaler Administrator von seinem Rechner ist.
Nun nehmen wir an er nimmt die IP 192.168.1.1, welche in dem Netz der Hauptrouter wäre und gleichzeitig das Gateway über dem alle Rechner surfen. Dann würden die Rechner den Router nicht mehr auflösen können und hätten keine Internetverbindung und wenn auf dem Router noch mehr geschalten ist, im schlimmsten Fall garkein funktionierendes Netz mehr.
Ist dies so einfach möglich, könnte so ein "Laie" wirklich einfach soviel Unheil in einem Netz verursachen?
Ich habe schon einmal erlebt, das ein AccessPoint auf die Werkseinstellungen von einem Mitarbeiter gesetzt wurde und der dann dei 192.168.1.1 IP hatte und alle Rechner über ihn routen wollten und es ging dann garnichts mehr.
Ist es also wirklich so einfach möglich ein Netz lahm zu legen? Wie kann man dies unterbinden?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 295807
Url: https://administrator.de/contentid/295807
Printed on: April 25, 2024 at 05:04 o'clock
34 Comments
Latest comment
Moin,
im Prinzip nur wie von Dir beschrieben mit einer IP-Filterung auf Switch-Port-Ebene.
Mit den IP-Einstellungen kann man ganz viel unheil treiben.
PCs sind was das angeht einfach zu gutgläubig.
Besonders PCs die Ihre IP per DHCP bekommen haben.
Denen kann ein Bösewicht auch ein Update schicken für IP, DNS und Gateway.
In ungemanageden Netzwerkzwerken ist es ein Krampf Geräte nach IP zu finden.
Siehe z.B.
http://www.securityartwork.es/2013/01/30/defenses-against-dhcp-attacks/
Viele Grüße
Stefan
im Prinzip nur wie von Dir beschrieben mit einer IP-Filterung auf Switch-Port-Ebene.
Mit den IP-Einstellungen kann man ganz viel unheil treiben.
PCs sind was das angeht einfach zu gutgläubig.
Besonders PCs die Ihre IP per DHCP bekommen haben.
Denen kann ein Bösewicht auch ein Update schicken für IP, DNS und Gateway.
In ungemanageden Netzwerkzwerken ist es ein Krampf Geräte nach IP zu finden.
Siehe z.B.
http://www.securityartwork.es/2013/01/30/defenses-against-dhcp-attacks/
Viele Grüße
Stefan
Hi,
jau, das kann so klappen in einfachen Netzen.
Und da der Gateway im eigenen Netz sein muss, kann das jeder mit Admin-Rechten machen.
Es reicht schon ein zweiter DHCP-Router das macht viel Unheil.
Schützen kann man sich dagegen zwar, aber das ist doch recht viel Aufwand.
Z.b. mit 802.1x Authentifizierung. Nur müssen das alle Geräte können oder per Hand freigeben.
Also, ja es ist möglich, schützen aber eben auch.
VG,
Deepsys
jau, das kann so klappen in einfachen Netzen.
Und da der Gateway im eigenen Netz sein muss, kann das jeder mit Admin-Rechten machen.
Es reicht schon ein zweiter DHCP-Router das macht viel Unheil.
Schützen kann man sich dagegen zwar, aber das ist doch recht viel Aufwand.
Z.b. mit 802.1x Authentifizierung. Nur müssen das alle Geräte können oder per Hand freigeben.
Also, ja es ist möglich, schützen aber eben auch.
VG,
Deepsys
Am schönsten ist es doch eh wenn ein Mitarbeiter einen AP-Router mitbringt.
Damit kann er dann selber mit seinen privaten Geräten einfacher ins Internet.
Zusätzlich killt der eingebaute DHCP-Server dann das halbe Netzwerk nach und nach.
Und das WLAN ist natürlich mit WEP verschlüsselt.
Damit kann er dann selber mit seinen privaten Geräten einfacher ins Internet.
Zusätzlich killt der eingebaute DHCP-Server dann das halbe Netzwerk nach und nach.
Und das WLAN ist natürlich mit WEP verschlüsselt.
1
Hallo,
AccessPoint sollte man mit Passwort schützen, das auser Admin und GF keiner kennt.
