13
IP Zuweisung für User mit eigenem Notebook verhindern
Hallo,
folgende Situation: Netzwerk mit WIN2K Server und Domäne. Großteil der Clients (WINXP/WIN2K) gehen direkt über den Router ins Internet. Ein Client (WIN2K) darf nur über einen Proxy, der nur bestimmte Seiten frei gibt (ist von unserer übergeordneten Dienststelle so vorgeschrieben). Der WIN2K Server vergibt auch an alle Clients die IPs via DHCP.
Jetzt besteht folgende Problematik - ein User zieht das Netzwerkkabel von o.g. Client ab und stöppselt es in sein privates Notebook das z.B. unter XPhome läuft und bekommt vom DHCP aber brav eine IP zugewiesen - damit kanner zwar nicht auf die Daten in unserem Netzwerk zugreifen (er hat kein passendes Paßort), aber er kann den Proxy umgehen und surft frei, was nicht gewollt ist. Die Verwendung von privaten Notebooks ist zwar nicht gestattet, aber ich habe keine Lust in der Nacht (wir haben 24-Stunden Betrieb) Stichproben durchzuführen, sondern das Ganze einfach unterbinden. Der Router hat leider keinen MAC-Filter und unter WIN2K Server habe ich im DHCP nix gefunden.
Wer hat eine Idee? Ich habe schon überlegt das Netzwerkkabel mit Sekundenkleber zu fixieren
)
Grüßle
Marco
folgende Situation: Netzwerk mit WIN2K Server und Domäne. Großteil der Clients (WINXP/WIN2K) gehen direkt über den Router ins Internet. Ein Client (WIN2K) darf nur über einen Proxy, der nur bestimmte Seiten frei gibt (ist von unserer übergeordneten Dienststelle so vorgeschrieben). Der WIN2K Server vergibt auch an alle Clients die IPs via DHCP.
Jetzt besteht folgende Problematik - ein User zieht das Netzwerkkabel von o.g. Client ab und stöppselt es in sein privates Notebook das z.B. unter XPhome läuft und bekommt vom DHCP aber brav eine IP zugewiesen - damit kanner zwar nicht auf die Daten in unserem Netzwerk zugreifen (er hat kein passendes Paßort), aber er kann den Proxy umgehen und surft frei, was nicht gewollt ist. Die Verwendung von privaten Notebooks ist zwar nicht gestattet, aber ich habe keine Lust in der Nacht (wir haben 24-Stunden Betrieb) Stichproben durchzuführen, sondern das Ganze einfach unterbinden. Der Router hat leider keinen MAC-Filter und unter WIN2K Server habe ich im DHCP nix gefunden.
Wer hat eine Idee? Ich habe schon überlegt das Netzwerkkabel mit Sekundenkleber zu fixieren
)Grüßle
Marco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 28045
Url: https://administrator.de/contentid/28045
Printed on: April 24, 2024 at 00:04 o'clock
13 Comments
Latest comment
Schreit förmlich nach 802.1X!
Damit hast du die totale Kontrolle darüber, wer sich ans Netz anstöpselt, und was er darf.
Damit hast du die totale Kontrolle darüber, wer sich ans Netz anstöpselt, und was er darf.
Danke mal für die schnelle Antwort,
gibts da ne HOWTO? Habe mich bisher mit dem Thema noch nicht beschäftigt.
Grüßle
Marco
gibts da ne HOWTO? Habe mich bisher mit dem Thema noch nicht beschäftigt.
Grüßle
Marco
Das ist sicher die ultimativ sicherste und aufwendigste Loesung.
Jemand der sich mit dem Netzwerk auskennt schreckt das zwar nicht, aber ein erster Schritt waere das dynamischen DHCP abzustellen und jedem festen Rechner eine statische IP via DHCP zu geben. Dann bekommt der fremde Laptop zumindest mal automatisch keine IP.
Umgekehrt kannst du auch die MAC Adressen der fremden Laptops sammeln und sie via DHCP ins IP Nirvana schicken
Jemand der sich mit dem Netzwerk auskennt schreckt das zwar nicht, aber ein erster Schritt waere das dynamischen DHCP abzustellen und jedem festen Rechner eine statische IP via DHCP zu geben. Dann bekommt der fremde Laptop zumindest mal automatisch keine IP.
