Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IP Zuweisung für User mit eigenem Notebook verhindern

Mitglied: Marco167

Marco167 (Level 1) - Jetzt verbinden

23.03.2006, aktualisiert 24.03.2006, 4563 Aufrufe, 13 Kommentare

Hallo,

folgende Situation: Netzwerk mit WIN2K Server und Domäne. Großteil der Clients (WINXP/WIN2K) gehen direkt über den Router ins Internet. Ein Client (WIN2K) darf nur über einen Proxy, der nur bestimmte Seiten frei gibt (ist von unserer übergeordneten Dienststelle so vorgeschrieben). Der WIN2K Server vergibt auch an alle Clients die IPs via DHCP.
Jetzt besteht folgende Problematik - ein User zieht das Netzwerkkabel von o.g. Client ab und stöppselt es in sein privates Notebook das z.B. unter XPhome läuft und bekommt vom DHCP aber brav eine IP zugewiesen - damit kanner zwar nicht auf die Daten in unserem Netzwerk zugreifen (er hat kein passendes Paßort), aber er kann den Proxy umgehen und surft frei, was nicht gewollt ist. Die Verwendung von privaten Notebooks ist zwar nicht gestattet, aber ich habe keine Lust in der Nacht (wir haben 24-Stunden Betrieb) Stichproben durchzuführen, sondern das Ganze einfach unterbinden. Der Router hat leider keinen MAC-Filter und unter WIN2K Server habe ich im DHCP nix gefunden.
Wer hat eine Idee? Ich habe schon überlegt das Netzwerkkabel mit Sekundenkleber zu fixieren )

Grüßle

Marco
Mitglied: 27119
23.03.2006 um 13:00 Uhr
Schreit förmlich nach 802.1X!
Damit hast du die totale Kontrolle darüber, wer sich ans Netz anstöpselt, und was er darf.
Bitte warten ..
Mitglied: Marco167
23.03.2006 um 13:38 Uhr
Danke mal für die schnelle Antwort,

gibts da ne HOWTO? Habe mich bisher mit dem Thema noch nicht beschäftigt.

Grüßle

Marco
Bitte warten ..
Mitglied: ITwissen
23.03.2006 um 13:38 Uhr
Das ist sicher die ultimativ sicherste und aufwendigste Loesung.

Jemand der sich mit dem Netzwerk auskennt schreckt das zwar nicht, aber ein erster Schritt waere das dynamischen DHCP abzustellen und jedem festen Rechner eine statische IP via DHCP zu geben. Dann bekommt der fremde Laptop zumindest mal automatisch keine IP.

Umgekehrt kannst du auch die MAC Adressen der fremden Laptops sammeln und sie via DHCP ins IP Nirvana schicken
Bitte warten ..
Mitglied: 27119
23.03.2006 um 13:40 Uhr
Naja, ganz ohne DHCP wird man täglich mit IP Konflikten zu kämpfen haben.
Bitte warten ..
Mitglied: Marco167
23.03.2006 um 13:51 Uhr
Und nur weil er keine IP zugewiesen bekommt kann er ja doch die Eigenschaften der Netzwerkverbindung am Client auslesen und hat dann alles was er braucht, oder?
Bitte warten ..
Mitglied: ITwissen
23.03.2006 um 13:54 Uhr
Ich sagte ja nicht DHCP ganz abstellen. Nur den dynamischen Teil abstellen.

Es gibt ja zwei Teile im DHCP :
1. Einmal wird die IP Adresse anhand der MAC ausgesucht, jedesmal die gleiche IP fuer die gleiche MAC-Adresse.
2. Die dynamische Zuweisung mit einem Pool von IP-Adressen, die einfach auf Anfrage zugewiesen werden, es besteht also keine fest Verbindung zwischen MAC und IP.

Wenn du 2. abschaltest (bzw. auf 1 umstellst) gibt es fuer fremde MAC Adressen keine IP mehr.

Natuerlich kann der User die IP auf seinem Laptop noch manuell einstellen.
Bitte warten ..
Mitglied: ITwissen
23.03.2006 um 13:55 Uhr
Ich sagte ja, wenn sich jemand auskennt, ist das kein guter Schutz.
Bitte warten ..
Mitglied: Metzger-MCP
23.03.2006 um 14:32 Uhr
Hat mal wieder mein Text nicht angenommen
Bitte warten ..
Mitglied: 27119
23.03.2006 um 14:33 Uhr
Jo. Sicherheit kann man mit DHCP Optionen nicht erzwingen.

802.1X ist schon bissi aufwendig (bzw. wirkt erstmal aufwendig).
Die Hardware (Switches) muss es unterstützen.

