Betriebsfremde Laptops - MAC sperren?
Hallo zusammen,
wir planen unser Netzwerk umzustellenen. In Zukunft wird ein DHCP-Server in Betrieb gehen. Für die Clients möchten wir die Adressen reservieren. Betriebsfremde PCs (Laptops) sollen nicht ohne Weiteres (d.h. ohne unser Wissen) ins Netz können, das einstecken in gepatchte Netzwerkdosen können wir aber wohl nicht verhindern.
Es kommt bei uns aber relativ oft vor, dass betriebsfremde Laptops ins Netz kommen. Wir möchten dabei verhindern, dass die "Gast-User" mit einer selbst eingestellten, festen IP-Adresse (die dann in unserem IP-Bereich liegt) unseren Netzwerkverkehr stören (durch doppelte IP-Adressen im Netz). Wie läßt sich das anstellen? Müssen wir auf den Switchen unbekannte MAC-Adressen vom Netz sperren?
Bin für jeden Tipp dankbar!
Alhambra
wir planen unser Netzwerk umzustellenen. In Zukunft wird ein DHCP-Server in Betrieb gehen. Für die Clients möchten wir die Adressen reservieren. Betriebsfremde PCs (Laptops) sollen nicht ohne Weiteres (d.h. ohne unser Wissen) ins Netz können, das einstecken in gepatchte Netzwerkdosen können wir aber wohl nicht verhindern.
Es kommt bei uns aber relativ oft vor, dass betriebsfremde Laptops ins Netz kommen. Wir möchten dabei verhindern, dass die "Gast-User" mit einer selbst eingestellten, festen IP-Adresse (die dann in unserem IP-Bereich liegt) unseren Netzwerkverkehr stören (durch doppelte IP-Adressen im Netz). Wie läßt sich das anstellen? Müssen wir auf den Switchen unbekannte MAC-Adressen vom Netz sperren?
Bin für jeden Tipp dankbar!
Alhambra
Please also mark the comments that contributed to the solution of the article
Content-Key: 135601
Url: https://administrator.de/contentid/135601
Printed on: April 27, 2024 at 00:04 o'clock
7 Comments
Latest comment
Hallo alhambra,
wir haben das gleiche Ziel, nur vertrauenswürdige Rechner (anhand der MAC-Adresse) in unser Produktivnetz zu lassen und alle anderen nur in das Gastnetzwerk.
Wir haben dafür ein Produkt gefunden: http://www.mikado.de/de/leistungen/produkte/macmon/index.php
Der allgemeine Begriff für das Thema ist "Network Access Control" oder ähnlich.
Cisco bietet so etwas für seine Switche auch an...
vG
LS
wir haben das gleiche Ziel, nur vertrauenswürdige Rechner (anhand der MAC-Adresse) in unser Produktivnetz zu lassen und alle anderen nur in das Gastnetzwerk.
Wir haben dafür ein Produkt gefunden: http://www.mikado.de/de/leistungen/produkte/macmon/index.php
Der allgemeine Begriff für das Thema ist "Network Access Control" oder ähnlich.
Cisco bietet so etwas für seine Switche auch an...
vG
LS
Naja - ich kenne das Problem vom Grundsatz her. Auch ich hab nicht die Zeit jedesmal das Kabel vom Patchfeld sofort umzustecken weil da nen Rechner umgezogen wird. Also gibt es immer wieder gepatchte Dosen die generell nen Laptop nutzen kann. Ist bei uns zum glück nicht so das fremde Laptops/Hardware einfach angeschlossen wird -> meine beliebte AA-Regel greifft da sofort! (AA-Regel: Am Arsch-Regel. Wer die Verletzt ist am Arsch ;) )
Was du jedoch machen könntest um das ganze halbwegs in geordnete Bahnen zu lenken: Du bastelst dir einfach 2 VLANs. Ein VLAN bekommt alle Rechner die zum Betrieb gehören, VLAN2 ist eigentlich nichts dran. Jetzt schaltest du nur noch im Switch die jeweilig gepatchten Ports um -> wenn jemand also meint er ist an Dose 17 dann brauchst du nur noch im Plan gucken auf welchen Switch die geht - und du schaltest den Port ins VLAN1. Ist da jemand der dich anruft und den du nicht kennst dann gleich fragen was der da will, in den Hörer brüllen das er dich mal gernhaben kann und den Hörer auf die Gabel knallen (ok, oder das ganze in freundlich - je nach eigenem Ermessen!)
Und solange sich die Fremden Laptops in VLAN2 gegenseitig mit Viren vollmüllen - mir egal, solang die nich ins Firmennetz kommen is das auch ok...
Was du jedoch machen könntest um das ganze halbwegs in geordnete Bahnen zu lenken: Du bastelst dir einfach 2 VLANs. Ein VLAN bekommt alle Rechner die zum Betrieb gehören, VLAN2 ist eigentlich nichts dran. Jetzt schaltest du nur noch im Switch die jeweilig gepatchten Ports um -> wenn jemand also meint er ist an Dose 17 dann brauchst du nur noch im Plan gucken auf welchen Switch die geht - und du schaltest den Port ins VLAN1. Ist da jemand der dich anruft und den du nicht kennst dann gleich fragen was der da will, in den Hörer brüllen das er dich mal gernhaben kann und den Hörer auf die Gabel knallen (ok, oder das ganze in freundlich - je nach eigenem Ermessen!)
Und solange sich die Fremden Laptops in VLAN2 gegenseitig mit Viren vollmüllen - mir egal, solang die nich ins Firmennetz kommen is das auch ok...
Wir setzen zu diesem Zweck ArpGuard ein.
Funktionsprinzip: Bei neuem Link / neuer CAM-Zuordnung meldet der Switch sich per SNMP an der Appliance; die schaut in ihrer Datenbank nach, welcher Gruppe das Gerät laut Mac zugehört (im einfachsten Fall nur "bekannt" vs. "unbekannt") und reagiert entsprechend; beispielsweise bei "unbekannt" ein anderes VLAN aktivieren als bei "bekannt" oder auch ganz sperren und/oder eine Mail generieren. Wir sperren Gäste so beispielsweise in ein VLAN (mit eigenem Subnet im DHCP), das nur Surfen via Proxy erlaubt.
Solange es nur um diese Funktionalität geht, kann man dasselbe sogar mit ein wenig Skripting "zu Fuß" unter Linux schaffen; zumindest hatte ich ein "proof of concept" fertig, bevor die Lieferung und Imstallation der ArpGuard komplett war.
Funktionsprinzip: Bei neuem Link / neuer CAM-Zuordnung meldet der Switch sich per SNMP an der Appliance; die schaut in ihrer Datenbank nach, welcher Gruppe das Gerät laut Mac zugehört (im einfachsten Fall nur "bekannt" vs. "unbekannt") und reagiert entsprechend; beispielsweise bei "unbekannt" ein anderes VLAN aktivieren als bei "bekannt" oder auch ganz sperren und/oder eine Mail generieren. Wir sperren Gäste so beispielsweise in ein VLAN (mit eigenem Subnet im DHCP), das nur Surfen via Proxy erlaubt.
Solange es nur um diese Funktionalität geht, kann man dasselbe sogar mit ein wenig Skripting "zu Fuß" unter Linux schaffen; zumindest hatte ich ein "proof of concept" fertig, bevor die Lieferung und Imstallation der ArpGuard komplett war.