Umgekehrt kannst du auch die MAC Adressen der fremden Laptops sammeln und sie via DHCP ins IP Nirvana schicken
Naja, ganz ohne DHCP wird man täglich mit IP Konflikten zu kämpfen haben.
Und nur weil er keine IP zugewiesen bekommt kann er ja doch die Eigenschaften der Netzwerkverbindung am Client auslesen und hat dann alles was er braucht, oder?
Ich sagte ja nicht DHCP ganz abstellen. Nur den dynamischen Teil abstellen.
Es gibt ja zwei Teile im DHCP :
1. Einmal wird die IP Adresse anhand der MAC ausgesucht, jedesmal die gleiche IP fuer die gleiche MAC-Adresse.
2. Die dynamische Zuweisung mit einem Pool von IP-Adressen, die einfach auf Anfrage zugewiesen werden, es besteht also keine fest Verbindung zwischen MAC und IP.
Wenn du 2. abschaltest (bzw. auf 1 umstellst) gibt es fuer fremde MAC Adressen keine IP mehr.
Natuerlich kann der User die IP auf seinem Laptop noch manuell einstellen.
Es gibt ja zwei Teile im DHCP :
1. Einmal wird die IP Adresse anhand der MAC ausgesucht, jedesmal die gleiche IP fuer die gleiche MAC-Adresse.
2. Die dynamische Zuweisung mit einem Pool von IP-Adressen, die einfach auf Anfrage zugewiesen werden, es besteht also keine fest Verbindung zwischen MAC und IP.
Wenn du 2. abschaltest (bzw. auf 1 umstellst) gibt es fuer fremde MAC Adressen keine IP mehr.
Natuerlich kann der User die IP auf seinem Laptop noch manuell einstellen.
Ich sagte ja, wenn sich jemand auskennt, ist das kein guter Schutz.
Hat mal wieder mein Text nicht angenommen
Jo. Sicherheit kann man mit DHCP Optionen nicht erzwingen.
802.1X ist schon bissi aufwendig (bzw. wirkt erstmal aufwendig).
Die Hardware (Switches) muss es unterstützen.
Ansonsten gibt es ausfürliche dt. Anleitungen in der Microsaft Technet wo alles
haarklein erläutert wird. IAS Einsatz als Radiusserver u. die verschiedenen Möglichkeiten wie man das ganze steuern kann bzw. verschiedene Authentifizierungs Protokolle beschrieben (EAP LEAP usw usw.)
Hängt halt auch von der Grösse des Netzwerks ab, und den Fähigkeiten der bestehenden Hardware (Switches) wie aufwendig das ganze wird....
Bei Cisco Switches gibts unabhängig davon die Möglichkeit mit port-security nur bestimmte MACs an Switchports zu erlauben. Und wenn sich ein nicht genehmigter anstöpselt, gibts einen SNMP Trap und der Port geht "secure down". Wird wieder ein "genehmigter" PC an den Port angeschlossen geht der Port wieder up. Ist aber bei einem grossen Netz zu fummelig. Da ist 802.1X besser.
802.1X ist schon bissi aufwendig (bzw. wirkt erstmal aufwendig).
Die Hardware (Switches) muss es unterstützen.
Ansonsten gibt es ausfürliche dt. Anleitungen in der Microsaft Technet wo alles
haarklein erläutert wird. IAS Einsatz als Radiusserver u. die verschiedenen Möglichkeiten wie man das ganze steuern kann bzw. verschiedene Authentifizierungs Protokolle beschrieben (EAP LEAP usw usw.)
Hängt halt auch von der Grösse des Netzwerks ab, und den Fähigkeiten der bestehenden Hardware (Switches) wie aufwendig das ganze wird....