Ansonsten gibt es ausfürliche dt. Anleitungen in der Microsaft Technet wo alles
haarklein erläutert wird. IAS Einsatz als Radiusserver u. die verschiedenen Möglichkeiten wie man das ganze steuern kann bzw. verschiedene Authentifizierungs Protokolle beschrieben (EAP LEAP usw usw.)

Hängt halt auch von der Grösse des Netzwerks ab, und den Fähigkeiten der bestehenden Hardware (Switches) wie aufwendig das ganze wird....

Bei Cisco Switches gibts unabhängig davon die Möglichkeit mit port-security nur bestimmte MACs an Switchports zu erlauben. Und wenn sich ein nicht genehmigter anstöpselt, gibts einen SNMP Trap und der Port geht "secure down". Wird wieder ein "genehmigter" PC an den Port angeschlossen geht der Port wieder up. Ist aber bei einem grossen Netz zu fummelig. Da ist 802.1X besser.
Bitte warten ..
Mitglied: Metzger-MCP
23.03.2006 um 17:19 Uhr
Das ändern von dynamischen in statische IP Addis beim DHCP nennt man "reservieren".
Dies geschieht durch direktes zuweisen von IP's zu Mac's.

Wenn du nun her gehst, und alle MAC-Addressen der Firmengeräte in die Liste der Reservierungen passend in den DHCP-Bereich einträgst, bekommen alle Firmengeräte eine passende DHCP Konfiguration zugeteilt. Die IP-Zuteilung läuft dann zentralgesteuert und vor allem sauber ab. Wer hier mit Sinn und Verstand ran geht, macht sich das Leben einfach . Tipp als erst die Server, dann alle Drucker, dann Abteilungsweise den Rest. Mann kann sich ja dabei Reserven mit rein reservieren. Die Geräteanzahl sollte jeder Admin ja kennen und somit auch die Anzahl der Reservierungen.

z.b.
192.168.123.1 - 7 Server
192.168.123.8 - 9 Server Reservierungen durch Vergabe von falschen Macs
192.168.123.10 - 30 Drucker
192.168.123.31 - 39 Drucker Reservierungen durch Vergabe von falschen Macs
192.168.123.40 - 47 EDV
192.168.123.48 - 50 EDV Reservierungen durch Vergabe von falschen Macs
192.168.123.52 - x Andere Abteilungen und andere Reserven-Reservierungen



Nun die "netten freundlichen Dinge" der Admins oder anders formuliert, wie lege ich einen Honeypott aus und fange meine Pappenheimer.

Konfiguriere wie oben beschrieben den DHCP-Bereich sauber durch. Füge aber am Ende noch 10 weiter Addis funktionierend hinzu. Warum ? Das ist unsinnig und macht kein Sinn ?

Doch das macht es, weil genau hier der Honeypot liegt. Die EDV-Geräte die zum Firmenstamm gehören, bekommen alle Ihre Konfigurationen aus dem Bereich bis x zugewiesen. Wenn nun ein fremdes Gerät in das Netz kommt, bekommt dieses nun eine IP-Addressenkonfiguration genau aus dem Honeypott Bereich zugewiesen. Der User ahnt natürlich nicht daß er soeben ertappt wurde, da ja alles für Ihn funktioniert. Der Admin bekommt dies natürlich mit, da er es im DHCP ja nachsehen kann, ob jemand aus dem Honeypott eine Konfiguration bekommen hat. Bei einem Fremdgerät im Netz, bekommt man natürlich die Mac-Addresse und auch die Uhrzeit vom DHCP mitgeteilt. Das Nachschauen dauert keine 5min.

Falls einer die Daten kopiert, und sie dann anschließend an einem Fremdgerät verwenden, bekommt man leider durch die obigen Methode nicht mit, aber dafür gibt es auch einfache Lösungen. z.b. als Stichpunktartige Aufzählung

ARP Cache automatisch jede 5 Minuten in eine TXT Datei schreiben lassen.
Alle doppelten Einträge entfernen, so daß immer nur eine einzelne Mac - IP Kombinationen gleicher Kombi übrig bleibt. Diese Liste mit der bekannten Reservierten Mac-Liste vergleichen. Jede IP - MAC Kombination die es eigentlich nicht geben darf, weist ebenfalls auf ein Fremdgerät hin. Es lebe Excel und der Cronjob

Mfg Metzger
Bitte warten ..
Mitglied: djbrandt
23.03.2006 um 21:51 Uhr
Hi,

neben 802.1X gibt es noch eine andere Lösung:

alle Clients browsen über den Proxy
über die User-Authentifizierung wird bestimmt ob er frei im WWW browsen darf oder limitiert.