Ebenso Router und alle Netzwerkgeräte.
und die IP 001, ist wenn vorhanden nur im Router änderbar , wenn die vorhanden gibts keine 2.
Du kommst nicht mit 2 x der selben IP in ein Netz.
Ausser,
du nimmst der Router vom Netz und spielst den Router mit deinen PC
Darum das Ding in Raum stellen, und zusperren.
Und das keiner etwas ins Netz bringen kann das da nicht reingehört , sollte man sein Netzwerk im Auge haben .
Kannst das auch mit V- Lan lösen, so kommen die Client mit DHCP ins Netz aber nicht ins Hauptnetz.
Dann haben die ihren Bereich, sollte da was sein, ist es eben nur ein Bereicht und nicht das komplette Netz.
AccessPoint sollte man mit Passwort schützen, das auser Admin und GF keiner kennt.
Ebenso Router und alle Netzwerkgeräte.
und die IP 001, ist wenn vorhanden nur im Router änderbar , wenn die vorhanden gibts keine 2.
Du kommst nicht mit 2 x der selben IP in ein Netz.
Ausser,
du nimmst der Router vom Netz und spielst den Router mit deinen PC
Darum das Ding in Raum stellen, und zusperren.
Und das keiner etwas ins Netz bringen kann das da nicht reingehört , sollte man sein Netzwerk im Auge haben .
Kannst das auch mit V- Lan lösen, so kommen die Client mit DHCP ins Netz aber nicht ins Hauptnetz.
Dann haben die ihren Bereich, sollte da was sein, ist es eben nur ein Bereicht und nicht das komplette Netz.
Moin,
das ist aber so nicht ganz richtig.:
Wer die Standardkennwörter nimmt, ist es selber schuld.
Neuere Windows erkennen das zwar, aber es gibt nicht nur Windows und die Erkennung kann man abschalten.
Kleiner Router mit DHCP und der IP vom Standardgateway ist schick
Das kleine arpwatch kann da schon viel finden.
Und wo ist das Standartgateway? Immer im gleichen Subnetz ...
Für eine anderes VLAN musst du routen und wenn man die IP vom Gateway nimmt ...
VG,
Deepsys
das ist aber so nicht ganz richtig.:
AccessPoint sollte man mit Passwort schützen, das auser Admin und GF keiner kennt.
Ebenso Router und alle Netzwerkgeräte.
Es ging um Geräte die einer mitbringt, nicht die von der Firma.Ebenso Router und alle Netzwerkgeräte.
Wer die Standardkennwörter nimmt, ist es selber schuld.
und die IP 001, ist wenn vorhanden nur im Router änderbar , wenn die vorhanden gibts keine 2.
Du kommst nicht mit 2 x der selben IP in ein Netz.
Doch, klar geht das. Gebe einem Geräte eine feste IP und hänge es rein.Du kommst nicht mit 2 x der selben IP in ein Netz.
Neuere Windows erkennen das zwar, aber es gibt nicht nur Windows und die Erkennung kann man abschalten.
Kleiner Router mit DHCP und der IP vom Standardgateway ist schick
du nimmst der Router vom Netz und spielst den Router mit deinen PC
Nö, es reicht das dein Rechner der Router wird.Darum das Ding in Raum stellen, und zusperren.
Hilft aber auch nicht ...Und das keiner etwas ins Netz bringen kann das da nicht reingehört , sollte man sein Netzwerk im Auge haben .
Jo, hat Vorteile.Das kleine arpwatch kann da schon viel finden.
Kannst das auch mit V- Lan lösen, so kommen die Client mit DHCP ins Netz aber nicht ins Hauptnetz.
???Und wo ist das Standartgateway? Immer im gleichen Subnetz ...
Für eine anderes VLAN musst du routen und wenn man die IP vom Gateway nimmt ...
VG,
Deepsys
Hi,
ein primitiver Ansatz:
Das Risiko mit den doppelten Adressen durch Zurücksetzen diverser Geräte auf Werkseinstellungen kann man allein dadurch minimieren, dass man eben kein Netz aus dem Bereich der üblichen Verdächtigen verwendet. Also statt 192.168.x.y/24 besser z.B. 172.16.x.y/24. Nach meiner Erfahrung sind die Adressen aus den Werkseinstellungen solcher Geräte i.A. im 192.168....
