7
Betriebsfremde Laptops - MAC sperren?
Hallo zusammen,
wir planen unser Netzwerk umzustellenen. In Zukunft wird ein DHCP-Server in Betrieb gehen. Für die Clients möchten wir die Adressen reservieren. Betriebsfremde PCs (Laptops) sollen nicht ohne Weiteres (d.h. ohne unser Wissen) ins Netz können, das einstecken in gepatchte Netzwerkdosen können wir aber wohl nicht verhindern.
Es kommt bei uns aber relativ oft vor, dass betriebsfremde Laptops ins Netz kommen. Wir möchten dabei verhindern, dass die "Gast-User" mit einer selbst eingestellten, festen IP-Adresse (die dann in unserem IP-Bereich liegt) unseren Netzwerkverkehr stören (durch doppelte IP-Adressen im Netz). Wie läßt sich das anstellen? Müssen wir auf den Switchen unbekannte MAC-Adressen vom Netz sperren?
Bin für jeden Tipp dankbar!
Alhambra
wir planen unser Netzwerk umzustellenen. In Zukunft wird ein DHCP-Server in Betrieb gehen. Für die Clients möchten wir die Adressen reservieren. Betriebsfremde PCs (Laptops) sollen nicht ohne Weiteres (d.h. ohne unser Wissen) ins Netz können, das einstecken in gepatchte Netzwerkdosen können wir aber wohl nicht verhindern.
Es kommt bei uns aber relativ oft vor, dass betriebsfremde Laptops ins Netz kommen. Wir möchten dabei verhindern, dass die "Gast-User" mit einer selbst eingestellten, festen IP-Adresse (die dann in unserem IP-Bereich liegt) unseren Netzwerkverkehr stören (durch doppelte IP-Adressen im Netz). Wie läßt sich das anstellen? Müssen wir auf den Switchen unbekannte MAC-Adressen vom Netz sperren?
Bin für jeden Tipp dankbar!
Alhambra
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 135601
Url: https://administrator.de/contentid/135601
Printed on: April 19, 2024 at 01:04 o'clock
7 Comments
Latest comment
Hallo,
du müsstest für jede DHCP IP Adresse eine MAC hinterlegen am DHCP Server. Dann ist der DHCP Server ab Sinnlos, dann würd ich lieber gleich feste IP's vergeben. Ansonsten gibts glaube ich noch RADIUS Server, der macht das auch aber ich vermute nur mit Zertifikaten.
Gruß
du müsstest für jede DHCP IP Adresse eine MAC hinterlegen am DHCP Server. Dann ist der DHCP Server ab Sinnlos, dann würd ich lieber gleich feste IP's vergeben. Ansonsten gibts glaube ich noch RADIUS Server, der macht das auch aber ich vermute nur mit Zertifikaten.
Gruß
Die einzig sichere Methode bei kabelgebundenen Netzwerken ist Domain Isolation oder VPN.
Alles andere ist lustige Bastelei, die man in < 5 Minuten umgehen kann!
Alles andere ist lustige Bastelei, die man in < 5 Minuten umgehen kann!
Moin,
Entweder jedem Port fest eine MAC zuweisen, die "darf"
oder
802.11x benutzen
oder
Switches mit NAC verwenden (Enterasys, Cisco)
lg,
Slainte
Müssen wir auf den Switchen unbekannte MAC-Adressen vom Netz sperren?
Ja, nur am Switch bekommst Du das Problem in den Griff.Entweder jedem Port fest eine MAC zuweisen, die "darf"
oder
802.11x benutzen
oder
Switches mit NAC verwenden (Enterasys, Cisco)
lg,
Slainte
Hallo alhambra,
wir haben das gleiche Ziel, nur vertrauenswürdige Rechner (anhand der MAC-Adresse) in unser Produktivnetz zu lassen und alle anderen nur in das Gastnetzwerk.
Wir haben dafür ein Produkt gefunden: http://www.mikado.de/de/leistungen/produkte/macmon/index.php
Der allgemeine Begriff für das Thema ist "Network Access Control" oder ähnlich.
Cisco bietet so etwas für seine Switche auch an...
vG
LS
wir haben das gleiche Ziel, nur vertrauenswürdige Rechner (anhand der MAC-Adresse) in unser Produktivnetz zu lassen und alle anderen nur in das Gastnetzwerk.
Wir haben dafür ein Produkt gefunden: http://www.mikado.de/de/leistungen/produkte/macmon/index.php
Der allgemeine Begriff für das Thema ist "Network Access Control" oder ähnlich.
