Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Betriebsfremde Laptops - MAC sperren?

Frage Netzwerke

Mitglied: alhambra

alhambra (Level 1) - Jetzt verbinden

10.02.2010 um 09:14 Uhr, 7649 Aufrufe, 7 Kommentare

Hallo zusammen,

wir planen unser Netzwerk umzustellenen. In Zukunft wird ein DHCP-Server in Betrieb gehen. Für die Clients möchten wir die Adressen reservieren. Betriebsfremde PCs (Laptops) sollen nicht ohne Weiteres (d.h. ohne unser Wissen) ins Netz können, das einstecken in gepatchte Netzwerkdosen können wir aber wohl nicht verhindern.
Es kommt bei uns aber relativ oft vor, dass betriebsfremde Laptops ins Netz kommen. Wir möchten dabei verhindern, dass die "Gast-User" mit einer selbst eingestellten, festen IP-Adresse (die dann in unserem IP-Bereich liegt) unseren Netzwerkverkehr stören (durch doppelte IP-Adressen im Netz). Wie läßt sich das anstellen? Müssen wir auf den Switchen unbekannte MAC-Adressen vom Netz sperren?
Bin für jeden Tipp dankbar!
Alhambra
Mitglied: user217
10.02.2010 um 09:24 Uhr
Hallo,

du müsstest für jede DHCP IP Adresse eine MAC hinterlegen am DHCP Server. Dann ist der DHCP Server ab Sinnlos, dann würd ich lieber gleich feste IP's vergeben. Ansonsten gibts glaube ich noch RADIUS Server, der macht das auch aber ich vermute nur mit Zertifikaten.

Gruß
Bitte warten ..
Mitglied: dog
10.02.2010 um 09:29 Uhr
Die einzig sichere Methode bei kabelgebundenen Netzwerken ist Domain Isolation oder VPN.
Alles andere ist lustige Bastelei, die man in < 5 Minuten umgehen kann!
Bitte warten ..
Mitglied: SlainteMhath
10.02.2010 um 09:32 Uhr
Moin,

Müssen wir auf den Switchen unbekannte MAC-Adressen vom Netz sperren?
Ja, nur am Switch bekommst Du das Problem in den Griff.

Entweder jedem Port fest eine MAC zuweisen, die "darf"
oder
802.11x benutzen
oder
Switches mit NAC verwenden (Enterasys, Cisco)

lg,
Slainte
Bitte warten ..
Mitglied: laster
10.02.2010 um 09:48 Uhr
Hallo alhambra,

wir haben das gleiche Ziel, nur vertrauenswürdige Rechner (anhand der MAC-Adresse) in unser Produktivnetz zu lassen und alle anderen nur in das Gastnetzwerk.
Wir haben dafür ein Produkt gefunden: http://www.mikado.de/de/leistungen/produkte/macmon/index.php
Der allgemeine Begriff für das Thema ist "Network Access Control" oder ähnlich.
Cisco bietet so etwas für seine Switche auch an...

vG
LS
Bitte warten ..
Mitglied: maretz
10.02.2010 um 10:09 Uhr
Naja - ich kenne das Problem vom Grundsatz her. Auch ich hab nicht die Zeit jedesmal das Kabel vom Patchfeld sofort umzustecken weil da nen Rechner umgezogen wird. Also gibt es immer wieder gepatchte Dosen die generell nen Laptop nutzen kann. Ist bei uns zum glück nicht so das fremde Laptops/Hardware einfach angeschlossen wird -> meine beliebte AA-Regel greifft da sofort! (AA-Regel: Am Arsch-Regel. Wer die Verletzt ist am Arsch ;) )

Was du jedoch machen könntest um das ganze halbwegs in geordnete Bahnen zu lenken: Du bastelst dir einfach 2 VLANs. Ein VLAN bekommt alle Rechner die zum Betrieb gehören, VLAN2 ist eigentlich nichts dran. Jetzt schaltest du nur noch im Switch die jeweilig gepatchten Ports um -> wenn jemand also meint er ist an Dose 17 dann brauchst du nur noch im Plan gucken auf welchen Switch die geht - und du schaltest den Port ins VLAN1. Ist da jemand der dich anruft und den du nicht kennst dann gleich fragen was der da will, in den Hörer brüllen das er dich mal gernhaben kann und den Hörer auf die Gabel knallen (ok, oder das ganze in freundlich - je nach eigenem Ermessen!)

Und solange sich die Fremden Laptops in VLAN2 gegenseitig mit Viren vollmüllen - mir egal, solang die nich ins Firmennetz kommen is das auch ok...
Bitte warten ..
Mitglied: hagmania
10.02.2010 um 10:28 Uhr
Wir setzen zu diesem Zweck ArpGuard ein.
Funktionsprinzip: Bei neuem Link / neuer CAM-Zuordnung meldet der Switch sich per SNMP an der Appliance; die schaut in ihrer Datenbank nach, welcher Gruppe das Gerät laut Mac zugehört (im einfachsten Fall nur "bekannt" vs. "unbekannt") und reagiert entsprechend; beispielsweise bei "unbekannt" ein anderes VLAN aktivieren als bei "bekannt" oder auch ganz sperren und/oder eine Mail generieren. Wir sperren Gäste so beispielsweise in ein VLAN (mit eigenem Subnet im DHCP), das nur Surfen via Proxy erlaubt.
Solange es nur um diese Funktionalität geht, kann man dasselbe sogar mit ein wenig Skripting "zu Fuß" unter Linux schaffen; zumindest hatte ich ein "proof of concept" fertig, bevor die Lieferung und Imstallation der ArpGuard komplett war.
Bitte warten ..
Mitglied: Edi.Pfisterer
10.02.2010 um 11:13 Uhr
Hallo alhambra
das Tool klingt interessant (als Alternative zu Domain Isolation).
Konnte spontan nicht finden, was dieses Tool kostet.
Kannst Du Dich noch erinnern, was ihr bezahlt habt?
Danke
lg

ps: falls Du das hier nicht hinschreiben möchtest, würde ich mich über eine PM freuen.
vielen Dank im Voraus
Bitte warten ..
Ähnliche Inhalte
Hardware
Erfahrungen mit Laptops
gelöst Frage von sven784230Hardware14 Kommentare

Hallo zusammen, ich habe leider kaum Erfahrung mit Laptop Hardware, da ich hauptsächlich Tower PC's nutze. Aus diesem Grund ...

Ubuntu
Laptops zurücksetzen?!
Frage von drallesUbuntu14 Kommentare

Hi, mein erster Beitrag hier Ich komme echt nicht mehr weiter! Und ja ich habe die Überschrift so trivial ...

Windows Userverwaltung
Domänen Profiles und Laptops
gelöst Frage von Hendrik2586Windows Userverwaltung2 Kommentare

Guten Morgen @ all! :) Ich hab da mal ein Anligen das ich gerne mit euch zusammen klären möchte. ...

Windows Tools
Laptops nach Kurs auf Ursprungszustand zurücksetzen
gelöst Frage von TrussardiWindows Tools6 Kommentare

Hallo IT-Freunde Heute neu im Forum angemeldet, habe ich auch schon eine erste Frage: Ein Kunde bietet Kurse an ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 3 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 4 StundenSicherheit

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 6 StundenAdministrator.de Feedback5 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 11 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...