Das schützt natürlich nicht davor, dass dann so ein Geräte einen DHCP-Dienst startet ....
E.
ein primitiver Ansatz:
Das Risiko mit den doppelten Adressen durch Zurücksetzen diverser Geräte auf Werkseinstellungen kann man allein dadurch minimieren, dass man eben kein Netz aus dem Bereich der üblichen Verdächtigen verwendet. Also statt 192.168.x.y/24 besser z.B. 172.16.x.y/24. Nach meiner Erfahrung sind die Adressen aus den Werkseinstellungen solcher Geräte i.A. im 192.168....
Das schützt natürlich nicht davor, dass dann so ein Geräte einen DHCP-Dienst startet ....
E.
So kann er ja auch hingehen, sollte es keine IP Filterungen oder Beschränkungen in dem Netz geben und sich einfach eine feste IP zuweisen, da er ja lokaler Administrator von seinem Rechner ist.
Ja, das ist richtig ! Betonung liegt hier aber auf "keine IP Filterungen oder Beschränkungen in dem Netz" !Dann würden die Rechner den Router nicht mehr auflösen können
Jein....Die Rechner machen ein ARP Request um eine Layer 2 Kommunikation einzuleiten. Hier kommt es jetzt zu einer Race Condition im Netz, wer schneller antwortet, der PC oder der Router. Es kann also der eine oder der andere gewinnen...
Durch die doppelten ARP Replies kommt es aber zu einer Warnmeldung auf dem Router und auch auf dem PC das es eine IP Adress Dopplung gibt.
Das Netz wäre aber teilweise lahmgelegt...das ist richtig !
Ist dies so einfach möglich, könnte so ein "Laie" wirklich einfach soviel Unheil in einem Netz verursachen?
Ja, das ist so möglich.Allerdings ist die Schlussfolgerung daraus von dir recht naiv, denn der eigentliche Laie ist hier NICHT der Anwender sondern der Admin.
Ein verantwortungsvoller Admin arbeitet im Netz mit 802.1x Port Authentication. ARP Spoofing Detection und DHCP Snooping um sowas sicher zu verhindern.
IP hatte und alle Rechner über ihn routen wollten und es ging dann garnichts mehr.
Auch hier wieder eine technsich fehlerhafte Schlussfolgerung denn über einen AP wird niemals geroutet ! Jeder nur halbwegs kundige Netzwerker wiess das APs ausschliesslich als simple Bridge arbeiten.Die Management IP Adresse des APs antwortet aber wieder auf ARPs und so nimmt dann das Unglück wieder seinen Lauf.
Wie kann man dies unterbinden?
Siehe oben...Ein verantwortungsvoller Admin arbeitet im Netz mit 802.1x Port Authentication. ARP Spoofing Detection und DHCP Snooping um sowas sicher zu verhindern.
Hallo,
Antworten zu deiner Frage hast du ja genug bekommen, da alle in dieselbe Kerbe schlagen sage ich dazu auch nicht noch mehr....
Aber, eine Frage (okay, es sind 3 geworden) sei erlaubt....
Bist du betroffener einer solchen Aktion?
Willst du das ausprobieren?
Wissendurst?
Brammer
Antworten zu deiner Frage hast du ja genug bekommen, da alle in dieselbe Kerbe schlagen sage ich dazu auch nicht noch mehr....
Aber, eine Frage (okay, es sind 3 geworden) sei erlaubt....
Bist du betroffener einer solchen Aktion?
Willst du das ausprobieren?
Wissendurst?
Brammer
In solchen Firmen unterschreibt normalerweise jeder Mitarbeiter eine IT Sicherheitsanweisung und Policy.
In dieser wird der Mitarbeiter genau aufmerksam drauf gemacht, das bei einem Ihm verursachten Ausfall, er alleine dafür Haftbar gemacht werden kann.
(kompletter Stillstand der Frima) Ich kenn das auch nur so.