Bei Cisco Switches gibts unabhängig davon die Möglichkeit mit port-security nur bestimmte MACs an Switchports zu erlauben. Und wenn sich ein nicht genehmigter anstöpselt, gibts einen SNMP Trap und der Port geht "secure down". Wird wieder ein "genehmigter" PC an den Port angeschlossen geht der Port wieder up. Ist aber bei einem grossen Netz zu fummelig. Da ist 802.1X besser.
Das ändern von dynamischen in statische IP Addis beim DHCP nennt man "reservieren".
Dies geschieht durch direktes zuweisen von IP's zu Mac's.
Wenn du nun her gehst, und alle MAC-Addressen der Firmengeräte in die Liste der Reservierungen passend in den DHCP-Bereich einträgst, bekommen alle Firmengeräte eine passende DHCP Konfiguration zugeteilt. Die IP-Zuteilung läuft dann zentralgesteuert und vor allem sauber ab. Wer hier mit Sinn und Verstand ran geht, macht sich das Leben einfach. Tipp als erst die Server, dann alle Drucker, dann Abteilungsweise den Rest. Mann kann sich ja dabei Reserven mit rein reservieren. Die Geräteanzahl sollte jeder Admin ja kennen und somit auch die Anzahl der Reservierungen.
z.b.
192.168.123.1 - 7 Server
192.168.123.8 - 9 Server Reservierungen durch Vergabe von falschen Macs
192.168.123.10 - 30 Drucker
192.168.123.31 - 39 Drucker Reservierungen durch Vergabe von falschen Macs
192.168.123.40 - 47 EDV
192.168.123.48 - 50 EDV Reservierungen durch Vergabe von falschen Macs
192.168.123.52 - x Andere Abteilungen und andere Reserven-Reservierungen
Nun die "netten freundlichen Dinge" der Admins oder anders formuliert, wie lege ich einen Honeypott aus und fange meine Pappenheimer.
Konfiguriere wie oben beschrieben den DHCP-Bereich sauber durch. Füge aber am Ende noch 10 weiter Addis funktionierend hinzu. Warum ? Das ist unsinnig und macht kein Sinn ?
Doch das macht es, weil genau hier der Honeypot liegt. Die EDV-Geräte die zum Firmenstamm gehören, bekommen alle Ihre Konfigurationen aus dem Bereich bis x zugewiesen. Wenn nun ein fremdes Gerät in das Netz kommt, bekommt dieses nun eine IP-Addressenkonfiguration genau aus dem Honeypott Bereich zugewiesen. Der User ahnt natürlich nicht daß er soeben ertappt wurde, da ja alles für Ihn funktioniert. Der Admin bekommt dies natürlich mit, da er es im DHCP ja nachsehen kann, ob jemand aus dem Honeypott eine Konfiguration bekommen hat. Bei einem Fremdgerät im Netz, bekommt man natürlich die Mac-Addresse und auch die Uhrzeit vom DHCP mitgeteilt. Das Nachschauen dauert keine 5min.
Falls einer die Daten kopiert, und sie dann anschließend an einem Fremdgerät verwenden, bekommt man leider durch die obigen Methode nicht mit, aber dafür gibt es auch einfache Lösungen. z.b. als Stichpunktartige Aufzählung
ARP Cache automatisch jede 5 Minuten in eine TXT Datei schreiben lassen.
Alle doppelten Einträge entfernen, so daß immer nur eine einzelne Mac - IP Kombinationen gleicher Kombi übrig bleibt. Diese Liste mit der bekannten Reservierten Mac-Liste vergleichen. Jede IP - MAC Kombination die es eigentlich nicht geben darf, weist ebenfalls auf ein Fremdgerät hin. Es lebe Excel und der Cronjob
Mfg Metzger
Dies geschieht durch direktes zuweisen von IP's zu Mac's.
Wenn du nun her gehst, und alle MAC-Addressen der Firmengeräte in die Liste der Reservierungen passend in den DHCP-Bereich einträgst, bekommen alle Firmengeräte eine passende DHCP Konfiguration zugeteilt. Die IP-Zuteilung läuft dann zentralgesteuert und vor allem sauber ab. Wer hier mit Sinn und Verstand ran geht, macht sich das Leben einfach
. Tipp als erst die Server, dann alle Drucker, dann Abteilungsweise den Rest. Mann kann sich ja dabei Reserven mit rein reservieren. Die Geräteanzahl sollte jeder Admin ja kennen und somit auch die Anzahl der Reservierungen.z.b.
