3
Netzwerkzugriff verhindern
Ich muß verhindern, daß unbekannte User Zugang zu einem Netzwerk erhalten.
Wir haben ein Netzwerk, bei dem die IP-Adressen anhand der MAC-Id fest vergeben werden. Die automatische Vergabe von IP-Adressen ist unterbunden.
Wie kann man verhindern, daß ein User sich eine freie IP-Adresse im Netzwerk sucht und diese für seinen Rechner verwendet, um sich in das Netzwerk "einzuklinken"?
Gibt es bei Windows (Domänenkontrollen SBS2003) die Möglichkeit nur zuvor festgelegte MAC-ID's im Netzwerk zuzulassen? Bei WLAN-Netzen gibt es diese Möglichkeit.
Gruß
Thomas
Wie kann man verhindern, daß ein User sich eine freie IP-Adresse im Netzwerk sucht und diese für seinen Rechner verwendet, um sich in das Netzwerk "einzuklinken"?
Gibt es bei Windows (Domänenkontrollen SBS2003) die Möglichkeit nur zuvor festgelegte MAC-ID's im Netzwerk zuzulassen? Bei WLAN-Netzen gibt es diese Möglichkeit.
Gruß
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 31824
Url: https://administrator.de/contentid/31824
Printed on: May 8, 2024 at 07:05 o'clock
3 Comments
Latest comment
setzt du ms isa server ein?
da wüsst ich was bei isa...
setzt du dhcp ein?
wieviele client rechner sind das? bei lan?
aber so über mac....ich glaub nicht dass es so funktionieren wird da die mac adresse nicht steuerbar ist in deinen vorhaben
mfg conner
da wüsst ich was bei isa...
setzt du dhcp ein?
wieviele client rechner sind das? bei lan?
aber so über mac....ich glaub nicht dass es so funktionieren wird da die mac adresse nicht steuerbar ist in deinen vorhaben
mfg conner
Hallo,
ich vergebe die IP-Adresse schon anhand der MAC-Id. Das funktioniert auch problemlos.
Mein Problem ist folgendes: Wie kann ich verhindern, daß ein Benutzer sich ins Netz einklinkt, indem er probiert, welche IP-Adresse frei ist und diese dann einsetzt?
Gruß
Thomas
ich vergebe die IP-Adresse schon anhand der MAC-Id. Das funktioniert auch problemlos.
Mein Problem ist folgendes: Wie kann ich verhindern, daß ein Benutzer sich ins Netz einklinkt, indem er probiert, welche IP-Adresse frei ist und diese dann einsetzt?
Gruß
Thomas
Theoretisch ist das in einem geswitchten, kupferbasierenden Netzwerk auch möglich. Du müsstest nur vor jeden Port eine Layer 2 (MAC adressbasierende) Accessliste plazieren. Alle etwas "besseren" managebaren Switches supporten sowas. Der Aufwand ist allerdings hoch und ebenfalls die Tatsache diese Listen zu pflegen, da sie auf jedem Switch vorhanden sein müssen und das auch immer gleich und aktuell.
Besser ist es da dynamische Tools zu verwenden wie 802.1x oder MAC Authentifizierung am Switchport selber. Funktionen die fast alle managebaren Switches der Mittelklasse supporten heutzutage.
Bei 802.1x generiert der Switch eine Radius Abfrage und fragt einen externen Radius Server (FreeRadius oder MS IAS z.B) nach dem Benutzer, einen .1x Client vorausgesetzt (Ab XP Standard in Win). Ist dieser Benutzer bekannt wird der Port eröffnet und der Benutzer erhält Zugang zum Netz. Es kann ihm ausserdem auch noch ein spezifische VLAN zugewiesen werden wen nötig ebenso eine dynamische Accessliste pro Port. Die letzten beiden Möglichkeiten sind aber abhängig von den Switch Features.
MAC Authentifizierung ist ähnlich. Auch hier ist der Port gesperrt und erlaubt keinen Zugriff aufs Netzwerk. Liest der Switch die MAC Adresse des Clients an diesem Port generiert er wiederum eine Radius Abfrage und fragt nach der MAC Adresse bzw. deren Berechtigung im Radius Server. Ist diese dort bekannt wird der Port freigeschaltet und der Client kann arbeiten. Auch hier ist es möglich ein VLAN dynmaisch zuzuweisen, ebenso eine ACL wie oben, wenn nötig.