Unterbinden kannst du sowas nur mit Endzugangssicherheit wie hier schon erwähnt wobei z.B. 802.1x auf MAC Basis alleine kein Schutz ist, da die MAC fälschen für jemand mit ein bisschen Google Know-How kein Problem darstellt. Es sollte auf jedenfall noch eine Netztrennung statt finden, dann fällt zum Beispiel nur das Default V-Lan aus oder eben das Druckernetzwerk aber nicht alle Netzwerke.
Wenn du ganz auf Sicher gehn willst dann 802.1x mit MAC und User identifikation.
In dieser wird der Mitarbeiter genau aufmerksam drauf gemacht, das bei einem Ihm verursachten Ausfall, er alleine dafür Haftbar gemacht werden kann.
(kompletter Stillstand der Frima) Ich kenn das auch nur so.
Unterbinden kannst du sowas nur mit Endzugangssicherheit wie hier schon erwähnt wobei z.B. 802.1x auf MAC Basis alleine kein Schutz ist, da die MAC fälschen für jemand mit ein bisschen Google Know-How kein Problem darstellt. Es sollte auf jedenfall noch eine Netztrennung statt finden, dann fällt zum Beispiel nur das Default V-Lan aus oder eben das Druckernetzwerk aber nicht alle Netzwerke.
Wenn du ganz auf Sicher gehn willst dann 802.1x mit MAC und User identifikation.
@aqui
das ist 1 a wie du das beschreibst,
Aber:
dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Das ist bei vielen Firmen der Schwachpunkt, habe es selbst im Aussendienst ausgenutzt.
Admin war extern, war nicht erreichbar , intern konnte keiner eine IP für ext. Techniker freigeben.
Was macht man da ? übernimmt den Port vom Drucker flugs ist man drinn.
Da kommt nicht mal eine Cisco die den Port verwaltet mit.
Sicher ist man da nur mit 10 oder 100 M/bit unterwegs wenn die so konfig sind.
Aber es geht.
Hatte das an UNI's , Automobil Firmen und Öffentlichen Einrichtungen so gemacht.
Die einzigen die gut abgesichert waren, ist die Entwicklungsabteilung eines Autoherstellers .
Aber auch nur, weil die beim Kopierer die Funktion aud deaktiv hatten .
Alo wenn mal ein ext. Techniker kommt der Drucker repariert oder Kopierer, da 2 Augen auf Ihn werfen
Dazu gibts auch Artikel :
m Sommer 2005 hat Steve Riley von Microsoft einen Artikel veröffentlicht, in dem er eine ernsthafte Sicherheitslücke im 802.1X-Protokoll aufzeigte, die auf einem Man-in-the-middle-Angriff beruht. Zusammengefasst basiert die Lücke auf der Tatsache, dass per 802.1X nur der Anfang der Verbindung gesichert wird, dass es aber nach der Authentifizierung potenziellen Angreifer möglich ist, die geöffnete Verbindung zu eigenen Zwecken zu missbrauchen, sofern es dem Angreifer gelingt, sich physisch in die Verbindung einzuschleusen. Dazu kann ein Arbeitsgruppen-Hub mit authentifiziertem Rechner oder ein zwischen authentifiziertem Rechner und abgesichertem Port geschalteter Laptop genutzt werden. Riley schlägt für kabelbasierende Netzwerke die Verwendung von IPsec oder eine Kombination aus IPsec und 802.1X vor.[5]
das ist 1 a wie du das beschreibst,
Aber:
dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Das ist bei vielen Firmen der Schwachpunkt, habe es selbst im Aussendienst ausgenutzt.
Admin war extern, war nicht erreichbar , intern konnte keiner eine IP für ext. Techniker freigeben.
Was macht man da ? übernimmt den Port vom Drucker flugs ist man drinn.
Da kommt nicht mal eine Cisco die den Port verwaltet mit.
Sicher ist man da nur mit 10 oder 100 M/bit unterwegs wenn die so konfig sind.
Aber es geht.
Hatte das an UNI's , Automobil Firmen und Öffentlichen Einrichtungen so gemacht.
Die einzigen die gut abgesichert waren, ist die Entwicklungsabteilung eines Autoherstellers .
Aber auch nur, weil die beim Kopierer die Funktion aud deaktiv hatten .