192.168.123.1 - 7 Server
192.168.123.8 - 9 Server Reservierungen durch Vergabe von falschen Macs
192.168.123.10 - 30 Drucker
192.168.123.31 - 39 Drucker Reservierungen durch Vergabe von falschen Macs
192.168.123.40 - 47 EDV
192.168.123.48 - 50 EDV Reservierungen durch Vergabe von falschen Macs
192.168.123.52 - x Andere Abteilungen und andere Reserven-Reservierungen
Nun die "netten freundlichen Dinge" der Admins oder anders formuliert, wie lege ich einen Honeypott aus und fange meine Pappenheimer.
Konfiguriere wie oben beschrieben den DHCP-Bereich sauber durch. Füge aber am Ende noch 10 weiter Addis funktionierend hinzu. Warum ? Das ist unsinnig und macht kein Sinn ?
Doch das macht es, weil genau hier der Honeypot liegt. Die EDV-Geräte die zum Firmenstamm gehören, bekommen alle Ihre Konfigurationen aus dem Bereich bis x zugewiesen. Wenn nun ein fremdes Gerät in das Netz kommt, bekommt dieses nun eine IP-Addressenkonfiguration genau aus dem Honeypott Bereich zugewiesen. Der User ahnt natürlich nicht daß er soeben ertappt wurde, da ja alles für Ihn funktioniert. Der Admin bekommt dies natürlich mit, da er es im DHCP ja nachsehen kann, ob jemand aus dem Honeypott eine Konfiguration bekommen hat.
Bei einem Fremdgerät im Netz, bekommt man natürlich die Mac-Addresse und auch die Uhrzeit vom DHCP mitgeteilt. Das Nachschauen dauert keine 5min.Falls einer die Daten kopiert, und sie dann anschließend an einem Fremdgerät verwenden, bekommt man leider durch die obigen Methode nicht mit, aber dafür gibt es auch einfache Lösungen. z.b. als Stichpunktartige Aufzählung
ARP Cache automatisch jede 5 Minuten in eine TXT Datei schreiben lassen.
Alle doppelten Einträge entfernen, so daß immer nur eine einzelne Mac - IP Kombinationen gleicher Kombi übrig bleibt. Diese Liste mit der bekannten Reservierten Mac-Liste vergleichen. Jede IP - MAC Kombination die es eigentlich nicht geben darf, weist ebenfalls auf ein Fremdgerät hin. Es lebe Excel und der Cronjob
Mfg Metzger
Hi,
neben 802.1X gibt es noch eine andere Lösung:
alle Clients browsen über den Proxy
über die User-Authentifizierung wird bestimmt ob er frei im WWW browsen darf oder limitiert.
Grüße
Dieter
neben 802.1X gibt es noch eine andere Lösung:
alle Clients browsen über den Proxy
über die User-Authentifizierung wird bestimmt ob er frei im WWW browsen darf oder limitiert.
Grüße
Dieter
Trage ich aber ein anderen Proxy ein könnte ich auch so schon im inet sein.
Mfg Metzger
Mfg Metzger
Wieso anderen Proxy eintragen?
Der direkte Zugang zum WWW über den Router wird gesperrt und es gibt einen Proxy, der ins WWW darf.
Da gibt es genügend "out of the box"-Lösungen für kleine bis mittlere Unternehmen, die Proxy und Firewall mit den entsprechenden Zugangskontrollen im Bauch haben, inklusive White- & Blacklists.
Grüße
Dieter
Der direkte Zugang zum WWW über den Router wird gesperrt und es gibt einen Proxy, der ins WWW darf.
Da gibt es genügend "out of the box"-Lösungen für kleine bis mittlere Unternehmen, die Proxy und Firewall mit den entsprechenden Zugangskontrollen im Bauch haben, inklusive White- & Blacklists.
Grüße
Dieter