Grüße

Dieter
Bitte warten ..
Mitglied: Metzger-MCP
24.03.2006 um 11:04 Uhr
Trage ich aber ein anderen Proxy ein könnte ich auch so schon im inet sein.

Mfg Metzger
Bitte warten ..
Mitglied: djbrandt
24.03.2006 um 13:31 Uhr
Wieso anderen Proxy eintragen?

Der direkte Zugang zum WWW über den Router wird gesperrt und es gibt einen Proxy, der ins WWW darf.

Da gibt es genügend "out of the box"-Lösungen für kleine bis mittlere Unternehmen, die Proxy und Firewall mit den entsprechenden Zugangskontrollen im Bauch haben, inklusive White- & Blacklists.


Grüße

Dieter
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
IP Zuweisung bei VPN Tunnel
gelöst Frage von H4rdQu0r3Netzwerkgrundlagen5 Kommentare

Hallo Leute, Ich habe eine für mich sehr wichtige Frage zu klären. Ich habe in der Theorie ein kleines ...

Netzwerkmanagement
Doppelte Gateway IP verhindern
Frage von FiRE93Netzwerkmanagement42 Kommentare

Hallo Administratoren :) Ich habe diesbzgl. eine Frage wo mir irgendwie keiner weiterhelfen kann bzw ich nichts dazu finde. ...

LAN, WAN, Wireless

Keine zuweisung einer IP-Adresse über DHCP in verbundung mit WLAN

Frage von mbraeunleinLAN, WAN, Wireless3 Kommentare

Hallo zusammen! Ich habe hier ein seltsames Phänomen. Wir haben einen Windows 2008R2 Server im einsatz. Dieser spielt wunderbar ...

LAN, WAN, Wireless

Switch mit eigener IP Range

gelöst Frage von Heinz189LAN, WAN, Wireless8 Kommentare

Hallo zusammen, ich habe ein wenig Schwierigkeiten mit dem Aufbau eines Netzwerks und würde mich freuen, wenn Ihr mir ...

Neue Wissensbeiträge
Peripheriegeräte
Unterschrank für HP Drucker
Tipp von NixVerstehen vor 2 TagenPeripheriegeräte2 Kommentare

Als kurzen Freitags-Tipp möchte ich gerne meinen neuen Drucker-Unterschrank Modell Amica KS 15423W vorstellen. Das Gerät eignet sich hervorragend ...

Windows 10
Windows 10 - Probleme mit Point-And-Print
Tipp von emeriks vor 3 TagenWindows 103 Kommentare

Hi, wir kämpfen z.Z. mit einigen Druckertreibern, welche unter Win10 beim Verbinden eines Druckers von Printserver mit dem Dialog ...

Windows 10

Windows 10 1803 - Ihr Roamingbenutzerprofil wurde nicht vollständig synchronisiert

Anleitung von Deepsys vor 3 TagenWindows 101 Kommentar

Bei allen Windows 10 1803 PCs traten Probleme mit den Servergespeicherten Profilen auf. Das Abmelden dauerte sehr lange und ...

Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 5 TagenExchange Server7 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Heiß diskutierte Inhalte
Router & Routing
Routing Problem mit Kaskade FritzBox und pfsense zugeriff nur von der firewall auf die clients und 0.0.0.0
Frage von ukl1967Router & Routing23 Kommentare

Hallo, ich habe ein an sich triviales Problem elches ich allerdings nicht gelöst bekomme. NAS 10.5.10.53 Mein Netz baut ...

LAN, WAN, Wireless
HP Probook 470 G4 - abbrechende Downloads
Frage von joern1LAN, WAN, Wireless19 Kommentare

Folgendes Problem, für einen Tipp wäre ich dankbar: Bei WLAN-Verbindung zum Internet (nicht LAN) kommt es bei etwas größeren ...

Server-Hardware
Einsteigerfragen zu HP ProLiant DL380p Gen 8
gelöst Frage von brain2011Server-Hardware14 Kommentare

Hallo, ich habe mir einen HP ProLiant DL380p Gen 8 zugelegt, um mich grundlegend mit dieser Geräteklasse und der ...

Server-Hardware
DL380p Gen8 LEDs Laufwerksaktivität funktionieren nicht
Frage von Cisco7971Server-Hardware12 Kommentare

Hallo zusammen, ich habe hier ein seltsames Problem: Die LEDs an den Smart Carriern, die bei Laufwerksaktivität rotieren, tun ...