Alo wenn mal ein ext. Techniker kommt der Drucker repariert oder Kopierer, da 2 Augen auf Ihn werfen
Dazu gibts auch Artikel :
m Sommer 2005 hat Steve Riley von Microsoft einen Artikel veröffentlicht, in dem er eine ernsthafte Sicherheitslücke im 802.1X-Protokoll aufzeigte, die auf einem Man-in-the-middle-Angriff beruht. Zusammengefasst basiert die Lücke auf der Tatsache, dass per 802.1X nur der Anfang der Verbindung gesichert wird, dass es aber nach der Authentifizierung potenziellen Angreifer möglich ist, die geöffnete Verbindung zu eigenen Zwecken zu missbrauchen, sofern es dem Angreifer gelingt, sich physisch in die Verbindung einzuschleusen. Dazu kann ein Arbeitsgruppen-Hub mit authentifiziertem Rechner oder ein zwischen authentifiziertem Rechner und abgesichertem Port geschalteter Laptop genutzt werden. Riley schlägt für kabelbasierende Netzwerke die Verwendung von IPsec oder eine Kombination aus IPsec und 802.1X vor.[5]
Hallo Zusammen
Wenn auf dem Port des Drucker 802.1x Authentication aktiviert ist, wird von deinem Client eine Authentifizierung verlangt und du hast die notwendigen Credentials/Zertifikate nicht - somit bist du bestenfalls im Quarantäne LAN.
Die Übernahme der IP funktioniert auf nur wenn ARP Inspection/DHCP Snooping nicht konfiguriert ist. Ansonsten kommst du mit einer ungültigen MAC/IP Kombination am Switch an, welcher daraufhin deine Pakete dropped.
Wie @aqui schon gesagt hat kann man solche Dinge effektiv unterbinden.
mfg
Zitat von @Bingo61:
@aqui
das ist 1 a wie du das beschreibst,
Aber:
dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Das ist falsch.@aqui
das ist 1 a wie du das beschreibst,
Aber:
dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Wenn auf dem Port des Drucker 802.1x Authentication aktiviert ist, wird von deinem Client eine Authentifizierung verlangt und du hast die notwendigen Credentials/Zertifikate nicht - somit bist du bestenfalls im Quarantäne LAN.
Die Übernahme der IP funktioniert auf nur wenn ARP Inspection/DHCP Snooping nicht konfiguriert ist. Ansonsten kommst du mit einer ungültigen MAC/IP Kombination am Switch an, welcher daraufhin deine Pakete dropped.
Wie @aqui schon gesagt hat kann man solche Dinge effektiv unterbinden.
mfg
dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Falsch ! und zeigt das du wenig Netzwerk Kenntniss hast, sorry.Der Drucker wird natürlich über seine Mac Adresse per .1x authentisiert und aus die Maus....
OK, wenn man fair ist kann man die Mac Adresse faken und kommt trotzdem rein.
Die Fähigkeiten das zu tun übersteigt aber die eines durchschnittlichen DAUs erheblich und wäre auch ein Aufwand der große kriminelle Energie erfordert.
Was dann bei korrekter Firmen Sicherheits Policy (siehe oben) ein fristloser Kündigungsgrund wäre.
Firmen die es ganz richtig machen sichern sich dagegen auch mit einem IDS/IPS System ab, was aufgrund des dann nicht mehr Drucker spezifischen IP Flows von diesem Port Alarm schlägt und den in den Error Disable Mode versetzt per SNMP.
Also auch das kann man wasserdicht machen. Deine Schlussfolgerungen sind also mal wieder nicht zuende gedacht.
Von der alten Security Lücke bei .1x mal nicht zu reden, die haben alle (renomierten) Hersteller längst gefixt.
Zitat von @aqui:
Ein verantwortungsvoller Admin arbeitet im Netz mit 802.1x Port Authentication. ARP Spoofing Detection und DHCP Snooping um sowas sicher zu verhindern.
Ein verantwortungsvoller Admin arbeitet im Netz mit 802.1x Port Authentication. ARP Spoofing Detection und DHCP Snooping um sowas sicher zu verhindern.