Eine weitere Möglichkeit ist die Port Security an Switches. D.h. sie können sich merken welche MAC an welchem Port arbeitet und erlauben eben nur diese sofern man die Anzahl begrenzt.
Allerdings wird auch hier nur die MAC abgefragt und sonst nichts und der Pflegeaufwand ist wieder höher, da du alle Ports auf den MACs so zugeordnet sind pflegen und aktuell halten musst.
Möglichkeit 2 ist für dich sicher die einfachste, da eure MAC Adressen bekannt sind. Vorteil beider Lösungen (mit Ausnahme von Lösung 3) ist das die Zugriffsdaten zentral auf dem Radius Server gepflegt werden und Clients frei umziehen können. Sie nehmen ihre Sicherheitspolicy gewissermaßen mit.
Natürlich ist es weiterhin möglich die MAC Adresse zu faken, dadurch über eine positive Radius Authentifikation Zugriff ins Netz zu erlangen und sich statisch eine IP Adresse zu vergeben aber der Aufwand ist erheblich höher und erfordert demnach eine höhere kriminelle Energie.
Um dieses Problem auch noch abzufangen brauchst du ein Intrusion Prevention System aber das kostets dann wieder ????. Damit würde aber so ein suchen nach freien IP Adressen (Ping Sweep etc.) detektierbar und dieses System kann dann z.B. wieder den Port des Switches automatisch disablen.
Besser ist es da dynamische Tools zu verwenden wie 802.1x oder MAC Authentifizierung am Switchport selber. Funktionen die fast alle managebaren Switches der Mittelklasse supporten heutzutage.
Bei 802.1x generiert der Switch eine Radius Abfrage und fragt einen externen Radius Server (FreeRadius oder MS IAS z.B) nach dem Benutzer, einen .1x Client vorausgesetzt (Ab XP Standard in Win). Ist dieser Benutzer bekannt wird der Port eröffnet und der Benutzer erhält Zugang zum Netz. Es kann ihm ausserdem auch noch ein spezifische VLAN zugewiesen werden wen nötig ebenso eine dynamische Accessliste pro Port. Die letzten beiden Möglichkeiten sind aber abhängig von den Switch Features.
MAC Authentifizierung ist ähnlich. Auch hier ist der Port gesperrt und erlaubt keinen Zugriff aufs Netzwerk. Liest der Switch die MAC Adresse des Clients an diesem Port generiert er wiederum eine Radius Abfrage und fragt nach der MAC Adresse bzw. deren Berechtigung im Radius Server. Ist diese dort bekannt wird der Port freigeschaltet und der Client kann arbeiten. Auch hier ist es möglich ein VLAN dynmaisch zuzuweisen, ebenso eine ACL wie oben, wenn nötig.
Eine weitere Möglichkeit ist die Port Security an Switches. D.h. sie können sich merken welche MAC an welchem Port arbeitet und erlauben eben nur diese sofern man die Anzahl begrenzt.
Allerdings wird auch hier nur die MAC abgefragt und sonst nichts und der Pflegeaufwand ist wieder höher, da du alle Ports auf den MACs so zugeordnet sind pflegen und aktuell halten musst.
Möglichkeit 2 ist für dich sicher die einfachste, da eure MAC Adressen bekannt sind. Vorteil beider Lösungen (mit Ausnahme von Lösung 3) ist das die Zugriffsdaten zentral auf dem Radius Server gepflegt werden und Clients frei umziehen können. Sie nehmen ihre Sicherheitspolicy gewissermaßen mit.
Natürlich ist es weiterhin möglich die MAC Adresse zu faken, dadurch über eine positive Radius Authentifikation Zugriff ins Netz zu erlangen und sich statisch eine IP Adresse zu vergeben aber der Aufwand ist erheblich höher und erfordert demnach eine höhere kriminelle Energie.
Um dieses Problem auch noch abzufangen brauchst du ein Intrusion Prevention System aber das kostets dann wieder ????. Damit würde aber so ein suchen nach freien IP Adressen (Ping Sweep etc.) detektierbar und dieses System kann dann z.B. wieder den Port des Switches automatisch disablen.
