Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Betriebsfremde Laptops - MAC sperren?

Frage Netzwerke

Mitglied: alhambra

alhambra (Level 1) - Jetzt verbinden

10.02.2010 um 09:14 Uhr, 7313 Aufrufe, 7 Kommentare

Hallo zusammen,

wir planen unser Netzwerk umzustellenen. In Zukunft wird ein DHCP-Server in Betrieb gehen. Für die Clients möchten wir die Adressen reservieren. Betriebsfremde PCs (Laptops) sollen nicht ohne Weiteres (d.h. ohne unser Wissen) ins Netz können, das einstecken in gepatchte Netzwerkdosen können wir aber wohl nicht verhindern.
Es kommt bei uns aber relativ oft vor, dass betriebsfremde Laptops ins Netz kommen. Wir möchten dabei verhindern, dass die "Gast-User" mit einer selbst eingestellten, festen IP-Adresse (die dann in unserem IP-Bereich liegt) unseren Netzwerkverkehr stören (durch doppelte IP-Adressen im Netz). Wie läßt sich das anstellen? Müssen wir auf den Switchen unbekannte MAC-Adressen vom Netz sperren?
Bin für jeden Tipp dankbar!
Alhambra
Mitglied: user217
10.02.2010 um 09:24 Uhr
Hallo,

du müsstest für jede DHCP IP Adresse eine MAC hinterlegen am DHCP Server. Dann ist der DHCP Server ab Sinnlos, dann würd ich lieber gleich feste IP's vergeben. Ansonsten gibts glaube ich noch RADIUS Server, der macht das auch aber ich vermute nur mit Zertifikaten.

Gruß
Bitte warten ..
Mitglied: dog
10.02.2010 um 09:29 Uhr
Die einzig sichere Methode bei kabelgebundenen Netzwerken ist Domain Isolation oder VPN.
Alles andere ist lustige Bastelei, die man in < 5 Minuten umgehen kann!
Bitte warten ..
Mitglied: SlainteMhath
10.02.2010 um 09:32 Uhr
Moin,

Müssen wir auf den Switchen unbekannte MAC-Adressen vom Netz sperren?
Ja, nur am Switch bekommst Du das Problem in den Griff.

Entweder jedem Port fest eine MAC zuweisen, die "darf"
oder
802.11x benutzen
oder
Switches mit NAC verwenden (Enterasys, Cisco)

lg,
Slainte
Bitte warten ..
Mitglied: laster
10.02.2010 um 09:48 Uhr
Hallo alhambra,

wir haben das gleiche Ziel, nur vertrauenswürdige Rechner (anhand der MAC-Adresse) in unser Produktivnetz zu lassen und alle anderen nur in das Gastnetzwerk.
Wir haben dafür ein Produkt gefunden: http://www.mikado.de/de/leistungen/produkte/macmon/index.php
Der allgemeine Begriff für das Thema ist "Network Access Control" oder ähnlich.
Cisco bietet so etwas für seine Switche auch an...

vG
LS
Bitte warten ..
Mitglied: maretz
10.02.2010 um 10:09 Uhr
Naja - ich kenne das Problem vom Grundsatz her. Auch ich hab nicht die Zeit jedesmal das Kabel vom Patchfeld sofort umzustecken weil da nen Rechner umgezogen wird. Also gibt es immer wieder gepatchte Dosen die generell nen Laptop nutzen kann. Ist bei uns zum glück nicht so das fremde Laptops/Hardware einfach angeschlossen wird -> meine beliebte AA-Regel greifft da sofort! (AA-Regel: Am Arsch-Regel. Wer die Verletzt ist am Arsch ;) )

Was du jedoch machen könntest um das ganze halbwegs in geordnete Bahnen zu lenken: Du bastelst dir einfach 2 VLANs. Ein VLAN bekommt alle Rechner die zum Betrieb gehören, VLAN2 ist eigentlich nichts dran. Jetzt schaltest du nur noch im Switch die jeweilig gepatchten Ports um -> wenn jemand also meint er ist an Dose 17 dann brauchst du nur noch im Plan gucken auf welchen Switch die geht - und du schaltest den Port ins VLAN1. Ist da jemand der dich anruft und den du nicht kennst dann gleich fragen was der da will, in den Hörer brüllen das er dich mal gernhaben kann und den Hörer auf die Gabel knallen (ok, oder das ganze in freundlich - je nach eigenem Ermessen!)

Und solange sich die Fremden Laptops in VLAN2 gegenseitig mit Viren vollmüllen - mir egal, solang die nich ins Firmennetz kommen is das auch ok...
Bitte warten ..
Mitglied: hagmania
10.02.2010 um 10:28 Uhr
Wir setzen zu diesem Zweck ArpGuard ein.
Funktionsprinzip: Bei neuem Link / neuer CAM-Zuordnung meldet der Switch sich per SNMP an der Appliance; die schaut in ihrer Datenbank nach, welcher Gruppe das Gerät laut Mac zugehört (im einfachsten Fall nur "bekannt" vs. "unbekannt") und reagiert entsprechend; beispielsweise bei "unbekannt" ein anderes VLAN aktivieren als bei "bekannt" oder auch ganz sperren und/oder eine Mail generieren. Wir sperren Gäste so beispielsweise in ein VLAN (mit eigenem Subnet im DHCP), das nur Surfen via Proxy erlaubt.
Solange es nur um diese Funktionalität geht, kann man dasselbe sogar mit ein wenig Skripting "zu Fuß" unter Linux schaffen; zumindest hatte ich ein "proof of concept" fertig, bevor die Lieferung und Imstallation der ArpGuard komplett war.
Bitte warten ..
Mitglied: Edi.Pfisterer
10.02.2010 um 11:13 Uhr
Hallo alhambra
das Tool klingt interessant (als Alternative zu Domain Isolation).
Konnte spontan nicht finden, was dieses Tool kostet.
Kannst Du Dich noch erinnern, was ihr bezahlt habt?
Danke
lg

ps: falls Du das hier nicht hinschreiben möchtest, würde ich mich über eine PM freuen.
vielen Dank im Voraus
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Netzwerk
gelöst Proxy Settings sperren (2)

Frage von joehuaba zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...