Und hat eine Cat9 als LART bereitliegen.
lks
Man beachte die Stecker am Ende die machen richtig Aua !! 
Ja. Das heißt dann sich auch richtig: Cut? Nein!
Zitat von @aqui:
Nöö, es gibt etliche Drucker älterer Bauart die eben kein 802.1x können, aber noch schön drucken dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Falsch ! und zeigt das du wenig Netzwerk Kenntniss hast, sorry.Und die müsstet du ohne 802.1x freigeben und schon bist du wieder drin (wenn diese Dinger dann nicht in einem eigenen VLAN sind).
So oder so, ich finde sein Scenario wird bei fast allen Firmen ohne größere IT-Abteilung funkionieren
Zitat von @Deepsys:
Und die müsstet du ohne 802.1x freigeben und schon bist du wieder drin (wenn diese Dinger dann nicht in einem eigenen VLAN sind).
Wenn ich in einem Netzwerk 802.1x einführe, würde ich die Ports für diese Geräte zumindest anhand der MAC freischalten und nicht einfach ohne irgendwas. Bzw. Drucker kommen aus Prinzip in ein VLAN wo nur Drucken erlaubt ist und sonst nichts.Zitat von @aqui:
Nöö, es gibt etliche Drucker älterer Bauart die eben kein 802.1x können, aber noch schön drucken dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Falsch ! und zeigt das du wenig Netzwerk Kenntniss hast, sorry.Und die müsstet du ohne 802.1x freigeben und schon bist du wieder drin (wenn diese Dinger dann nicht in einem eigenen VLAN sind).
So oder so, ich finde sein Scenario wird bei fast allen Firmen ohne größere IT-Abteilung funkionieren
Leider...Womit man wieder sieht das IT Security nicht die notwendige Aufmerksamkeit bekommt, bis es zu einem Data Breach kommt.
Nöö, es gibt etliche Drucker älterer Bauart die eben kein 802.1x können, aber noch schön drucken
Lieber DeepsysBitte tue uns allen den Gefallen und lese die Thread Antworten komplett und mit Tiefsinn. Dort steht doch Mac Passthrough !!
Sprich man macht eine .1x Authentisierung auf Basis der Mac Adresse mit oder ohne dyn. VLAN Zuweisung. Damit kann man auch ein 30 Jahres altes Endgerät authentisieren.
Also, mal so rein kulturell betrachtet hat ein Mitarbeiter nicht "mal eben ohne Rücksprache" einen AccessPoint oder einen Drucker "zurückzusetzen".
Das Gerät kommt vom Netz, wird konfiguriert und kommt dann ins Netz zurück.
Abgesehen davon behaupte ich mal, dass nahezu alle Access Points und Drucker nach einem Reset erst einmal als DHCP-Client funktionieren.
Und überhaupt: Wer ans Kabel kommt, kann immer irgendwie Blödsinn bauen. Die Frage wäre eher, welchen Aufwand man treibt, um das zu verhindern. So oder so: "In der EDV geht es immer eine Spur schneller, sicherer und zuverlässiger". Die Lösung liegt im Kompromiss.
Das Gerät kommt vom Netz, wird konfiguriert und kommt dann ins Netz zurück.
Abgesehen davon behaupte ich mal, dass nahezu alle Access Points und Drucker nach einem Reset erst einmal als DHCP-Client funktionieren.
Und überhaupt: Wer ans Kabel kommt, kann immer irgendwie Blödsinn bauen. Die Frage wäre eher, welchen Aufwand man treibt, um das zu verhindern. So oder so: "In der EDV geht es immer eine Spur schneller, sicherer und zuverlässiger". Die Lösung liegt im Kompromiss.
Wer ans Kabel kommt, kann immer irgendwie Blödsinn bauen. Die Frage wäre eher, welchen Aufwand man treibt, um das zu verhindern.
Das ist der entscheidende Satz ! Vielleicht sollte man noch hinzufügen wie wichtig einem Security im Netz ist...
Macht es eigentlich Sinn, einen DC als Gateway dazwischenzuhängen?
Ich stelle mir gerade vor, vom DC zum Backbone ein VLAN zu ziehen und dann via DHCP den DC als Gateway zu verteilen.