Cisco bietet so etwas für seine Switche auch an...
vG
LS
Naja - ich kenne das Problem vom Grundsatz her. Auch ich hab nicht die Zeit jedesmal das Kabel vom Patchfeld sofort umzustecken weil da nen Rechner umgezogen wird. Also gibt es immer wieder gepatchte Dosen die generell nen Laptop nutzen kann. Ist bei uns zum glück nicht so das fremde Laptops/Hardware einfach angeschlossen wird -> meine beliebte AA-Regel greifft da sofort! (AA-Regel: Am Arsch-Regel. Wer die Verletzt ist am Arsch ;) )
Was du jedoch machen könntest um das ganze halbwegs in geordnete Bahnen zu lenken: Du bastelst dir einfach 2 VLANs. Ein VLAN bekommt alle Rechner die zum Betrieb gehören, VLAN2 ist eigentlich nichts dran. Jetzt schaltest du nur noch im Switch die jeweilig gepatchten Ports um -> wenn jemand also meint er ist an Dose 17 dann brauchst du nur noch im Plan gucken auf welchen Switch die geht - und du schaltest den Port ins VLAN1. Ist da jemand der dich anruft und den du nicht kennst dann gleich fragen was der da will, in den Hörer brüllen das er dich mal gernhaben kann und den Hörer auf die Gabel knallen (ok, oder das ganze in freundlich - je nach eigenem Ermessen!)
Und solange sich die Fremden Laptops in VLAN2 gegenseitig mit Viren vollmüllen - mir egal, solang die nich ins Firmennetz kommen is das auch ok...
Was du jedoch machen könntest um das ganze halbwegs in geordnete Bahnen zu lenken: Du bastelst dir einfach 2 VLANs. Ein VLAN bekommt alle Rechner die zum Betrieb gehören, VLAN2 ist eigentlich nichts dran. Jetzt schaltest du nur noch im Switch die jeweilig gepatchten Ports um -> wenn jemand also meint er ist an Dose 17 dann brauchst du nur noch im Plan gucken auf welchen Switch die geht - und du schaltest den Port ins VLAN1. Ist da jemand der dich anruft und den du nicht kennst dann gleich fragen was der da will, in den Hörer brüllen das er dich mal gernhaben kann und den Hörer auf die Gabel knallen (ok, oder das ganze in freundlich - je nach eigenem Ermessen!)
Und solange sich die Fremden Laptops in VLAN2 gegenseitig mit Viren vollmüllen - mir egal, solang die nich ins Firmennetz kommen is das auch ok...
Wir setzen zu diesem Zweck ArpGuard ein.
Funktionsprinzip: Bei neuem Link / neuer CAM-Zuordnung meldet der Switch sich per SNMP an der Appliance; die schaut in ihrer Datenbank nach, welcher Gruppe das Gerät laut Mac zugehört (im einfachsten Fall nur "bekannt" vs. "unbekannt") und reagiert entsprechend; beispielsweise bei "unbekannt" ein anderes VLAN aktivieren als bei "bekannt" oder auch ganz sperren und/oder eine Mail generieren. Wir sperren Gäste so beispielsweise in ein VLAN (mit eigenem Subnet im DHCP), das nur Surfen via Proxy erlaubt.
Solange es nur um diese Funktionalität geht, kann man dasselbe sogar mit ein wenig Skripting "zu Fuß" unter Linux schaffen; zumindest hatte ich ein "proof of concept" fertig, bevor die Lieferung und Imstallation der ArpGuard komplett war.
Funktionsprinzip: Bei neuem Link / neuer CAM-Zuordnung meldet der Switch sich per SNMP an der Appliance; die schaut in ihrer Datenbank nach, welcher Gruppe das Gerät laut Mac zugehört (im einfachsten Fall nur "bekannt" vs. "unbekannt") und reagiert entsprechend; beispielsweise bei "unbekannt" ein anderes VLAN aktivieren als bei "bekannt" oder auch ganz sperren und/oder eine Mail generieren. Wir sperren Gäste so beispielsweise in ein VLAN (mit eigenem Subnet im DHCP), das nur Surfen via Proxy erlaubt.
Solange es nur um diese Funktionalität geht, kann man dasselbe sogar mit ein wenig Skripting "zu Fuß" unter Linux schaffen; zumindest hatte ich ein "proof of concept" fertig, bevor die Lieferung und Imstallation der ArpGuard komplett war.
Hallo alhambra
das Tool klingt interessant (als Alternative zu Domain Isolation).
Konnte spontan nicht finden, was dieses Tool kostet.
Kannst Du Dich noch erinnern, was ihr bezahlt habt?
Danke
lg
ps: falls Du das hier nicht hinschreiben möchtest, würde ich mich über eine PM freuen.
vielen Dank im Voraus
das Tool klingt interessant (als Alternative zu Domain Isolation).
Konnte spontan nicht finden, was dieses Tool kostet.
Kannst Du Dich noch erinnern, was ihr bezahlt habt?
Danke
lg
ps: falls Du das hier nicht hinschreiben möchtest, würde ich mich über eine PM freuen.
vielen Dank im Voraus