Allerdings kann hier dann auch ein wilder DHCP-Server reingrätschen, ein anderes Gerät die IP vom DC erhalten und "eigentlich" hat ein DC auch schon so genügend Aufgaben zu erledigen...?!?
Ich hatte übrigens schon Kunden, die haben - zumindest in einigen Büros - die Patchkabel mit Sekundenkleber in den Unterputzdosen fixiert. Afaik gibt es auch abschließbare Dosen. Wohl auch nicht ohne Grund...
Ich stelle mir gerade vor, vom DC zum Backbone ein VLAN zu ziehen und dann via DHCP den DC als Gateway zu verteilen.
Allerdings kann hier dann auch ein wilder DHCP-Server reingrätschen, ein anderes Gerät die IP vom DC erhalten und "eigentlich" hat ein DC auch schon so genügend Aufgaben zu erledigen...?!?
Ich hatte übrigens schon Kunden, die haben - zumindest in einigen Büros - die Patchkabel mit Sekundenkleber in den Unterputzdosen fixiert. Afaik gibt es auch abschließbare Dosen. Wohl auch nicht ohne Grund...
Auch zum Thema habe ich was passendes Parat. Ein guter Kumpel von mir hat eine Sehschwäche und sieht nur 20% weshalb er mit seinem Privatlaptop in einem Lagodidact Schulnetz arbeitet. Jetzt hat irgendein Dummdödel das Lankabel vom Laptop 2x in den gleichen Switch gesteckt. Daraufhin war der Admin 3 Stunden damit beschäftig Packete auszulesen. Er hat es dann auf die Fachinformatiker Systemintegration 1 Lehrjahr (also uns) geschoben da die PCs im falschen Raum in der Software eingetragen waren. In der Software stand Störung in Raum 12 dabei war "die störung" in Raum 11!
Wie willst Du denn ein LAN-Kabel von einem Laptop zweimal in einen Switch stecken? Das Ding hat doch nur zwei Enden?!?
Wenn der Laptop weg ist was bleibt eine zweite Schnittstelle das hat der Dödel in den Switch gesteckt
Also ein Loop!
Hi
erm, wenn man das nicht passend konfiguriert hat durch den Loop das Netz lahmgelegt wird, dann sind grundsätzliche Design- / Configfehler im Netz.
Ein nettes aber kostspieliges Tools das einem neben 802.1x weitere Sicherheitstechnik mitbringt wäre ARPGuard, ist aber recht teuer (leider), damit kann die Authentifizierung und das Handling von unbekannten Geräte sehr schön umsetzen.
Gruß
@clSchak
erm, wenn man das nicht passend konfiguriert hat durch den Loop das Netz lahmgelegt wird, dann sind grundsätzliche Design- / Configfehler im Netz.
Ein nettes aber kostspieliges Tools das einem neben 802.1x weitere Sicherheitstechnik mitbringt wäre ARPGuard, ist aber recht teuer (leider), damit kann die Authentifizierung und das Handling von unbekannten Geräte sehr schön umsetzen.
Gruß
@clSchak
Guten Morgen
Ich kenne es aber auch wie rocco61, das diese genau nicht gemacht wurde.
Vor allen in Firmen in denen die IT nicht die Drucker betreut, sondern eher der Hausmeister Facility Manager. (Ja, erlebt).
Aber eigentlich sind wir hier durch und ich schließe auch mit dem Satz von FA-jka und aqui ab:
Schönen ruhigen Tag allen hier ..... heute ist Freitag
Zitat von @aqui:
Bitte tue uns allen den Gefallen und lese die Thread Antworten komplett und mit Tiefsinn. Dort steht doch Mac Passthrough !!
Sprich man macht eine .1x Authentisierung auf Basis der Mac Adresse mit oder ohne dyn. VLAN Zuweisung. Damit kann man auch ein 30 Jahres altes Endgerät authentisieren.
Ja, wenn man das so macht hast du natürlich völlig Recht.Bitte tue uns allen den Gefallen und lese die Thread Antworten komplett und mit Tiefsinn. Dort steht doch Mac Passthrough !!
Sprich man macht eine .1x Authentisierung auf Basis der Mac Adresse mit oder ohne dyn. VLAN Zuweisung. Damit kann man auch ein 30 Jahres altes Endgerät authentisieren.
Ich kenne es aber auch wie rocco61, das diese genau nicht gemacht wurde.
Vor allen in Firmen in denen die IT nicht die Drucker betreut, sondern eher der
Aber eigentlich sind wir hier durch und ich schließe auch mit dem Satz von FA-jka und aqui ab:
Wer ans Kabel kommt, kann immer irgendwie Blödsinn bauen. Die Frage wäre eher, welchen Aufwand man treibt, um das zu verhindern
Das ist der entscheidende Satz !
Schönen ruhigen Tag allen hier ..... heute ist Freitag
Vor allen in Firmen in denen die IT nicht die Drucker betreut, sondern eher der Hausmeister. (Ja, erlebt).
Das ist überhaupt nicht unüblich. Drucker laufen in vielen Büroumgebungen unter "Facility Management". Letzters betrachtet Drucker i.A. als technisches Gerät wie jedes andere auch und behandelt es auch so. Solange im Fahrstuhl nur ne Lampe gewechselt werden muss, muss dafür nicht extra die Wartungsfima kommen. So auch bei Drucker. Tonerwechsel, Papierstau, Betreuung/Begleitung der Wartungsfirma vor Ort, der rein physische Austausch von Geräten - das machen alles diese Techniker des FM. Nur wir nennen diese gerne pauschal und oft abwertend "Hausmeister".
Diese "Hausmeister" sind übrigends die gleichen die beim Augenarzt die Augenlaser justieren.
Der Arzt drückt nur noch auf einen Knopf....
Ein Hoch auf die Hausmeister.
Der Arzt drückt nur noch auf einen Knopf....
Ein Hoch auf die Hausmeister.
Jetzt hat irgendein Dummdödel das Lankabel vom Laptop 2x in den gleichen Switch gesteckt. Daraufhin war der Admin 3 Stunden damit beschäftig Packete auszulesen
Sorry aber der Riesendummdödel ist hier der Netzwerk Admin. Scheinbar hat der keinerlei Ahnung, denn auch ein Azubi im ersten Lehrjahr weiss das man auf Netzen bzw. Switches immer Spanning Tree aktiviert.Das hätte dann diesen "Dummdödel Fehler" sicher verhindert.
Das dann noch auf die Kollegen zu schieben ist dann schon dummdreist. Muss man wohl nicht mehr weiter kommentieren solche grenzenlose Inkompetenz dieses "Admins" !
Was heisst den Admin der ist Lehrer und macht das Nebenher.
SRHK ist besser gesichert.
Und ELO-IT Auch.
SRHK ist besser gesichert.
Und ELO-IT Auch.
Gerade ein Lehrer sollte solche simplen Banalitäten kennen wie ihm Schüler das Netzwerk sabotieren können und er es mit einem simplen Mausklick sicher verhindern kann.
Spanning Tree ist so wie das kleine Einmaleins beim Mathelehrer...das sollte der auch mindestens drauf haben !
SRHP + ELO-IT = Bahnhof oder was ist das kryptisches ?
Spanning Tree ist so wie das kleine Einmaleins beim Mathelehrer...das sollte der auch mindestens drauf haben !
SRHP + ELO-IT = Bahnhof oder was ist das kryptisches ?
SRHK und ELO IT sind die Domains an dem die Rechner hängen
Dafür gibts wieder die neunschwänzige vom Kollgegen LKS oben....
Die Antwort wie man eine Domain dann "besser" sichert bist du uns ja noch schultig. "Sichern" per se ist ja ein recht weitläufiger Begriff der ALLES in der IT umfasst.
Kann man dann nur hoffen das der jetzt wenigstens STP aktiviert haben damits nicht wieder nen Dummdödel Gau gibt...
Die Antwort wie man eine Domain dann "besser" sichert bist du uns ja noch schultig. "Sichern" per se ist ja ein recht weitläufiger Begriff der ALLES in der IT umfasst.
Kann man dann nur hoffen das der jetzt wenigstens STP aktiviert haben damits nicht wieder nen Dummdödel Gau gibt...
